- Startseite
- /
- Artikel
Danke für Ihr Feedback.
Bereitstellungsleitfaden für Webex-Hybrid-Datensicherheit
In diesem Artikel
Feedback?Neue und geänderte Informationen
Datum | Vorgenommene Änderungen | ||
|---|---|---|---|
20. Oktober 2023 |
| ||
07. August 2023 |
| ||
Dienstag, 23. Mai 2023 |
| ||
06. Dezember 2022 |
| ||
23. November 2022 |
| ||
13. Oktober 2021 | Docker Desktop muss ein Setup-Programm ausführen, bevor Sie HDS-Knoten installieren können. Siehe Docker Desktop-Anforderungen . | ||
24. Juni 2021 | Beachten Sie, dass Sie die Datei mit dem privaten Schlüssel und den CSR wiederverwenden können, um ein anderes Zertifikat anzufordern. Weitere Informationen finden Sie unter Verwenden von OpenSSL zum Generieren einer PKCS12-Datei . | ||
| 30. April 2021 | Die VM-Anforderung für lokalen Festplattenspeicher wurde auf 30 GB geändert. Weitere Informationen finden Sie unter „Anforderungen für virtuelle Gastgeber“. | ||
Mittwoch, 24. Februar 2021 | Das HDS Setup Tool kann jetzt hinter einem Proxy ausgeführt werden. Weitere Informationen finden Sie unter Erstellen einer Konfigurations-ISO für die HDS-Hosts . | ||
2. Februar 2021 | HDS kann jetzt ohne gemountete ISO-Datei ausgeführt werden. Weitere Informationen finden Sie unter (Optional) ISO nach HDS-Konfiguration abmontieren . | ||
11. Januar 2021 | Informationen zum HDS Setup-Tool und zu Proxys hinzugefügt Erstellen einer Konfigurations-ISO für die HDS-Hosts . | ||
13. Oktober 2020 | Aktualisiert Installationsdateien herunterladen . | ||
8. Oktober 2020 | Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts und Ändern Sie die Knotenkonfiguration mit Befehlen für FedRAMP-Umgebungen. | ||
Freitag, 14. August 2020 | Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts und Ändern Sie die Knotenkonfiguration mit Änderungen am Anmeldeprozess. | ||
Mittwoch, 5. August 2020 | Aktualisiert Testen Sie Ihre Hybrid-Datensicherheitsbereitstellung auf Änderungen in Protokollnachrichten. Aktualisiert Anforderungen für virtuelle Gastgeber , um die maximale Anzahl an Hosts zu entfernen. | ||
Dienstag, 16. Juni 2020 | Aktualisiert Entfernen eines Knotens für Änderungen in der Control Hub-Benutzeroberfläche. | ||
Donnerstag, 4. Juni 2020 | Aktualisiert Erstellen Sie ein Konfigurations-ISO für die HDS-Hosts für Änderungen in den erweiterten Einstellungen, die Sie möglicherweise festlegen. | ||
Freitag, 29. Mai 2020 | Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts , um anzuzeigen, dass Sie TLS auch mit SQL Server-Datenbanken, UI-Änderungen und anderen Klarstellungen verwenden können. | ||
Dienstag, 5. Mai 2020 | Aktualisiert Anforderungen für virtuelle Gastgeber um neue Anforderungen für ESXi 6.5 anzuzeigen. | ||
21. April 2020 | Aktualisiert Externe Konnektivitätsanforderungen mit neuen CI-Hosts für Amerika. | ||
1. April 2020 | Aktualisiert Externe Konnektivitätsanforderungen mit Informationen zu regionalen CI-Hosts. | ||
| 20. Februar 2020 | Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts mit Informationen zum neuen optionalen Bildschirm Erweiterte Einstellungen im HDS-Setup-Tool. | ||
| 4. Februar 2020 | Aktualisierte Anforderungen für Proxyserver . | ||
| 16. Dezember 2019 | Die Anforderung, dass der blockierte externe DNS-Auflösungsmodus unter „ Proxyserveranforderungen“ funktioniert, wurde klargestellt . | ||
| 19. November 2019 | Informationen zum blockierten externen DNS-Auflösungsmodus wurden in den folgenden Abschnitten hinzugefügt: | ||
8. November 2019 | Sie können jetzt die Netzwerkeinstellungen für einen Knoten konfigurieren, während Sie die OVA bereitstellen, und nicht erst danach. Die folgenden Abschnitte wurden entsprechend aktualisiert:
| ||
6. September 2019 | SQL Server Standard zu Datenbankserveranforderungen . | ||
| 29. August 2019 | Hinzugefügt Konfigurieren von Squid-Proxys für Hybrid Data Security Anhang mit Anleitung zum Konfigurieren von Squid-Proxys zum Ignorieren von Websocket-Datenverkehr für den ordnungsgemäßen Betrieb. | ||
| 20. August 2019 | Abschnitte hinzugefügt und aktualisiert, um die Proxy-Unterstützung für die Kommunikation von hybriden Datensicherheitsknoten mit der Webex-Cloud abzudecken. Informationen zum Zugriff auf den Inhalt der Proxy-Unterstützung für eine vorhandene Bereitstellung finden Sie im Hilfeartikel Proxy-Unterstützung für Hybrid Data Security und Webex-Videonetz . | ||
| Freitag, 13. Juni 2019 | Aktualisiert Ablauf der Testversion zur Produktionsaufgabe mit einer Erinnerung zur Synchronisierung der HdsTrialGroup gruppieren Sie ein Objekt, bevor Sie einen Test starten, wenn Ihre Organisation die Verzeichnissynchronisierung verwendet. | ||
| Freitag, 6. März 2019 |
| ||
| Dienstag, 28. Februar 2019 |
| ||
| 26. Februar 2019 |
| ||
24. Januar 2019 |
| ||
| 5. November 2018 |
| ||
| Dienstag, 19. Oktober 2018 |
| ||
31. Juli 2018 |
| ||
| 21. Mai 2018 | Terminologie geändert, um das Rebranding von Cisco Spark widerzuspiegeln:
| ||
| Dienstag, 11. April 2018 |
| ||
| 22. Februar 2018 |
| ||
| Donnerstag, 15. Februar 2018 |
| ||
| Donnerstag, 18. Januar 2018 |
| ||
2. November 2017 |
| ||
Freitag, 18. August 2017 | Erste Veröffentlichung |
Übersicht über die Hybrid-Datensicherheit
Von Anfang an stand bei der Entwicklung der Webex App die Datensicherheit im Vordergrund. Der Grundstein dieser Sicherheit ist die durchgängige Inhaltsverschlüsselung, die durch die Interaktion von Webex App-Clients mit dem Schlüsselverwaltungsdienst (KMS) ermöglicht wird. Der KMS erstellt und verwaltet die Kryptografieschlüssel, mit denen die Clients ihre Nachrichten und Dateien dynamisch ver- und entschlüsseln.
Standardmäßig erhalten alle Webex-App-Kunden eine durchgängige Verschlüsselung mit dynamischen Schlüsseln, die im Cloud-KMS im Sicherheitsbereich von Cisco gespeichert sind. Mit Hybrid Data Security werden KMS und andere Sicherheitsfunktionen in das Rechenzentrum Ihres Unternehmens verschoben, damit die Schlüssel zu ihren verschlüsselten Inhalten ausschließlich bei Ihnen liegen.
Sicherheitsbereichsarchitektur
Die Webex Cloud-Architektur trennt verschiedene Servicetypen in separate Bereiche oder Vertrauensdomänen, wie unten dargestellt.
Um die Hybrid-Datensicherheit weiter zu verstehen, werfen wir einen Blick auf diesen reinen Cloud-Fall, in dem Cisco alle Funktionen in seinen Cloud-Bereichen bereitstellt. Der Identitätsdienst, der einzige Ort, an dem Benutzer direkt mit ihren persönlichen Informationen wie E-Mail-Adresse korreliert werden können, ist logisch und physisch getrennt vom Sicherheitsbereich im Rechenzentrum B. Beide sind wiederum getrennt vom Bereich, in dem letztlich verschlüsselte Inhalte gespeichert werden, im Rechenzentrum C.
In diesem Diagramm ist der Client die Webex-App, die auf dem Laptop eines Benutzers ausgeführt wird und sich beim Identitätsdienst authentifiziert hat. Wenn der Benutzer eine Nachricht erstellt, die an einen Bereich gesendet werden soll, werden die folgenden Schritte ausgeführt:
Der Client stellt eine sichere Verbindung mit dem Schlüsselverwaltungsdienst (KMS) her und fordert dann einen Schlüssel zum Verschlüsseln der Nachricht an. Die sichere Verbindung verwendet ECDH, und das KMS verschlüsselt den Schlüssel mit einem AES-256-Master-Schlüssel.
Die Nachricht wird verschlüsselt, bevor sie den Client verlässt. Der Client sendet es an den Indexierungsdienst, der verschlüsselte Suchindizes erstellt, die bei der zukünftigen Suche nach den Inhalten helfen.
Die verschlüsselte Nachricht wird für Compliance-Prüfungen an den Compliance-Dienst gesendet.
Die verschlüsselte Nachricht wird im Speicherbereich gespeichert.
Wenn Sie Hybrid Data Security bereitstellen, verschieben Sie die Sicherheitsbereichsfunktionen (KMS, Indizierung und Compliance) in Ihr lokales Rechenzentrum. Die anderen Cloud-Dienste, aus denen Webex besteht (einschließlich Identitäts- und Inhaltsspeicher), verbleiben in den Bereichen von Cisco.
Zusammenarbeit mit anderen Organisationen
Benutzer in Ihrer Organisation verwenden möglicherweise regelmäßig die Webex-App, um mit externen Teilnehmern in anderen Organisationen zusammenzuarbeiten. Wenn einer Ihrer Benutzer einen Schlüssel für einen Bereich anfordert, der zu Ihrer Organisation gehört (da er von einem Ihrer Benutzer erstellt wurde), sendet KMS den Schlüssel über einen ECDH-sicheren Kanal an den Client. Wenn jedoch eine andere Organisation den Schlüssel für den Bereich besitzt, leitet Ihre KMS die Anforderung über einen separaten ECDH-Kanal an die Webex-Cloud weiter, um den Schlüssel von der entsprechenden KMS zu erhalten, und gibt den Schlüssel dann an Ihren Benutzer im ursprünglichen Kanal zurück.
Der auf Org A ausgeführte KMS-Dienst validiert die Verbindungen zu KMSs in anderen Organisationen mit x.509 PKI-Zertifikaten. Siehe Umgebung vorbereiten für Details zur Generierung eines x.509-Zertifikats für Ihre Hybrid-Datensicherheitsbereitstellung.
Erwartungen an die Bereitstellung der Hybrid-Datensicherheit
Eine Bereitstellung von Hybrid-Datensicherheit erfordert erhebliches Kundenengagement und ein Bewusstsein für die Risiken, die sich aus dem Besitz von Verschlüsselungscodes ergeben.
Um die Hybrid-Datensicherheit bereitzustellen, müssen Sie Folgendes bereitstellen:
Ein sicheres Rechenzentrum in einem Land, das ein unterstützter Standort für die Cisco Webex Teams-Pläne ist.
Die Geräte, Software und der Netzwerkzugriff werden unter „Umgebung vorbereiten“ beschrieben.
Der vollständige Verlust der Konfigurations-ISO, die Sie für Hybrid Data Security erstellen, oder der von Ihnen bereitgestellten Datenbank führt zum Verlust der Schlüssel. Der Schlüsselverlust verhindert, dass Benutzer Bereichsinhalte und andere verschlüsselte Daten in der Webex-App entschlüsseln. In diesem Fall können Sie eine neue Bereitstellung erstellen, aber nur neue Inhalte werden angezeigt. Um den Verlust des Zugriffs auf Daten zu vermeiden, müssen Sie:
Verwalten Sie die Sicherung und Wiederherstellung der Datenbank und der ISO-Konfiguration.
Bereiten Sie sich auf eine schnelle Notfallwiederherstellung vor, wenn eine Katastrophe auftritt, z. B. ein Datenbankfestplattenausfall oder eine Datencenter-Katastrophe.
 | Es gibt keinen Mechanismus, um Schlüssel nach einer HDS-Bereitstellung zurück in die Cloud zu verschieben. |
Hochrangiger Einrichtungsprozess
Dieses Dokument behandelt die Einrichtung und Verwaltung einer Bereitstellung für Hybrid-Datensicherheit:
Hybrid-Datensicherheit einrichten – Dazu gehören die Vorbereitung der erforderlichen Infrastruktur und die Installation der Hybrid-Datensicherheitssoftware, das Testen Ihrer Bereitstellung mit einer Teilmenge von Benutzern im Testmodus und die Umstellung auf die Produktion, sobald die Tests abgeschlossen sind. Dadurch wird die gesamte Organisation konvertiert, um Ihren Hybrid-Datensicherheitscluster für Sicherheitsfunktionen zu verwenden.
Die Einrichtungs-, Test- und Produktionsphasen werden in den nächsten drei Kapiteln ausführlich behandelt.
Bereitstellen der Hybrid-Datensicherheit aufrechterhalten – Die Webex-Cloud stellt automatisch laufende Upgrades bereit. Ihre IT-Abteilung kann diese Bereitstellung mit Unterstützung der Stufe eins unterstützen und bei Bedarf den Cisco-Support einbeziehen. Sie können Benachrichtigungen auf dem Bildschirm verwenden und E-Mail-basierte Warnungen in Control Hub einrichten.
Allgemeine Warnungen, Schritte zur Fehlerbehebung und bekannte Probleme – Wenn bei der Bereitstellung oder Verwendung von Hybrid Data Security Probleme auftreten, können Sie das letzte Kapitel dieses Handbuchs und der Anhang „Bekannte Probleme“ bei der Bestimmung und Behebung des Problems helfen.
Bereitstellungsmodell für Hybrid-Datensicherheit
Im Rechenzentrum Ihres Unternehmens stellen Sie die Hybrid-Datensicherheit als ein einzelnes Cluster von Knoten auf separaten virtuellen Hosts bereit. Die Knoten kommunizieren über sichere Websockets und sicheres HTTP mit der Webex-Cloud.
Während der Installation stellen wir Ihnen die OVA-Datei zur Verfügung, um die virtuelle Appliance auf den von Ihnen bereitgestellten VMs einzurichten. Mit dem HDS-Setup-Tool können Sie eine benutzerdefinierte ISO-Datei für die Clusterkonfiguration erstellen, die Sie auf jedem Knoten mounten. Der Hybrid-Datensicherheitscluster verwendet Ihren bereitgestellten Syslogd-Server und die PostgreSQL- oder Microsoft SQL Server-Datenbank. (Sie konfigurieren die Syslogd- und Datenbankverbindungsdetails im HDS Setup Tool.)
Die Mindestanzahl an Knoten, die Sie in einem Cluster haben können, beträgt zwei. Wir empfehlen mindestens drei und Sie können bis zu fünf haben. Wenn Sie mehrere Knoten haben, wird sichergestellt, dass der Dienst während eines Software-Upgrades oder einer anderen Wartungsaktivität auf einem Knoten nicht unterbrochen wird. (Die Webex-Cloud aktualisiert nur jeweils einen Knoten.)
Alle Knoten in einem Cluster greifen auf denselben Schlüsseldatastore zu und protokollieren die Aktivität mit demselben Syslog-Server. Die Knoten selbst sind staatenlos und bearbeiten wichtige Anfragen in Round-Robin-Manier, wie von der Cloud geleitet.
Knoten werden aktiv, wenn Sie sie in Control Hub registrieren. Um einen einzelnen Knoten außer Betrieb zu nehmen, können Sie die Registrierung aufheben und ihn bei Bedarf später erneut registrieren.
Wir unterstützen nur ein einzelnes Cluster pro Organisation.
Testmodus für Hybrid-Datensicherheit
Nachdem Sie eine Bereitstellung für Hybrid-Datensicherheit eingerichtet haben, versuchen Sie es zunächst mit einer Reihe von Pilotbenutzern. Während des Testzeitraums verwenden diese Benutzer Ihre lokale Hybrid-Datensicherheitsdomäne für Verschlüsselungscodes und andere Dienste des Sicherheitsbereichs. Ihre anderen Benutzer verwenden weiterhin den Cloud-Sicherheitsbereich.
Wenn Sie die Bereitstellung während des Testzeitraums nicht fortsetzen und den Dienst deaktivieren möchten, verlieren die Pilotbenutzer und alle Benutzer, mit denen sie während des Testzeitraums interagiert haben, den Zugriff auf die Nachrichten und Inhalte. Ihnen wird in der Webex-App „Diese Nachricht kann nicht entschlüsselt werden“ angezeigt.
Wenn Sie überzeugt sind, dass Ihre Bereitstellung für die Testbenutzer gut funktioniert und Sie bereit sind, die Hybrid-Datensicherheit auf alle Ihre Benutzer auszuweiten, verschieben Sie die Bereitstellung in die Produktion. Pilotbenutzer haben weiterhin Zugriff auf die Schlüssel, die während der Testphase verwendet wurden. Sie können jedoch nicht zwischen dem Produktionsmodus und der ursprünglichen Testversion hin- und herwechseln. Wenn Sie den Dienst deaktivieren müssen, um z. B. eine Notfallwiederherstellung durchzuführen, müssen Sie bei der erneuten Aktivierung einen neuen Test starten und die Anzahl der Pilotbenutzer für den neuen Test einrichten, bevor Sie in den Produktionsmodus zurückkehren. Ob die Benutzer zu diesem Zeitpunkt weiterhin Zugriff auf Daten haben, hängt davon ab, ob Sie Backups des Schlüsseldatenspeichers und der ISO-Konfigurationsdatei für die Hybrid-Datensicherheitsknoten in Ihrem Cluster erfolgreich durchgeführt haben.
Standby-Rechenzentrum für die Notfallwiederherstellung
Während der Bereitstellung richten Sie ein sicheres Standby-Rechenzentrum ein. Im Falle eines Rechenzentrums-Desasters können Sie Ihre Bereitstellung manuell auf das Standby-Rechenzentrum umlegen.
Die Datenbanken der aktiven und Standby-Rechenzentren sind miteinander synchronisiert, wodurch die Zeit für die Durchführung des Failovers minimiert wird. Die ISO-Datei des Standby-Rechenzentrums wird mit zusätzlichen Konfigurationen aktualisiert, die sicherstellen, dass die Knoten in der Organisation registriert sind, aber keinen Datenverkehr verarbeiten. Daher bleiben die Knoten des Standby-Rechenzentrums immer auf dem neuesten Stand mit der neuesten Version der HDS-Software.
| Die aktiven Hybrid-Datensicherheitsknoten müssen sich immer im selben Rechenzentrum wie der aktive Datenbankserver befinden. |
Standby-Rechenzentrum für die Notfallwiederherstellung einrichten
Führen Sie die folgenden Schritte aus, um die ISO-Datei des Standby-Rechenzentrums zu konfigurieren:
Vorbereitungen
Das Standby-Rechenzentrum sollte die Produktionsumgebung von VMs und eine Backup-PostgreSQL- oder Microsoft SQL Server-Datenbank spiegeln. Wenn die Produktion beispielsweise über 3 VMs verfügt, auf denen HDS-Knoten ausgeführt werden, sollte die Backup-Umgebung über 3 VMs verfügen. (Siehe Standby Data Center for Disaster Recovery für eine Übersicht über dieses Failover-Modell.)
Stellen Sie sicher, dass die Datenbanksynchronisierung zwischen der Datenbank aktiver und passiver Cluster-Knoten aktiviert ist.
| 1 | Starten Sie das HDS-Setup-Tool und befolgen Sie die unter Erstellen einer Konfigurations-ISO für die HDS-Hosts genannten Schritte.
| ||
| 2 | Klicken Sie nach der Konfiguration des Syslogd-Servers auf Erweiterte Einstellungen | ||
| 3 | Fügen Sie auf der Seite Erweiterte Einstellungen unten die Konfiguration hinzu, um den Knoten im passiven Modus zu platzieren. In diesem Modus wird der Knoten in der Organisation registriert und mit der Cloud verbunden, verarbeitet jedoch keinen Datenverkehr.
| ||
| 4 | Schließen Sie den Konfigurationsvorgang ab und speichern Sie die ISO-Datei an einem leicht zu findenden Speicherort. | ||
| 5 | Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Halten Sie die Sicherungskopie sicher. Diese Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff nur auf Hybrid-Datensicherheitsadministratoren, die Konfigurationsänderungen vornehmen sollten. | ||
| 6 | Klicken Sie im linken Navigationsbereich des VMware vSphere-Clients mit der rechten Maustaste auf die VM und klicken Sie auf Einstellungen bearbeiten.. | ||
| 7 | Klicken Sie auf Einstellungen bearbeiten > CD/DVD Laufwerk 1 und wählen Sie Datastore ISO File.
| ||
| 8 | Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 15 Minuten lang keine Alarme vorhanden sind. | ||
| 9 | Wiederholen Sie den Vorgang für jeden Knoten im Standby-Rechenzentrum.
|
Nächste Schritte
Nach der Konfiguration passiveMode in der ISO-Datei zu speichern, können Sie eine andere Kopie der ISO-Datei ohne die passiveMode konfigurieren und an einem sicheren Speicherort speichern. Diese Kopie der ISO-Datei ohne passiveMode konfiguriert kann bei einem schnellen Failover-Prozess während der Notfallwiederherstellung helfen. Siehe Notfallwiederherstellung mit Standby-Rechenzentrum für das detaillierte Failover-Verfahren.
Proxy-Unterstützung
Hybrid Data Security unterstützt explizite, transparente Inspektion und Nicht-Inspektion von Proxys. Sie können diese Proxys mit Ihrer Bereitstellung verknüpfen, sodass Sie den Datenverkehr vom Unternehmen in die Cloud absichern und überwachen können. Sie können eine Plattform-Admin-Oberfläche auf den Knoten für die Zertifikatsverwaltung und zum Überprüfen des allgemeinen Verbindungsstatus verwenden, nachdem Sie den Proxy auf den Knoten eingerichtet haben.
Die Hybrid-Datensicherheitsknoten unterstützen die folgenden Proxy-Optionen:
Kein Proxy – Der Standard, wenn Sie nicht die HDS-Knoteneinrichtung Trust Store- und Proxy-Konfiguration verwenden, um einen Proxy zu integrieren. Es ist keine Zertifikataktualisierung erforderlich.
Transparenter Proxy ohne Prüfung – Die Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert und erfordern keine Änderungen, damit sie mit einem Proxy ohne Prüfung funktionieren. Es ist keine Zertifikataktualisierung erforderlich.
Transparentes Tunneln oder Prüfen des Proxy – Die Knoten sind nicht so konfiguriert, dass sie eine bestimmte Proxyserver-Adresse verwenden. Auf den Knoten sind keine HTTP- oder HTTPS-Konfigurationsänderungen erforderlich. Die Knoten benötigen jedoch ein Stammzertifikat, damit sie dem Proxy vertrauen können. In der Regel werden Proxys von der IT verwendet, um Richtlinien durchzusetzen, auf denen Websites besucht werden können und welche Arten von Inhalten nicht zulässig sind. Dieser Proxy-Typ entschlüsselt Ihren gesamten Datenverkehr (auch HTTPS).
Expliziter Proxy – Mit explizitem Proxy teilen Sie den HDS-Knoten mit, welchen Proxyserver und welches Authentifizierungsschema verwendet werden soll. Um einen expliziten Proxy zu konfigurieren, müssen Sie auf jedem Knoten die folgenden Informationen eingeben:
Proxy-IP/FQDN : Adresse, die zum Erreichen der Proxymaschine verwendet werden kann.
Proxy-Port : Eine Portnummer, die der Proxy für die Überwachung des Proxyverkehrs verwendet.
Proxy-Protokoll : Je nachdem, was Ihr Proxy-Server unterstützt, wählen Sie zwischen den folgenden Protokollen:
HTTP – Zeigt alle vom Client gesendeten Anfragen an und steuert sie.
HTTPS: Stellt dem Server einen Kanal zur Verfügung. Der Client empfängt und validiert das Zertifikat des Servers.
Authentifizierungstyp : Wählen Sie einen der folgenden Authentifizierungstypen aus:
Keine: Es ist keine weitere Authentifizierung erforderlich.
Verfügbar, wenn Sie HTTP oder HTTPS als Proxy-Protokoll auswählen.
Basic – Wird für einen HTTP-Benutzeragenten verwendet, um bei einer Anforderung einen Benutzernamen und ein Kennwort anzugeben. Verwendet Base64-Codierung.
Verfügbar, wenn Sie HTTP oder HTTPS als Proxy-Protokoll auswählen.
Erfordert die Eingabe des Benutzernamens und des Kennworts auf den einzelnen Knoten.
Ziffer : Wird verwendet, um das Konto zu bestätigen, bevor sensible Informationen gesendet werden. Wendet eine Hash-Funktion auf den Benutzernamen und das Kennwort an, bevor sie über das Netzwerk gesendet werden.
Nur verfügbar, wenn Sie HTTPS als Proxy-Protokoll auswählen.
Erfordert die Eingabe des Benutzernamens und des Kennworts auf den einzelnen Knoten.
Beispiel für hybride Datensicherheitsknoten und Proxy
Dieses Diagramm zeigt eine Beispielverbindung zwischen der Hybrid-Datensicherheit, dem Netzwerk und einem Proxy. Für die transparenten Inspektions- und HTTPS-Optionen zur expliziten Inspektion von Proxy muss dasselbe Stammzertifikat auf dem Proxy und auf den Hybrid-Datensicherheitsknoten installiert sein.
Blockierter externer DNS-Auflösungsmodus (Explizite Proxykonfigurationen)
Wenn Sie einen Knoten registrieren oder die Proxy-Konfiguration des Knotens überprüfen, testet der Prozess die DNS-Suche und die Konnektivität mit der Cisco Webex-Cloud. In Bereitstellungen mit expliziten Proxy-Konfigurationen, die keine externe DNS-Auflösung für interne Clients zulassen, wechselt der Knoten automatisch in den Modus für blockierte externe DNS-Auflösung, wenn er die DNS-Server nicht abfragen kann. In diesem Modus können die Knotenregistrierung und andere Proxy-Verbindungstests fortgesetzt werden.
Anforderungen an die Hybrid-Datensicherheit
Cisco Webex-Lizenzanforderungen
So stellen Sie die Hybrid-Datensicherheit bereit:
Sie müssen über Pro Pack für Cisco Webex Control Hub verfügen. (Siehe https://www.cisco.com/go/pro-pack.)
Docker Desktop-Anforderungen
Bevor Sie Ihre HDS-Knoten installieren, benötigen Sie Docker Desktop, um ein Setup-Programm auszuführen. Docker hat kürzlich sein Lizenzierungsmodell aktualisiert. Ihre Organisation benötigt möglicherweise ein kostenpflichtiges Abonnement für Docker Desktop. Weitere Informationen finden Sie im Docker-Blog „ Docker aktualisiert und erweitert unsere Produktabonnements ".
X.509-Zertifikatanforderungen
Die Zertifikatskette muss die folgenden Anforderungen erfüllen:
Anforderung | Details |
|---|---|
| Standardmäßig vertrauen wir den CAs in der Mozilla-Liste (mit Ausnahme von WoSign und StartCom) auf https://wiki.mozilla.org/CA:IncludedCAs. |
| Der CN muss nicht erreichbar sein oder ein Live-Host sein. Wir empfehlen Ihnen beispielsweise, einen Namen zu verwenden, der Ihre Organisation widerspiegelt. Der CN darf kein * (Platzhalter) enthalten. Der CN wird verwendet, um die Hybrid-Datensicherheitsknoten für Webex-App-Clients zu verifizieren. Alle Hybrid-Datensicherheitsknoten in Ihrem Cluster verwenden dasselbe Zertifikat. Ihr KMS identifiziert sich mit der CN-Domäne, nicht mit einer Domäne, die in den SAN-Feldern x.509v3 definiert ist. Sobald Sie einen Knoten mit diesem Zertifikat registriert haben, wird das Ändern des CN-Domänennamens nicht unterstützt. Wählen Sie eine Domäne aus, die sowohl für Test- als auch für Produktionsbereitstellungen gelten kann. |
| Die KMS-Software unterstützt keine SHA1-Signaturen für die Überprüfung von Verbindungen zu KMSs anderer Organisationen. |
| Sie können einen Konverter wie OpenSSL verwenden, um das Format Ihres Zertifikats zu ändern. Sie müssen das Kennwort eingeben, wenn Sie das HDS-Setup-Tool ausführen. |
Die KMS-Software erzwingt keine Schlüsselnutzung oder erweiterte Schlüsselnutzungsbeschränkungen. Einige Zertifizierungsstellen verlangen, dass für jedes Zertifikat erweiterte Nutzungsbeschränkungen gelten, z. B. Serverauthentifizierung. Es ist in Ordnung, die Server-Authentifizierung oder andere Einstellungen zu verwenden.
Anforderungen an virtuelle Gastgeber
Die virtuellen Hosts, die Sie als Hybrid-Datensicherheitsknoten in Ihrem Cluster einrichten, haben die folgenden Anforderungen:
Mindestens zwei separate Hosts (3 empfohlen) in demselben sicheren Rechenzentrum
VMware ESXi 6.5 (oder höher) installiert und ausgeführt.
Sie müssen ein Upgrade durchführen, wenn Sie über eine frühere ESXi-Version verfügen.
Mindestens 4 vCPUs, 8 GB Hauptspeicher, 30 GB lokaler Festplattenspeicher pro Server
Anforderungen des Datenbankservers
| Erstellen Sie eine neue Datenbank für den Schlüsselspeicher. Verwenden Sie nicht die Standarddatenbank. Wenn die HDS-Anwendungen installiert sind, erstellen Sie das Datenbankschema. |
Es gibt zwei Optionen für den Datenbankserver. Die Anforderungen für die einzelnen sind wie folgt:
PostgreSQL | Microsoft SQL-Server | ||
|---|---|---|---|
|
| ||
Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichender Festplattenspeicher und Überwachung, um sicherzustellen, dass er nicht überschritten wird (2 TB empfohlen, wenn Sie die Datenbank für längere Zeit ausführen möchten, ohne den Speicher erhöhen zu müssen) | Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichender Festplattenspeicher und Überwachung, um sicherzustellen, dass er nicht überschritten wird (2 TB empfohlen, wenn Sie die Datenbank für längere Zeit ausführen möchten, ohne den Speicher erhöhen zu müssen) |
Die HDS-Software installiert derzeit folgende Treiberversionen für die Kommunikation mit dem Datenbankserver:
PostgreSQL | Microsoft SQL-Server |
|---|---|
Postgres JDBC-Treiber 42.2.5 | SQL Server JDBC-Treiber 4.6 Diese Treiberversion unterstützt SQL Server Always On ( Always On Failover Cluster Instances und Always On Availability Groups ). |
Zusätzliche Anforderungen für die Windows-Authentifizierung gegen Microsoft SQL Server
Wenn Sie möchten, dass HDS-Knoten die Windows-Authentifizierung verwenden, um Zugriff auf Ihre Keystore-Datenbank auf Microsoft SQL Server zu erhalten, benötigen Sie die folgende Konfiguration in Ihrer Umgebung:
Die HDS-Knoten, die Active Directory-Infrastruktur und der MS SQL Server müssen mit NTP synchronisiert werden.
Das Windows-Konto, das Sie HDS-Knoten zur Verfügung stellen, muss Lese-/Schreibzugriff auf die Datenbank haben.
Die DNS-Server, die Sie den HDS-Knoten bereitstellen, müssen Ihr Key Distribution Center (KDC) auflösen können.
Sie können die HDS-Datenbankinstanz auf Ihrem Microsoft SQL Server als Service Principal Name (SPN) in Ihrem Active Directory registrieren. Siehe Einen Service Principal Name für Kerberos Connections registrieren .
Das HDS-Setup-Tool, der HDS-Launcher und lokale KMS müssen alle die Windows-Authentifizierung verwenden, um auf die Keystore-Datenbank zuzugreifen. Sie verwenden die Details aus Ihrer ISO-Konfiguration, um den SPN zu konstruieren, wenn sie den Zugriff mit Kerberos-Authentifizierung anfordern.
Anforderungen an externe Konnektivität
Konfigurieren Sie Ihre Firewall so, dass die folgende Konnektivität für die HDS-Anwendungen zulässig ist:
Anwendung | Protokoll | Port | Richtung aus der App | Ziel |
|---|---|---|---|---|
Hybrid-Datensicherheitsknoten | TCP | 443 | Ausgehende HTTPS und WSS |
|
HDS-Setup-Tool | TCP | 443 | Ausgehende HTTPS |
|
| Die Hybrid-Datensicherheitsknoten funktionieren mit NAT (Network Access Translation) oder hinter einer Firewall, sofern die NAT oder Firewall die erforderlichen ausgehenden Verbindungen zu den Domänenzielen in der vorangehenden Tabelle zulässt. Bei eingehenden Verbindungen zu den Hybrid-Datensicherheitsknoten sollten keine Ports aus dem Internet sichtbar sein. Innerhalb Ihres Rechenzentrums benötigen Clients für administrative Zwecke Zugriff auf die Hybrid-Datensicherheitsknoten an den TCP-Ports 443 und 22. |
Die URLs für die Common Identity (CI)-Hosts sind regionsspezifisch. Dies sind die aktuellen CI-Hosts:
Region | Gastgeber-URLs der gemeinsamen Benutzeridentität |
|---|---|
Nord- und Südamerika |
|
Europäische Union |
|
Kanada |
|
Proxyserver-Anforderungen
Wir unterstützen offiziell die folgenden Proxy-Lösungen, die in Ihre hybriden Datensicherheitsknoten integriert werden können.
Transparenter Proxy: Cisco Web Security Appliance (WSA).
Expliziter Proxy: Squid.
Squid-Proxys, die HTTPS-Datenverkehr prüfen, können die Einrichtung von Websocket beeinträchtigen (wss:) Verbindungen. Informationen zur Behebung dieses Problems finden Sie unter Konfigurieren von Squid-Proxys für Hybrid Data Security .
Wir unterstützen die folgenden Authentifizierungstyp-Kombinationen für explizite Proxys:
Keine Authentifizierung mit HTTP oder HTTPS
Basisauthentifizierung mit HTTP oder HTTPS
Digest-Authentifizierung nur mit HTTPS
Für einen transparenten Prüfproxy oder einen expliziten HTTPS-Proxy müssen Sie über eine Kopie des Stammzertifikats des Proxys verfügen. In den Bereitstellungsanweisungen in diesem Handbuch erfahren Sie, wie Sie die Kopie in die Vertrauensspeicher der Hybrid-Datensicherheitsknoten hochladen.
Das Netzwerk, das die HDS-Knoten hostet, muss so konfiguriert werden, dass ausgehender TCP-Datenverkehr auf Port 443 zur Weiterleitung durch den Proxy erzwungen wird.
Proxys, die den Web-Datenverkehr überprüfen, können Web-Socket-Verbindungen stören. Wenn dieses Problem auftritt, den Datenverkehr umgehen (nicht kontrollieren) zu
wbx2.comundciscospark.comwird das Problem lösen.
Vervollständigen der Voraussetzungen für die Hybrid-Datensicherheit
| 1 | Stellen Sie sicher, dass Ihre Webex-Organisation für Pro Pack für Cisco Webex Control Hub aktiviert ist, und erhalten Sie die Anmeldeinformationen eines Kontos mit vollständigen Administratorrechten für die Organisation. Wenden Sie sich an Ihren Cisco-Partner oder Account Manager, um Hilfe bei diesem Vorgang zu erhalten. | ||
| 2 | Wählen Sie einen Domänennamen für Ihre HDS-Bereitstellung (z. B. | ||
| 3 | Bereiten Sie identische virtuelle Hosts vor, die Sie als Hybrid-Datensicherheitsknoten in Ihrem Cluster einrichten. Sie benötigen mindestens zwei separate Hosts (3 empfohlen) in demselben sicheren Rechenzentrum, die die Anforderungen unter „Anforderungen an virtuelle Hosts“ erfüllen. | ||
| 4 | Bereiten Sie den Datenbankserver vor, der als Schlüsseldatenspeicher für den Cluster fungieren wird, gemäß den Anforderungen des Datenbankservers . Der Datenbankserver muss im sicheren Rechenzentrum mit den virtuellen Hosts verbunden sein. | ||
| 5 | Richten Sie für eine schnelle Notfallwiederherstellung eine Sicherungsumgebung in einem anderen Rechenzentrum ein. Die Backup-Umgebung spiegelt die Produktionsumgebung von VMs und einem Backup-Datenbankserver wider. Wenn die Produktion beispielsweise über 3 VMs verfügt, auf denen HDS-Knoten ausgeführt werden, sollte die Sicherungsumgebung über 3 VMs verfügen. | ||
| 6 | Richten Sie einen Syslog-Host ein, um Protokolle von den Knoten im Cluster zu erfassen. Erfassen Sie die Netzwerkadresse und den Syslog-Port (standardmäßig UDP 514). | ||
| 7 | Erstellen Sie eine sichere Sicherungsrichtlinie für die Hybrid-Datensicherheitsknoten, den Datenbankserver und den Syslog-Host. Um nicht wiederherstellbaren Datenverlust zu vermeiden, müssen Sie mindestens die Datenbank und die KonfigurationsISO-Datei sichern, die für die Hybrid-Datensicherheitsknoten generiert wurde.
Webex-App-Clients speichern ihre Schlüssel im Cache, sodass ein Ausfall nicht sofort erkennbar ist, sich aber im Laufe der Zeit bemerkbar macht. Während vorübergehende Ausfälle nicht zu verhindern sind, sind sie wiedergutzumachen. Der vollständige Verlust (keine Backups verfügbar) der Datenbank oder der ISO-Konfigurationsdatei führt jedoch zu nicht wiederherstellbaren Kundendaten. Von den Betreibern der Hybrid-Datensicherheitsknoten wird erwartet, dass sie häufige Backups der Datenbank und der ISO-Konfigurationsdatei führen und bereit sind, das Hybrid-Datensicherheitsrechenzentrum bei einem katastrophalen Ausfall neu zu erstellen. | ||
| 8 | Stellen Sie sicher, dass Ihre Firewall-Konfiguration Verbindungen für Ihre Hybrid-Datensicherheitsknoten zulässt, wie unter „Externe Verbindungsanforderungen“ beschrieben. | ||
| 9 | Installieren Sie Docker ( https://www.docker.com) auf jedem lokalen Computer mit einem unterstützten Betriebssystem (Microsoft Windows 10 Professional oder Enterprise 64-Bit oder Mac OSX Yosemite 10.10.3 oder höher) mit einem Webbrowser, der auf ihn zugreifen kann unter http://127.0.0.1:8080. Sie verwenden die Docker-Instanz, um das HDS-Setup-Tool herunterzuladen und auszuführen, das die lokalen Konfigurationsinformationen für alle Hybrid-Datensicherheitsknoten erstellt. Möglicherweise benötigt Ihre Organisation eine Docker Desktop-Lizenz. Weitere Informationen finden Sie unter Docker Desktop-Anforderungen . Um das HDS Setup Tool zu installieren und auszuführen, muss die lokale Maschine über die unter „Externe Verbindungsanforderungen“ beschriebene Konnektivität verfügen. | ||
| 10 | Wenn Sie einen Proxy in Hybrid Data Security integrieren, stellen Sie sicher, dass er die Proxyserveranforderungen erfüllt. | ||
| 11 | Wenn Ihre Organisation die Verzeichnissynchronisierung verwendet, erstellen Sie eine Gruppe im Active Directory mit dem Namen
|
Ablauf der Bereitstellungsaufgabe für Hybrid-Datensicherheit
Vorbereitungen
| 1 | Installationsdateien herunterladen Laden Sie die OVA-Datei für eine spätere Verwendung auf Ihren lokalen Computer herunter. | ||
| 2 | Erstellen einer Konfigurations-ISO für die HDS-Hosts Verwenden Sie das HDS-Setup-Tool, um eine ISO-Konfigurationsdatei für die Hybrid-Datensicherheitsknoten zu erstellen. | ||
| 3 |
Erstellen Sie eine virtuelle Maschine aus der OVA-Datei und führen Sie die Erstkonfiguration durch, z. B. Netzwerkeinstellungen.
| ||
| 4 | Einrichten der Hybrid-DatensicherheitsVM Melden Sie sich bei der VM-Konsole an und legen Sie die Anmeldeinformationen fest. Konfigurieren Sie die Netzwerkeinstellungen für den Knoten, wenn Sie sie zum Zeitpunkt der OVA-Bereitstellung nicht konfiguriert haben. | ||
| 5 | Hochladen und Einhängen der HDS-KonfigurationsISO Konfigurieren Sie die VM über die ISO-Konfigurationsdatei, die Sie mit dem HDS Setup Tool erstellt haben. | ||
| 6 | Konfigurieren des HDS-Knotens für die Proxyintegration Wenn die Netzwerkumgebung eine Proxy-Konfiguration erfordert, geben Sie den Proxy-Typ an, den Sie für den Knoten verwenden möchten, und fügen Sie das Proxy-Zertifikat bei Bedarf dem Vertrauensspeicher hinzu. | ||
| 7 | Registrieren des ersten Knotens im Cluster Registrieren Sie die VM mit der Cisco Webex-Cloud als Hybrid-Datensicherheitsknoten. | ||
| 8 | Weitere Knoten erstellen und registrieren Schließen Sie die Cluster-Einrichtung ab. | ||
| 9 | Ausführen einer Testversion und Verschieben in Produktion (nächstes Kapitel) Bis Sie einen Test starten, erzeugen Ihre Knoten einen Alarm, der angibt, dass Ihr Dienst noch nicht aktiviert ist. |
Installationsdateien herunterladen
| 1 | Melden Sie sich bei https://admin.webex.com an und klicken Sie dann auf Services . | ||||
| 2 | Suchen Sie im Abschnitt Hybrid-Dienste nach der Hybrid-Datensicherheitskarte und klicken Sie auf Einrichten . Wenn die Karte deaktiviert ist oder Sie sie nicht sehen, wenden Sie sich an Ihr Kontoteam oder Ihre Partnerorganisation. Geben Sie ihnen Ihre Kontonummer und bitten Sie sie, Ihre Organisation für Hybrid-Datensicherheit zu aktivieren. Um die Kontonummer zu finden, klicken Sie oben rechts neben dem Namen Ihrer Organisation auf das Zahnrad.
| ||||
| 3 | Wählen Sie No aus, um anzugeben, dass Sie den Knoten noch nicht eingerichtet haben, und klicken Sie dann auf Next . Die OVA-Datei wird automatisch heruntergeladen. Speichern Sie die Datei an einem Speicherort auf Ihrem Computer.
| ||||
| 4 | Klicken Sie optional auf Bereitstellungsleitfaden öffnen , um zu überprüfen, ob eine neuere Version dieses Leitfadens verfügbar ist. |
Erstellen einer Konfigurations-ISO für die HDS-Hosts
Der Einrichtungsprozess für die Hybrid-Datensicherheit erstellt eine ISO-Datei. Anschließend verwenden Sie ISO, um Ihren Hybrid-Datensicherheitshost zu konfigurieren.
Vorbereitungen
Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zuzugreifen, führen Sie Docker auf diesem Computer aus. Für die Einrichtung sind die Anmeldeinformationen eines Control Hub-Kontos mit vollständigen Administratorrechten für Ihre Organisation erforderlich.
Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxyeinstellungen (Server, Port, Anmeldeinformationen) über Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in Schritt 5 öffnen. In dieser Tabelle sind einige mögliche Umgebungsvariablen aufgeführt:
Beschreibung
Variable
HTTP-Proxy ohne Authentifizierung
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-Proxy ohne Authentifizierung
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-Proxy mit Authentifizierung
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS-Proxy mit Authentifizierung
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTDie von Ihnen generierte ISO-Konfigurationsdatei enthält den Master-Schlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die neueste Kopie dieser Datei, wenn Sie Konfigurationsänderungen vornehmen, z. B.:
Datenbankanmeldeinformationen
Zertifikatsaktualisierungen
Änderungen an Autorisierungsrichtlinie
Wenn Sie Datenbankverbindungen verschlüsseln möchten, richten Sie Ihre PostgreSQL- oder SQL Server-Bereitstellung für TLS ein.
| 1 | Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein: In normalen Umgebungen: In FedRAMP-Umgebungen:
| ||||||||||||
| 2 | Geben Sie Folgendes ein, um sich bei der Docker-Image-Registrierung anzumelden: | ||||||||||||
| 3 | Geben Sie bei der Passworteingabe diesen Hashwert ein: | ||||||||||||
| 4 | Laden Sie das neueste stabile Image für Ihre Umgebung herunter: In normalen Umgebungen: In FedRAMP-Umgebungen: | ||||||||||||
| 5 | Geben Sie nach Abschluss des Pull-Vorgangs den entsprechenden Befehl für Ihre Umgebung ein:
Wenn der Container ausgeführt wird, wird „Express-Server überwacht Port 8080“ angezeigt. | ||||||||||||
| 6 |
Navigieren Sie über einen Webbrowser zum Localhost, Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto festzulegen. Das Tool zeigt dann die Standardanmeldeaufforderung an. | ||||||||||||
| 7 | Wenn Sie dazu aufgefordert werden, geben Sie die Anmeldeinformationen für den Control Hub-Kundenadministrator ein und klicken Sie dann auf Anmelden , um den Zugriff auf die für die Hybrid-Datensicherheit erforderlichen Dienste zu ermöglichen. | ||||||||||||
| 8 | Klicken Sie auf der Setup-Tool-Übersichtsseite auf Erste Schritte . | ||||||||||||
| 9 | Auf der Seite ISO Import stehen Ihnen folgende Optionen zur Verfügung:
| ||||||||||||
| 10 | Überprüfen Sie, ob Ihr X.509-Zertifikat die Anforderungen unter X.509-Zertifikatanforderungen erfüllt.
| ||||||||||||
| 11 | Geben Sie die Datenbankadresse und das Konto für HDS ein, um auf Ihren wichtigen Datenspeicher zuzugreifen: | ||||||||||||
| 12 | Wählen Sie einen TLS-Datenbankverbindungsmodus :
Wenn Sie das Stammzertifikat hochladen (falls erforderlich) und auf Weiter klicken, testet das HDS-Setup-Tool die TLS-Verbindung zum Datenbankserver. Das Tool überprüft auch den Unterzeichner des Zertifikats und den Host-Name, falls zutreffend. Wenn ein Test fehlschlägt, zeigt das Tool eine Fehlermeldung an, in der das Problem beschrieben wird. Sie können auswählen, ob Sie den Fehler ignorieren und mit der Einrichtung fortfahren möchten. (Aufgrund von Konnektivitätsunterschieden können die HDS-Knoten möglicherweise die TLS-Verbindung herstellen, auch wenn die HDS Setup Tool-Maschine sie nicht erfolgreich testen kann.) | ||||||||||||
| 13 | Konfigurieren Sie auf der Seite "Systemprotokolle" Ihren Syslogd-Server: | ||||||||||||
| 14 | (Optional) Sie können den Standardwert für einige Datenbankverbindungsparameter unter „Erweiterte Einstellungen“ ändern. Im Allgemeinen ist dieser Parameter der einzige, den Sie ändern möchten: | ||||||||||||
| 15 | Klicken Sie auf „Weiter“ im Bildschirm „Dienstkonten-Passwort zurücksetzen “. Passwörter für Dienstkonten haben eine Lebensdauer von neun Monaten. Verwenden Sie diesen Bildschirm, wenn Ihre Passwörter bald ablaufen oder Sie sie zurücksetzen möchten, um frühere ISO-Dateien ungültig zu machen. | ||||||||||||
| 16 | Klicken Sie auf ISO-Datei herunterladen . Speichern Sie die Datei an einem leicht auffindbaren Speicherort. | ||||||||||||
| 17 | Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Halten Sie die Sicherungskopie sicher. Diese Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff nur auf Hybrid-Datensicherheitsadministratoren, die Konfigurationsänderungen vornehmen sollten. | ||||||||||||
| 18 | Geben Sie zum Herunterfahren des Setup-Tools |
Nächste Schritte
Sichern Sie die ISO-Konfigurationsdatei. Sie benötigen sie, um weitere Knoten für die Wiederherstellung zu erstellen oder Konfigurationsänderungen vorzunehmen. Wenn Sie alle Kopien der ISO-Datei verlieren, haben Sie auch den Master-Schlüssel verloren. Das Wiederherstellen der Schlüssel aus Ihrer PostgreSQL- oder Microsoft SQL Server-Datenbank ist nicht möglich.
| Wir haben nie eine Kopie dieses Schlüssels und können nicht helfen, wenn Sie ihn verlieren. |
Installieren der HDS-Host-OVA
| 1 | Melden Sie sich mit dem VMware vSphere-Client auf Ihrem Computer beim virtuellen ESXi-Host an. | ||||||
| 2 | Wählen Sie Datei > OVF-Vorlage bereitstellen aus. | ||||||
| 3 | Geben Sie im Assistenten den Speicherort der OVA-Datei an, die Sie zuvor heruntergeladen haben, und klicken Sie dann auf Weiter . | ||||||
| 4 | Auf der Wählen Sie einen Namen und Ordner aus Seite, geben Sie einen Name der virtuellen Maschine Wählen Sie für den Knoten (z. B. „HDS _ N ode_ 1“) einen Standort aus, an dem sich die Bereitstellung des Knotens der virtuellen Maschine befinden kann, und klicken Sie dann auf Weiter . | ||||||
| 5 | Auf der Berechnungsressource auswählen Seite, wählen Sie die Zielberechnungsressource aus, und klicken Sie dann auf Weiter . Eine Validierungsprüfung wird durchgeführt. Nach dem Abschluss werden die Vorlagendetails angezeigt. | ||||||
| 6 | Überprüfen Sie die Vorlagendetails und klicken Sie dann auf Weiter . | ||||||
| 7 | Wenn Sie aufgefordert werden, die Ressourcenkonfiguration auf dem Konfiguration Seite, klicken Sie auf <UNK> 4 CPU <UNK> und klicken Sie dann auf Weiter . | ||||||
| 8 | Auf der Speicher auswählen Seite, klicken Sie auf Weiter um das Standard-Festplattenformat und die VM-Speicherrichtlinie zu akzeptieren. | ||||||
| 9 | Auf der Netzwerke auswählen wählen Sie die Netzwerkoption aus der Liste der Einträge aus, um die gewünschte Konnektivität für die VM bereitzustellen. | ||||||
| 10 | Konfigurieren Sie auf der Seite Vorlage anpassen die folgenden Netzwerkeinstellungen:
Falls bevorzugt, können Sie die Konfiguration der Netzwerkeinstellungen überspringen und die Schritte unter Einrichten der Hybrid Data Security VM ausführen, um die Einstellungen über die Knotenkonsole zu konfigurieren.
| ||||||
| 11 | Klicken Sie mit der rechten Maustaste auf die Knoten-VM, und wählen Sie . Die Hybrid Data Security-Software wird als Gast auf dem VM-Host installiert. Sie können sich jetzt bei der Konsole anmelden und den Knoten konfigurieren. Tipps zur Fehlerbehebung Es kann zu einer Verzögerung von einigen Minuten kommen, bis die Knotencontainer angezeigt werden. Beim erstmaligen Start wird eine Bridge-Firewall-Nachricht angezeigt, während der Sie sich anmelden können. |
Einrichten der Hybrid-DatensicherheitsVM
Mit diesem Verfahren können Sie sich zum ersten Mal bei der VM-Konsole des Hybrid-Datensicherheitsknotens anmelden und die Anmeldeinformationen festlegen. Sie können auch die Konsole verwenden, um die Netzwerkeinstellungen für den Knoten zu konfigurieren, wenn Sie sie zum Zeitpunkt der OVA-Bereitstellung nicht konfiguriert haben.
| 1 | Wählen Sie im VMware vSphere-Client Ihre VM mit Hybrid-Datensicherheitsknoten und anschließend die Registerkarte Konsole aus. Die VM wird gestartet und eine Anmeldeaufforderung wird angezeigt. Drücken Sie die Eingabetaste, falls der Anmeldebildschirm nicht angezeigt wird.
|
| 2 | Verwenden Sie die folgenden Standard-Anmeldedaten und das Passwort, um sich anzumelden und die Anmeldedaten zu ändern: Da Sie sich zum ersten Mal bei Ihrer VM anmelden, müssen Sie das Administratorpasswort ändern. |
| 3 | Wenn Sie die Netzwerkeinstellungen bereits unter Installieren Sie die HDS-Host-OVA konfiguriert haben, überspringen Sie den Rest dieses Verfahrens. Andernfalls wählen Sie im Hauptmenü die Option Konfiguration bearbeiten aus. |
| 4 | Richten Sie eine statische Konfiguration mit IP-Adresse, Maske, Gateway- und DNS-Informationen ein. Ihr Knoten sollte eine interne IP-Adresse und einen DNS-Namen haben. DHCP wird nicht unterstützt. |
| 5 | (Optional) Ändern Sie bei Bedarf den Hostnamen, die Domäne oder die NTP-Server, um sie mit Ihrer Netzwerkrichtlinie abzugleichen. Sie müssen die Domäne nicht mit der Domäne übereinstimmen, mit der Sie das X.509-Zertifikat erhalten haben. |
| 6 | Speichern Sie die Netzwerkkonfiguration und starten Sie die VM neu, damit die Änderungen wirksam werden. |
Hochladen und Einhängen der HDS-KonfigurationsISO
Vorbereitungen
Da die ISO-Datei den Master-Schlüssel enthält, sollte sie nur auf der Basis des "Need-to-know"-Zugangs durch die Hybrid Data Security VMs und alle Administratoren, die Änderungen vornehmen müssen, offengelegt werden. Stellen Sie sicher, dass nur diese Administratoren auf den Datenspeicher zugreifen können.
| 1 | Laden Sie die ISO-Datei von Ihrem Computer hoch: |
| 2 | Binden Sie die ISO-Datei ein: |
Nächste Schritte
Wenn Ihre IT-Richtlinie es erfordert, können Sie die ISO-Datei optional unmounten, nachdem alle Knoten die Konfigurationsänderungen übernommen haben. Weitere Informationen finden Sie unter (Optional) ISO nach HDS-Konfiguration abmontieren .
Konfigurieren des HDS-Knotens für die Proxyintegration
Wenn die Netzwerkumgebung einen Proxy erfordert, verwenden Sie dieses Verfahren, um den Proxytyp anzugeben, den Sie in die Hybrid-Datensicherheit integrieren möchten. Wenn Sie einen transparenten Prüfproxy oder einen expliziten HTTPS-Proxy auswählen, können Sie die Schnittstelle des Knotens verwenden, um das Stammzertifikat hochzuladen und zu installieren. Sie können auch die Proxy-Verbindung über die Schnittstelle überprüfen und potenzielle Probleme beheben.
Vorbereitungen
Eine Übersicht der unterstützten Proxy-Optionen finden Sie unter Proxy-Unterstützung.
| 1 | HDS-Knoten-Setup-URL eingeben |
| 2 | Gehen Sie zu Vertrauensspeicher und Proxy und wählen Sie eine Option aus:
Führen Sie die nächsten Schritte für einen transparenten Prüfproxy, einen HTTP-Proxy mit einfacher Authentifizierung oder einen HTTPS-Proxy aus. |
| 3 | Klicken Sie auf Stammzertifikat hochladen oder Entitätszertifikat beenden , und navigieren Sie dann zu einem Stammzertifikat für den Proxy. Das Zertifikat ist hochgeladen, aber noch nicht installiert, da Sie den Knoten neu starten müssen, um das Zertifikat zu installieren. Klicken Sie auf den chevron-Pfeil nach dem Namen des Zertifikatsausstellers, um weitere Details zu erhalten, oder klicken Sie auf Löschen , wenn Sie einen Fehler gemacht haben und die Datei erneut hochladen möchten. |
| 4 | Klicken Sie auf Proxyverbindung prüfen , um die Netzwerkkonnektivität zwischen dem Knoten und dem Proxy zu testen. Wenn der Verbindungstest fehlschlägt, wird eine Fehlermeldung mit dem Grund und wie Sie das Problem beheben können angezeigt. Wenn eine Meldung angezeigt wird, dass die externe DNS-Auflösung nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen. Diese Bedingung wird in vielen expliziten Proxy-Konfigurationen erwartet. Sie können mit der Einrichtung fortfahren, und der Knoten funktioniert im Blockierten externen DNS-Auflösungsmodus. Wenn Sie der Meinung sind, dass es sich um einen Fehler handelt, führen Sie die folgenden Schritte aus, und lesen Sie anschließend Deaktivieren Sie den blockierten externen DNS-Auflösungsmodus . |
| 5 | Wenn der Verbindungstest bestanden hat und der explizite Proxy auf „Nur https“ festgelegt ist, aktivieren Sie den Umschalter auf „ Alle Port 443/444-https-Anfragen von diesem Knoten über den expliziten Proxy weiterleiten“ . Diese Einstellung benötigt 15 Sekunden, um wirksam zu werden. |
| 6 | Klicken Sie auf Installieren Sie alle Zertifikate in den Vertrauensspeicher (wird für einen expliziten HTTPS-Proxy oder einen transparenten Prüfproxy angezeigt) oder Reboot (wird für einen expliziten HTTP-Proxy angezeigt), lesen Sie die Eingabeaufforderung und klicken Sie anschließend auf Installieren , wenn Sie bereit sind. Der Knoten wird innerhalb weniger Minuten neu gestartet. |
| 7 | Nachdem der Knoten neu gestartet wurde, melden Sie sich bei Bedarf erneut an und öffnen Sie die Seite „Übersicht“ , um die Konnektivitätsprüfungen zu überprüfen, um sicherzustellen, dass alle im grünen Status sind. Die Proxy-Verbindungsprüfung testet nur eine Unterdomäne von webex.com. Wenn Verbindungsprobleme auftreten, besteht ein häufiges Problem darin, dass einige der in den Installationsanweisungen aufgeführten Cloud-Domänen am Proxy blockiert werden. |
Registrieren des ersten Knotens im Cluster
Bei der Registrierung Ihres ersten Knotens erstellen Sie ein Cluster, zu dem der Knoten zugewiesen wird. Ein Cluster enthält einen oder mehrere Knoten, die für Redundanz bereitgestellt werden.
Vorbereitungen
Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.
Stellen Sie sicher, dass alle Popupblocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.
| 1 | Melden Sie sich bei https://admin.webex.com an. |
| 2 | Wählen Sie im Menü auf der linken Seite die Option Dienste aus. |
| 3 | Suchen Sie im Abschnitt Hybrid-Dienste nach Hybrid-Datensicherheit und klicken Sie auf Einrichten . Die Seite „Hybrid-Datensicherheitsknoten registrieren“ wird angezeigt.
|
| 4 | Wählen Sie Ja aus, um anzugeben, dass Sie den Knoten eingerichtet haben und bereit sind, ihn zu registrieren, und klicken Sie dann auf Weiter . |
| 5 | Geben Sie im ersten Feld einen Namen für das Cluster ein, dem Sie Ihren Hybrid-Datensicherheitsknoten zuweisen möchten. Benennen Sie Ihre Cluster nach Möglichkeit nach dem geografischen Standort der Clusterknoten. Beispiele: "San Francisco" oder "New York" oder "Dallas" |
| 6 | Geben Sie im zweiten Feld die interne IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) Ihres Knotens ein und klicken Sie auf Weiter . Diese IP-Adresse oder FQDN sollte mit der IP-Adresse oder dem Host-Namen und der Domäne übereinstimmen, die Sie bei „Einrichten der Hybrid-Datensicherheits-VM“ verwendet haben. Es wird eine Meldung angezeigt, die angibt, dass Sie Ihren Knoten in Webex registrieren können.
|
| 7 | Klicken Sie auf Zum Knoten wechseln. |
| 8 | Klicken Sie in der Warnmeldung auf Weiter. Nach einigen Augenblicken werden Sie zu den Knotenverbindungstests für Webex-Dienste umgeleitet. Wenn alle Tests erfolgreich sind, wird die Seite „Zugriff auf Hybrid-Datensicherheitsknoten zulassen“ angezeigt. Dort bestätigen Sie, dass Sie Ihrer Webex-Organisation Berechtigungen für den Zugriff auf Ihren Knoten erteilen möchten.
|
| 9 | Aktivieren Sie das Kontrollkästchen Zugriff auf Ihren Hybrid-Datensicherheitsknoten zulassen und klicken Sie dann auf Weiter . Ihr Konto wird überprüft, und die Meldung „Registrierung abgeschlossen“ zeigt an, dass Ihr Knoten jetzt in der Webex-Cloud registriert ist.
|
| 10 | Klicken Sie auf den Link oder schließen Sie die Registerkarte, um zur Seite „Control Hub Hybrid-Datensicherheit“ zurückzukehren. Auf der Seite Hybrid-Datensicherheit wird das neue Cluster mit dem registrierten Knoten angezeigt. Der Knoten lädt die neueste Software automatisch aus der Cloud herunter.
|
Weitere Knoten erstellen und registrieren
| Zu diesem Zeitpunkt sind die Backup-VMs, die Sie unter Erfüllen der Voraussetzungen für Hybrid Data Security erstellt haben, Standby-Hosts, die nur im Falle einer Notfallwiederherstellung verwendet werden; sie sind bis dahin nicht beim System registriert. Weitere Informationen finden Sie unter Notfallwiederherstellung mit dem Standby-Rechenzentrum . |
Vorbereitungen
Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.
Stellen Sie sicher, dass alle Popupblocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.
| 1 | Erstellen Sie eine neue virtuelle Maschine aus der OVA und wiederholen Sie die Schritte unter Installieren Sie die HDS-Host-OVA . |
| 2 | Richten Sie die Erstkonfiguration auf der neuen VM ein und wiederholen Sie die Schritte unter Richten Sie die Hybrid Data Security VM ein. |
| 3 | Wiederholen Sie auf der neuen VM die Schritte unter Hochladen und Einhängen der HDS-Konfiguration ISO . |
| 4 | Wenn Sie einen Proxy für Ihre Bereitstellung einrichten, wiederholen Sie die Schritte unter Konfigurieren des HDS-Knotens für die Proxy-Integration nach Bedarf für den neuen Knoten. |
| 5 | Registrieren Sie den Knoten. Ihr Knoten ist registriert. Beachten Sie, dass Ihre Knoten bis zum Starten einer Testversion einen Alarm generieren, der angibt, dass Ihr Dienst noch nicht aktiviert ist.
|
Nächste Schritte
Ablauf der Testversion der Produktionsaufgabe
Nachdem Sie einen Hybrid-Datensicherheitscluster eingerichtet haben, können Sie einen Pilotversuch starten, Benutzer hinzufügen und damit beginnen, Ihre Bereitstellung zu testen und zu überprüfen, um auf die Produktion vorzubereiten.
Vorbereitungen
| 1 | Synchronisieren Sie ggf. die Wenn Ihre Organisation die Verzeichnissynchronisierung für Benutzer verwendet, müssen Sie die |
| 2 |
Starten Sie eine Testversion. Bis Sie diese Aufgabe ausführen, generieren Ihre Knoten einen Alarm, der angibt, dass der Dienst noch nicht aktiviert ist. |
| 3 | Testen Sie Ihre Hybrid-Datensicherheitsbereitstellung Überprüfen Sie, ob wichtige Anforderungen an Ihre Hybrid-Datensicherheitsbereitstellung übergeben werden. |
| 4 | Hybrid-Datensicherheitsstatus überwachen Überprüfen Sie den Status und richten Sie E-Mail-Benachrichtigungen für Alarme ein. |
| 5 | Hinzufügen oder Entfernen von Benutzern aus Ihrer Testversion |
| 6 | Schließen Sie die Testphase mit einer der folgenden Aktionen ab: |
Testversion aktivieren
Vorbereitungen
Wenn Ihre Organisation die Verzeichnissynchronisierung für Benutzer verwendet, müssen Sie die HdsTrialGroup Gruppenobjekt für die Synchronisierung mit der Cloud, bevor Sie eine Testversion für Ihre Organisation starten können. Anweisungen finden Sie im Bereitstellungsleitfaden für den Cisco Directory Connector.
| 1 | Melden Sie sich bei https://admin.webex.com an und wählen Sie dann Dienste . |
| 2 | Klicken Sie unter „Hybrid-Datensicherheit“ auf „Einstellungen“ . |
| 3 | Klicken Sie im Abschnitt „Dienststatus“ auf Test starten . Der Dienststatus ändert sich in den Testmodus.
|
| 4 | Klicken Sie auf Benutzer hinzufügen und geben Sie die E-Mail-Adresse eines oder mehrerer Benutzer ein, um Ihre Hybrid-Datensicherheitsknoten für Verschlüsselungs- und Indexierungsdienste zu verwenden. (Wenn Ihre Organisation die Verzeichnissynchronisierung verwendet, verwenden Sie Active Directory, um die Testgruppe zu verwalten, |
Testen Sie Ihre Hybrid-Datensicherheitsbereitstellung
Vorbereitungen
Richten Sie Ihre Bereitstellung für Hybrid-Datensicherheit ein.
Aktivieren Sie die Testversion und fügen Sie mehrere Testbenutzer hinzu.
Stellen Sie sicher, dass Sie Zugriff auf das Syslog haben, um zu überprüfen, ob wichtige Anforderungen an Ihre Bereitstellung für die Hybrid-Datensicherheit weitergeleitet werden.
| 1 | Schlüssel für einen bestimmten Bereich werden vom Ersteller des Bereichs festgelegt. Melden Sie sich bei der Webex-App als einer der Pilotbenutzer an, erstellen Sie einen Bereich und laden Sie mindestens einen Pilotbenutzer und einen Nicht-Pilotbenutzer ein.
| ||
| 2 | Nachrichten an den neuen Bereich senden. | ||
| 3 | Überprüfen Sie die Syslog-Ausgabe, um zu überprüfen, ob die Schlüsselanforderungen an Ihre Hybrid-Datensicherheitsbereitstellung übergeben werden. |
Hybrid-Datensicherheitsstatus überwachen
| 1 | Wählen Sie in Control Hub im Menü auf der linken Seite des Bildschirms Dienste aus. |
| 2 | Suchen Sie im Abschnitt Hybrid-Dienste nach Hybrid Data Security und klicken Sie auf Einstellungen . Die Seite „Hybrid-Datensicherheitseinstellungen“ wird angezeigt.
|
| 3 | Geben Sie im Abschnitt E-Mail-Benachrichtigungen eine oder mehrere durch Kommas getrennte E-Mail-Adressen ein und drücken Sie die Eingabetaste. |
Hinzufügen oder Entfernen von Benutzern aus Ihrer Testversion
Wenn Sie einen Benutzer aus der Testversion entfernen, fordert der Client des Benutzers die Schlüssel und die Schlüsselerstellung aus dem Cloud-KMS anstelle Ihres KMS an. Wenn der Client einen Schlüssel benötigt, der auf Ihrem KMS gespeichert ist, ruft der Cloud-KMS ihn im Namen des Benutzers ab.
Wenn Ihre Organisation die Verzeichnissynchronisierung verwendet, verwenden Sie Active Directory (anstelle dieses Verfahrens), um die Testgruppe zu verwalten, HdsTrialGroup; Sie können die Gruppenmitglieder in Control Hub anzeigen, aber nicht hinzufügen oder entfernen.
| 1 | Melden Sie sich bei Control Hub an und wählen Sie dann „Dienste“ . |
| 2 | Klicken Sie unter „Hybrid-Datensicherheit“ auf „Einstellungen“ . |
| 3 | Klicken Sie im Testmodus des Dienststatusbereichs auf Benutzer hinzufügen oder klicken Sie auf Anzeigen und Bearbeiten , um Benutzer aus der Testversion zu entfernen. |
| 4 | Geben Sie die E-Mail-Adresse eines oder mehrerer Benutzer ein, die Sie hinzufügen möchten, oder klicken Sie auf das X-Zeichen neben einer Benutzer-ID, um den Benutzer aus der Testversion zu entfernen. Klicken Sie dann auf Speichern . |
Übergang von der Testversion zur Produktion
| 1 | Melden Sie sich bei Control Hub an und wählen Sie dann „Dienste“ . |
| 2 | Klicken Sie unter „Hybrid-Datensicherheit“ auf „Einstellungen“ . |
| 3 | Klicken Sie im Abschnitt „Dienststatus“ auf Zu Produktion wechseln . |
| 4 | Bestätigen Sie, dass Sie alle Benutzer in die Produktion verschieben möchten. |
Beenden Sie Ihren Test, ohne zur Produktion zu wechseln
| 1 | Melden Sie sich bei Control Hub an und wählen Sie dann „Dienste“ . |
| 2 | Klicken Sie unter „Hybrid-Datensicherheit“ auf „Einstellungen“ . |
| 3 | Klicken Sie im Abschnitt Deaktivieren auf Deaktivieren . |
| 4 | Bestätigen Sie, dass Sie den Dienst deaktivieren und den Test beenden möchten. |
Verwalten der HDS-Bereitstellung
Verwenden Sie die hier beschriebenen Aufgaben, um Ihre Bereitstellung für die Hybrid-Datensicherheit zu verwalten.
Cluster-Upgrade-Zeitplan festlegen
So legen Sie den Upgrade-Zeitplan fest:
| 1 | Melden Sie sich bei Control Hub an. |
| 2 | Wählen Sie auf der Übersichtsseite unter Hybriddienste die Option Hybrid-Datensicherheit . |
| 3 | Wählen Sie auf der Seite Hybrid-Datensicherheitsressourcen den Cluster aus. |
| 4 | Wählen Sie im Übersichtsbereich auf der rechten Seite unter Cluster-Einstellungen den Cluster-Namen aus. |
| 5 | Wählen Sie auf der Einstellungsseite unter Upgrade die Uhrzeit und die Zeitzone für den Upgrade-Zeitplan aus. Hinweis: Unter der Zeitzone wird der nächste verfügbare Zeitpunkt für ein Upgrade angezeigt. Sie können das Upgrade bei Bedarf auf den folgenden Tag verzögern, indem Sie auf Verschieben klicken. |
Knotenkonfiguration ändern
x.509-Zertifikate werden vor Ablauf oder aus anderen Gründen geändert.
Das Ändern des CN- Domänenname eines Zertifikats wird nicht unterstützt. Die Domäne muss mit der ursprünglichen Domäne übereinstimmen, die zum Registrieren des Clusters verwendet wurde.
Aktualisieren der Datenbank , um zu einer Reproduktion der PostgreSQL- oder Microsoft SQL Server- Datenbank zu wechseln.
Die Migration von Daten von PostgreSQL zu Microsoft SQL Server oder umgekehrt wird nicht unterstützt. Um die Datenbank zu wechseln, starten Sie eine neue Bereitstellung von Hybrid Data Security.
Erstellen einer neuen Konfiguration zur Vorbereitung eines neuen Rechenzentrum.
Aus Sicherheitsgründen verwendet Hybrid Data Security Dienstkonten-Passwörter, die nach 9 Monaten ablaufen. Diese Passwörter werden durch das HDS Setup Tool generiert, und Sie können sie mittels der ISO-Konfigurationsdatei für Ihre einzelnen HDS-Knoten bereitstellen. Wenn die Passwörter Ihres Unternehmens bald ablaufen, erhalten Sie vom Webex-Team einen „Hinweis zum Passwortablauf“, in dem Sie gebeten werden, das Passwort für Ihr Computerkonto zurückzusetzen. (Die E-Mail enthält den Text „Verwenden Sie die Computerkonto- API , um das Passwort zu aktualisieren“.) Wenn Ihre Passwörter noch nicht abgelaufen sind, bietet Ihnen das Tool zwei Möglichkeiten:
Weiches Zurücksetzen – Das alte und das neue Passwort sind beide bis zu 10 Tage gültig. Nutzen Sie diesen Zeitraum, um die ISO -Datei auf den Knoten schrittweise zu ersetzen.
Hard-Reset – Die alten Passwörter funktionieren sofort nicht mehr.
Wenn Ihre Passwörter ohne Zurücksetzen ablaufen, wirkt sich dies auf Ihren HDS-Dienst aus und erfordert ein sofortiges Zurücksetzen und Ersetzen der ISO -Datei auf allen Knoten.
Mit diesem Verfahren können Sie eine neue ISO -Konfigurationsdatei generieren und auf Ihren Cluster anwenden.
Vorbereitungen
Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zuzugreifen, führen Sie Docker auf diesem Computer aus. Für die Einrichtung sind die Anmeldeinformationen eines Control Hub-Kontos mit vollständigen Administratorrechten für Ihre Organisation erforderlich.
Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxyeinstellungen (Server, Port, Anmeldeinformationen) über Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in 1.e öffnen. In dieser Tabelle sind einige mögliche Umgebungsvariablen aufgeführt:
Beschreibung
Variable
HTTP-Proxy ohne Authentifizierung
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-Proxy ohne Authentifizierung
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-Proxy mit Authentifizierung
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS-Proxy mit Authentifizierung
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTUm eine neue Konfiguration zu erstellen, benötigen Sie eine Kopie der aktuellen ISO-Konfigurationsdatei. Die ISO enthält den Master-Schlüssel, der die PostgreSQL- oder Microsoft SQL Server-Datenbank verschlüsselt. Sie benötigen das ISO , wenn Sie Konfigurationsänderungen vornehmen, einschließlich Datenbank , Zertifikatsaktualisierungen oder Änderungen an der Autorisierungsrichtlinie.
| 1 | Führen Sie auf einem lokalen Computer, auf dem Docker läuft, das HDS Setup Tool aus.
| ||||||
| 2 | Wenn Sie nur einen HDS-Knoten mit ausführen, erstellen Sie eine neue -Knoten-VM und registrieren Sie sie mithilfe der neuen ISO-Konfigurationsdatei. Detaillierte Anweisungen finden Sie unter Weitere Knoten erstellen und registrieren . | ||||||
| 3 | Für vorhandene HDS-Knoten, auf denen die ältere Konfigurationsdatei ausgeführt wird, mounten Sie die ISO -Datei. Führen Sie die folgenden Schritte nacheinander auf jedem Knoten aus und aktualisieren Sie dabei jeden Knoten, bevor Sie den nächsten Knoten ausschalten: | ||||||
| 4 | Wiederholen Sie Schritt 3, um bei jedem weiteren Knoten zu ersetzen, auf dem noch die alte Konfiguration ausgeführt wird, die Konfiguration zu ersetzen. |
Blockierten externen DNS-Auflösungsmodus deaktivieren
Wenn Sie einen Knoten registrieren oder die Proxy-Konfiguration des Knotens überprüfen, testet der Prozess die DNS-Suche und die Konnektivität mit der Cisco Webex-Cloud. Wenn der DNS-Server des Knotens öffentliche DNS-Namen nicht auflösen kann, wechselt der Knoten automatisch in den Modus für die blockierte externe DNS-Auflösung.
Wenn Ihre Knoten in der Lage sind, öffentliche DNS-Namen über interne DNS-Server aufzulösen, können Sie diesen Modus deaktivieren, indem Sie den Proxy-Verbindungstest auf jedem Knoten erneut ausführen.
Vorbereitungen
| 1 | Öffnen Sie in einem Webbrowser die Schnittstelle des hybriden Datensicherheitsknotens (IP-Adresse/Einrichtung, z. B. https://192.0.2.0/setup), geben Sie die Administratoranmeldeinformationen ein, die Sie für den Knoten eingerichtet haben, und klicken Sie dann auf Anmelden . |
| 2 | Gehen Sie zu „Übersicht“ (Standardseite). Wenn aktiviert, Blockierte externe DNS Auflösung ist festgelegt auf Ja . |
| 3 | Gehen Sie zur Seite „Vertrauensspeicher und Proxy “. |
| 4 | Klicken Sie auf Proxyverbindung prüfen . Wenn eine Meldung angezeigt wird, dass die externe DNS-Auflösung nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen und bleibt in diesem Modus. Andernfalls sollte nach dem Neustart des Knotens und dem Zurückkehren zur Übersichtsseite die blockierte externe DNS-Auflösung auf „Nein“ festgelegt werden. |
Nächste Schritte
Knoten entfernen
| 1 | Verwenden Sie den VMware vSphere-Client auf Ihrem Computer, um sich beim virtuellen ESXi-Host anzumelden und die virtuelle Maschine auszuschalten. |
| 2 | Knoten entfernen: |
| 3 | Löschen Sie im vSphere-Client die VM. (Klicken Sie im linken Navigationsbereich mit der rechten Maustaste auf die VM und klicken Sie auf Löschen .) Wenn Sie die VM nicht löschen, denken Sie daran, die Konfiguration der ISO-Datei aufzuheben. Ohne die ISO-Datei können Sie die VM nicht für den Zugriff auf Ihre Sicherheitsdaten verwenden. |
Notfallwiederherstellung mit Standby-Rechenzentrum
Der wichtigste Dienst, den Ihr Hybrid-Datensicherheitscluster bietet, ist die Erstellung und Speicherung von Schlüsseln, mit denen Nachrichten und andere in der Webex-Cloud gespeicherte Inhalte verschlüsselt werden. Für jeden Benutzer innerhalb der Organisation, der der Hybrid-Datensicherheit zugewiesen ist, werden neue Anforderungen zur Schlüsselerstellung an den Cluster weitergeleitet. Der Cluster ist auch dafür verantwortlich, die Schlüssel, die er erstellt hat, an alle Benutzer zurückzugeben, die zum Abrufen autorisiert sind, z. B. Mitglieder eines Konversationsbereichs.
Da der Cluster die wichtige Funktion zur Bereitstellung dieser Schlüssel ausführt, ist es zwingend erforderlich, dass der Cluster weiterhin ausgeführt wird und die ordnungsgemäßen Backups beibehalten werden. Der Verlust der Hybrid Data Security-Datenbank oder der für das Schema verwendeten Konfigurations-ISO führt zu einem NICHT WIEDERHERSTELLBAREN VERLUST von Kundeninhalten. Die folgenden Praktiken sind obligatorisch, um einen solchen Verlust zu verhindern:
Wenn eine Katastrophe dazu führt, dass die HDS-Bereitstellung im primären Rechenzentrum nicht mehr verfügbar ist, führen Sie die folgenden Schritte aus, um ein manuelles Failover zum Standby-Rechenzentrum durchzuführen.
| 1 | Starten Sie das HDS-Setup-Tool und befolgen Sie die unter Erstellen einer Konfigurations-ISO für die HDS-Hosts genannten Schritte. | ||
| 2 | Klicken Sie nach der Konfiguration des Syslogd-Servers auf Erweiterte Einstellungen | ||
| 3 | Fügen Sie auf der Seite Erweiterte Einstellungen die folgende Konfiguration hinzu oder entfernen Sie die
| ||
| 4 | Schließen Sie den Konfigurationsvorgang ab und speichern Sie die ISO-Datei an einem leicht zu findenden Speicherort. | ||
| 5 | Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Halten Sie die Sicherungskopie sicher. Diese Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff nur auf Hybrid-Datensicherheitsadministratoren, die Konfigurationsänderungen vornehmen sollten. | ||
| 6 | Klicken Sie im linken Navigationsbereich des VMware vSphere-Clients mit der rechten Maustaste auf die VM und klicken Sie auf Einstellungen bearbeiten.. | ||
| 7 | Klicken Sie auf Einstellungen bearbeiten > CD/DVD Laufwerk 1 und wählen Sie Datastore ISO File.
| ||
| 8 | Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 15 Minuten lang keine Alarme vorhanden sind. | ||
| 9 | Wiederholen Sie den Vorgang für jeden Knoten im Standby-Rechenzentrum.
|
Nächste Schritte
(Optional) ISO nach HDS-Konfiguration entmounten
Die Standard-HDS-Konfiguration wird mit der ISO-Montierung ausgeführt. Einige Kunden ziehen es jedoch vor, ISO-Dateien nicht kontinuierlich eingehängt zu lassen. Sie können die ISO-Datei unmounten, nachdem alle HDS-Knoten die neue Konfiguration übernommen haben.
Sie verwenden weiterhin die ISO-Dateien, um Konfigurationsänderungen vorzunehmen. Wenn Sie eine neue ISO erstellen oder eine ISO über das Setup-Tool aktualisieren, müssen Sie die aktualisierte ISO auf allen HDS-Knoten mounten. Nachdem alle Ihre Knoten die Konfigurationsänderungen übernommen haben, können Sie die ISO-Datei mit diesem Verfahren erneut unmounten.
Vorbereitungen
Aktualisieren Sie alle HDS-Knoten auf Version 2021.01.22.4720 oder höher.
| 1 | Fahren Sie einen Ihrer HDS-Knoten herunter. |
| 2 | Wählen Sie in der vCenter Server Appliance den HDS-Knoten aus. |
| 3 | Wählen Sie und Deaktivieren Datastore ISO File . |
| 4 | Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 20 Minuten lang keine Alarme vorhanden sind. |
| 5 | Wiederholen Sie den Vorgang für jeden HDS-Knoten. |
Anzeigen von Warnungen und Fehlerbehebung
Eine Bereitstellung der Hybrid-Datensicherheit gilt als nicht verfügbar, wenn alle Knoten im Cluster nicht erreichbar sind oder der Cluster so langsam arbeitet, dass eine Zeitüberschreitung erforderlich ist. Wenn Benutzer Ihren Hybrid-Datensicherheitscluster nicht erreichen können, treten die folgenden Symptome auf:
Neue Bereiche können nicht erstellt werden (neue Schlüssel können nicht erstellt werden)
Nachrichten und Bereichstitel können nicht entschlüsselt werden für:
Neue Benutzer zu einem Bereich hinzugefügt (Schlüssel können nicht abgerufen werden)
Vorhandene Benutzer in einem Bereich mit einem neuen Client (Schlüssel können nicht abgerufen werden)
Vorhandene Benutzer in einem Bereich werden weiterhin erfolgreich ausgeführt, solange ihre Clients über einen Cache mit den Verschlüsselungsschlüsseln verfügen.
Es ist wichtig, dass Sie Ihren Hybrid-Datensicherheitscluster ordnungsgemäß überwachen und alle Warnungen umgehend beheben, um Dienstunterbrechungen zu vermeiden.
Alerts
Wenn bei der Einrichtung der Hybrid-Datensicherheit ein Problem auftritt, zeigt Control Hub dem Organisationsadministrator Warnungen an und sendet E-Mails an die konfigurierte E-Mail-Adresse. Die Warnungen decken viele gängige Szenarien ab.
Warnung | Aktion |
|---|---|
Fehler beim Zugriff auf die lokale Datenbank. |
Suchen Sie nach Datenbankfehlern oder lokalen Netzwerkproblemen. |
Lokaler Datenbankverbindungsfehler. |
Überprüfen Sie, ob der Datenbankserver verfügbar ist und die richtigen Dienstkonto-Anmeldeinformationen in der Knotenkonfiguration verwendet wurden. |
Fehler beim Zugriff auf den Cloud-Dienst. |
Überprüfen Sie, ob die Knoten wie unter „Externe Konnektivitätsanforderungen“ beschrieben auf die Webex-Server zugreifen können. |
Erneute Registrierung des Cloud-Dienstes. |
Die Registrierung bei Cloud-Diensten wurde aufgehoben. Die Erneuerung der Registrierung läuft. |
Registrierung des Cloud-Dienstes wurde abgebrochen. |
Die Registrierung bei Cloud-Diensten wurde beendet. Der Dienst wird heruntergefahren. |
Dienst noch nicht aktiviert. |
Aktivieren Sie eine Testversion oder schließen Sie die Übertragung der Testversion auf die Produktion ab. |
Die konfigurierte Domäne stimmt nicht mit dem Serverzertifikat überein. |
Stellen Sie sicher, dass Ihr Serverzertifikat mit der konfigurierten Serviceaktivierungsdomäne übereinstimmt. Die wahrscheinlichste Ursache ist, dass der CN des Zertifikats vor Kurzem geändert wurde und sich nun vom CN unterscheidet, der bei der Ersteinrichtung verwendet wurde. |
Authentifizierung bei Cloud-Diensten fehlgeschlagen. |
Überprüfen Sie die Genauigkeit und den möglichen Ablauf der Anmeldeinformationen für das Dienstkonto. |
Lokale Keystore-Datei konnte nicht geöffnet werden. |
Überprüfen Sie die Integrität und Passwortgenauigkeit der lokalen Keystore-Datei. |
Das lokale Serverzertifikat ist ungültig. |
Überprüfen Sie das Ablaufdatum des Serverzertifikats und bestätigen Sie, dass es von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde. |
Metriken können nicht veröffentlicht werden. |
Überprüfen Sie den lokalen Netzwerkzugriff auf externe Cloud-Dienste. |
/media/configdrive/hds Verzeichnis existiert nicht. |
Überprüfen Sie die ISO-Bereitstellungskonfiguration auf dem virtuellen Host. Stellen Sie sicher, dass die ISO-Datei vorhanden ist, dass sie für das Einhängen beim Neustart konfiguriert ist und dass sie erfolgreich eingehängt wird. |
Fehlerbehebung bei Hybrid Data Security
| 1 | Prüfen Sie Control Hub auf alle Warnungen und beheben Sie alle Elemente, die Sie dort finden. |
| 2 | Prüfen Sie die Syslog-Serverausgabe auf die Aktivität aus der Bereitstellung für Hybrid-Datensicherheit. |
| 3 | Kontaktieren Sie den Cisco Support . |
Bekannte Probleme bei der Hybrid-Datensicherheit
Wenn Sie Ihren Hybrid-Datensicherheitscluster herunterfahren (indem Sie ihn in Control Hub löschen oder alle Knoten herunterfahren), Ihre ISO-Konfigurationsdatei verlieren oder den Zugriff auf die Keystore-Datenbank verlieren, können Ihre Webex-App-Benutzer keine Bereiche mehr in ihrer Personenliste verwenden, die mit Schlüsseln aus Ihrem KMS erstellt wurden. Dies gilt sowohl für Test- als auch für Produktionsbereitstellungen. Wir haben derzeit keine Problemumgehung oder Lösung für dieses Problem und bitten Sie dringend, Ihre HDS-Dienste nicht herunterzufahren, sobald sie aktive Benutzerkonten verarbeiten.
Ein Client, der eine vorhandene ECDH-Verbindung zu einer KMS hat, hält diese Verbindung für einen bestimmten Zeitraum (wahrscheinlich eine Stunde) aufrecht. Wenn ein Benutzer Mitglied einer Testversion für Hybrid-Datensicherheit wird, verwendet der Client des Benutzers die vorhandene ECDH-Verbindung weiter, bis die Zeitüberschreitung auftritt. Alternativ kann sich der Benutzer bei der Webex-App abmelden und erneut anmelden, um den Standort zu aktualisieren, den die App für Verschlüsselungsschlüssel kontaktiert.
Dasselbe Verhalten tritt auf, wenn Sie eine Testversion für die Organisation in die Produktion verschieben. Alle Nicht-Testbenutzer mit bestehenden ECDH-Verbindungen zu den vorherigen Datensicherheitsdiensten werden diese Dienste weiterhin nutzen, bis die ECDH-Verbindung neu ausgehandelt wird (durch Zeitüberschreitung oder durch Abmelden und zurück).
Verwenden von OpenSSL zum Generieren einer PKCS12-Datei
Vorbereitungen
OpenSSL ist ein Tool, mit dem die PKCS12-Datei im richtigen Format zum Laden im HDS Setup Tool erstellt werden kann. Es gibt andere Möglichkeiten, dies zu tun, und wir unterstützen oder fördern nicht den einen Weg über den anderen.
Wenn Sie sich für OpenSSL entscheiden, stellen wir Ihnen dieses Verfahren als Richtlinie zur Verfügung, um Ihnen zu helfen, eine Datei zu erstellen, die die X.509-Zertifikatanforderungen in X.509-Zertifikatanforderungen erfüllt. Machen Sie sich mit diesen Anforderungen vertraut, bevor Sie fortfahren.
Installieren Sie OpenSSL in einer unterstützten Umgebung. Siehe https://www.openssl.org für die Software und Dokumentation.
Erstellen Sie einen privaten Schlüssel.
Starten Sie dieses Verfahren, wenn Sie das Serverzertifikat von Ihrer Certificate Authority (CA) erhalten.
| 1 | Wenn Sie das Serverzertifikat von Ihrer CA erhalten, speichern Sie es als |
| 2 | Zeigen Sie das Zertifikat als Text an und überprüfen Sie die Details.
|
| 3 | Verwenden Sie einen Texteditor, um eine Zertifikatspaket-Datei mit dem Namen
|
| 4 | Erstellen Sie die .p12-Datei mit dem freundlichen Namen
|
| 5 | Überprüfen Sie die Details des Serverzertifikats. |
Nächste Schritte
Zurück zu Vervollständigen der Voraussetzungen für Hybrid-Datensicherheit . Sie werden die hdsnode.p12 Datei und das Kennwort, das Sie dafür festgelegt haben, unter Erstellen einer Konfigurations-ISO für die HDS-Hosts .
| Sie können diese Dateien wiederverwenden, um ein neues Zertifikat anzufordern, wenn das ursprüngliche Zertifikat abläuft. |
Datenverkehr zwischen den HDS-Knoten und der Cloud
Datenverkehr bei Sammlung ausgehender Metriken
Die Hybrid-Datensicherheitsknoten senden bestimmte Metriken an die Webex-Cloud. Dazu gehören Systemmetriken für Heap max, Heap verwendet, CPU-Auslastung und Thread-Anzahl; Metriken zu synchronen und asynchronen Threads; Metriken zu Warnungen, die einen Schwellenwert für Verschlüsselungsverbindungen, Latenz oder eine Länge der Anforderungswarteschlange umfassen; Metriken zum Datenspeicher und Verschlüsselungsverbindungsmetriken. Die Knoten senden verschlüsseltes Schlüsselmaterial über einen Out-of-Band-Kanal (getrennt von der Anforderung).
Eingehender Verkehr
Die Hybrid-Datensicherheitsknoten erhalten die folgenden Arten von eingehendem Datenverkehr aus der Webex-Cloud:
Verschlüsselungsanfragen von Clients, die vom Verschlüsselungsdienst weitergeleitet werden
Upgrades auf die Knotensoftware
Squid-Proxys für Hybrid Data Security konfigurieren
Websocket kann keine Verbindung über Squid Proxy herstellen
Squid-Proxys, die HTTPS-Datenverkehr prüfen, können die Einrichtung von Websocket beeinträchtigen ( wss:) Verbindungen, die für die Hybrid-Datensicherheit erforderlich sind. In diesen Abschnitten finden Sie eine Anleitung, wie Sie verschiedene Versionen von Squid so konfigurieren, dass sie ignoriert werden. wss: Verkehr für den ordnungsgemäßen Betrieb der Dienste.
Tintenfisch 4 und 5
Fügen Sie die on_unsupported_protocol Direktive zu squid.conf:
on_unsupported_protocol tunnel allTintenfisch 3.5.27
Wir haben die Hybrid-Datensicherheit erfolgreich getestet und die folgenden Regeln hinzugefügt: squid.conf. Diese Regeln können sich bei der Entwicklung von Funktionen und der Aktualisierung der Webex-Cloud ändern.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allNeue und geänderte Informationen
Datum | Vorgenommene Änderungen | ||
|---|---|---|---|
20. Oktober 2023 |
| ||
07. August 2023 |
| ||
Dienstag, 23. Mai 2023 |
| ||
06. Dezember 2022 |
| ||
23. November 2022 |
| ||
13. Oktober 2021 | Docker Desktop muss ein Setup-Programm ausführen, bevor Sie HDS-Knoten installieren können. Siehe Docker Desktop-Anforderungen . | ||
24. Juni 2021 | Beachten Sie, dass Sie die Datei mit dem privaten Schlüssel und den CSR wiederverwenden können, um ein anderes Zertifikat anzufordern. Weitere Informationen finden Sie unter Verwenden von OpenSSL zum Generieren einer PKCS12-Datei . | ||
| 30. April 2021 | Die VM-Anforderung für lokalen Festplattenspeicher wurde auf 30 GB geändert. Weitere Informationen finden Sie unter „Anforderungen für virtuelle Gastgeber“. | ||
Mittwoch, 24. Februar 2021 | Das HDS Setup Tool kann jetzt hinter einem Proxy ausgeführt werden. Weitere Informationen finden Sie unter Erstellen einer Konfigurations-ISO für die HDS-Hosts . | ||
2. Februar 2021 | HDS kann jetzt ohne gemountete ISO-Datei ausgeführt werden. Weitere Informationen finden Sie unter (Optional) ISO nach HDS-Konfiguration abmontieren . | ||
11. Januar 2021 | Informationen zum HDS Setup-Tool und zu Proxys hinzugefügt Erstellen einer Konfigurations-ISO für die HDS-Hosts . | ||
13. Oktober 2020 | Aktualisiert Installationsdateien herunterladen . | ||
8. Oktober 2020 | Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts und Ändern Sie die Knotenkonfiguration mit Befehlen für FedRAMP-Umgebungen. | ||
Freitag, 14. August 2020 | Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts und Ändern Sie die Knotenkonfiguration mit Änderungen am Anmeldeprozess. | ||
Mittwoch, 5. August 2020 | Aktualisiert Testen Sie Ihre Hybrid-Datensicherheitsbereitstellung auf Änderungen in Protokollnachrichten. Aktualisiert Anforderungen für virtuelle Gastgeber , um die maximale Anzahl an Hosts zu entfernen. | ||
Dienstag, 16. Juni 2020 | Aktualisiert Entfernen eines Knotens für Änderungen in der Control Hub-Benutzeroberfläche. | ||
Donnerstag, 4. Juni 2020 | Aktualisiert Erstellen Sie ein Konfigurations-ISO für die HDS-Hosts für Änderungen in den erweiterten Einstellungen, die Sie möglicherweise festlegen. | ||
Freitag, 29. Mai 2020 | Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts , um anzuzeigen, dass Sie TLS auch mit SQL Server-Datenbanken, UI-Änderungen und anderen Klarstellungen verwenden können. | ||
Dienstag, 5. Mai 2020 | Aktualisiert Anforderungen für virtuelle Gastgeber um neue Anforderungen für ESXi 6.5 anzuzeigen. | ||
21. April 2020 | Aktualisiert Externe Konnektivitätsanforderungen mit neuen CI-Hosts für Amerika. | ||
1. April 2020 | Aktualisiert Externe Konnektivitätsanforderungen mit Informationen zu regionalen CI-Hosts. | ||
| 20. Februar 2020 | Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts mit Informationen zum neuen optionalen Bildschirm Erweiterte Einstellungen im HDS-Setup-Tool. | ||
| 4. Februar 2020 | Aktualisierte Anforderungen für Proxyserver . | ||
| 16. Dezember 2019 | Die Anforderung, dass der blockierte externe DNS-Auflösungsmodus unter „ Proxyserveranforderungen“ funktioniert, wurde klargestellt . | ||
| 19. November 2019 | Informationen zum blockierten externen DNS-Auflösungsmodus wurden in den folgenden Abschnitten hinzugefügt: | ||
8. November 2019 | Sie können jetzt die Netzwerkeinstellungen für einen Knoten konfigurieren, während Sie die OVA bereitstellen, und nicht erst danach. Die folgenden Abschnitte wurden entsprechend aktualisiert:
| ||
6. September 2019 | SQL Server Standard zu Datenbankserveranforderungen . | ||
| 29. August 2019 | Hinzugefügt Konfigurieren von Squid-Proxys für Hybrid Data Security Anhang mit Anleitung zum Konfigurieren von Squid-Proxys zum Ignorieren von Websocket-Datenverkehr für den ordnungsgemäßen Betrieb. | ||
| 20. August 2019 | Abschnitte hinzugefügt und aktualisiert, um die Proxy-Unterstützung für die Kommunikation von hybriden Datensicherheitsknoten mit der Webex-Cloud abzudecken. Informationen zum Zugriff auf den Inhalt der Proxy-Unterstützung für eine vorhandene Bereitstellung finden Sie im Hilfeartikel Proxy-Unterstützung für Hybrid Data Security und Webex-Videonetz . | ||
| Freitag, 13. Juni 2019 | Aktualisiert Ablauf der Testversion zur Produktionsaufgabe mit einer Erinnerung zur Synchronisierung der HdsTrialGroup gruppieren Sie ein Objekt, bevor Sie einen Test starten, wenn Ihre Organisation die Verzeichnissynchronisierung verwendet. | ||
| Freitag, 6. März 2019 |
| ||
| Dienstag, 28. Februar 2019 |
| ||
| 26. Februar 2019 |
| ||
24. Januar 2019 |
| ||
| 5. November 2018 |
| ||
| Dienstag, 19. Oktober 2018 |
| ||
31. Juli 2018 |
| ||
| 21. Mai 2018 | Terminologie geändert, um das Rebranding von Cisco Spark widerzuspiegeln:
| ||
| Dienstag, 11. April 2018 |
| ||
| 22. Februar 2018 |
| ||
| Donnerstag, 15. Februar 2018 |
| ||
| Donnerstag, 18. Januar 2018 |
| ||
2. November 2017 |
| ||
Freitag, 18. August 2017 | Erste Veröffentlichung |
Übersicht über die Hybrid-Datensicherheit
Von Anfang an stand bei der Entwicklung der Webex App die Datensicherheit im Vordergrund. Der Grundstein dieser Sicherheit ist die durchgängige Inhaltsverschlüsselung, die durch die Interaktion von Webex App-Clients mit dem Schlüsselverwaltungsdienst (KMS) ermöglicht wird. Der KMS erstellt und verwaltet die Kryptografieschlüssel, mit denen die Clients ihre Nachrichten und Dateien dynamisch ver- und entschlüsseln.
Standardmäßig erhalten alle Webex-App-Kunden eine durchgängige Verschlüsselung mit dynamischen Schlüsseln, die im Cloud-KMS im Sicherheitsbereich von Cisco gespeichert sind. Mit Hybrid Data Security werden KMS und andere Sicherheitsfunktionen in das Rechenzentrum Ihres Unternehmens verschoben, damit die Schlüssel zu ihren verschlüsselten Inhalten ausschließlich bei Ihnen liegen.
Sicherheitsbereichsarchitektur
Die Webex Cloud-Architektur trennt verschiedene Servicetypen in separate Bereiche oder Vertrauensdomänen, wie unten dargestellt.
Um die Hybrid-Datensicherheit weiter zu verstehen, werfen wir einen Blick auf diesen reinen Cloud-Fall, in dem Cisco alle Funktionen in seinen Cloud-Bereichen bereitstellt. Der Identitätsdienst, der einzige Ort, an dem Benutzer direkt mit ihren persönlichen Informationen wie E-Mail-Adresse korreliert werden können, ist logisch und physisch getrennt vom Sicherheitsbereich im Rechenzentrum B. Beide sind wiederum getrennt vom Bereich, in dem letztlich verschlüsselte Inhalte gespeichert werden, im Rechenzentrum C.
In diesem Diagramm ist der Client die Webex-App, die auf dem Laptop eines Benutzers ausgeführt wird und sich beim Identitätsdienst authentifiziert hat. Wenn der Benutzer eine Nachricht erstellt, die an einen Bereich gesendet werden soll, werden die folgenden Schritte ausgeführt:
Der Client stellt eine sichere Verbindung mit dem Schlüsselverwaltungsdienst (KMS) her und fordert dann einen Schlüssel zum Verschlüsseln der Nachricht an. Die sichere Verbindung verwendet ECDH, und das KMS verschlüsselt den Schlüssel mit einem AES-256-Master-Schlüssel.
Die Nachricht wird verschlüsselt, bevor sie den Client verlässt. Der Client sendet es an den Indexierungsdienst, der verschlüsselte Suchindizes erstellt, die bei der zukünftigen Suche nach den Inhalten helfen.
Die verschlüsselte Nachricht wird für Compliance-Prüfungen an den Compliance-Dienst gesendet.
Die verschlüsselte Nachricht wird im Speicherbereich gespeichert.
Wenn Sie Hybrid Data Security bereitstellen, verschieben Sie die Sicherheitsbereichsfunktionen (KMS, Indizierung und Compliance) in Ihr lokales Rechenzentrum. Die anderen Cloud-Dienste, aus denen Webex besteht (einschließlich Identitäts- und Inhaltsspeicher), verbleiben in den Bereichen von Cisco.
Zusammenarbeit mit anderen Organisationen
Benutzer in Ihrer Organisation verwenden möglicherweise regelmäßig die Webex-App, um mit externen Teilnehmern in anderen Organisationen zusammenzuarbeiten. Wenn einer Ihrer Benutzer einen Schlüssel für einen Bereich anfordert, der zu Ihrer Organisation gehört (da er von einem Ihrer Benutzer erstellt wurde), sendet KMS den Schlüssel über einen ECDH-sicheren Kanal an den Client. Wenn jedoch eine andere Organisation den Schlüssel für den Bereich besitzt, leitet Ihre KMS die Anforderung über einen separaten ECDH-Kanal an die Webex-Cloud weiter, um den Schlüssel von der entsprechenden KMS zu erhalten, und gibt den Schlüssel dann an Ihren Benutzer im ursprünglichen Kanal zurück.
Der auf Org A ausgeführte KMS-Dienst validiert die Verbindungen zu KMSs in anderen Organisationen mit x.509 PKI-Zertifikaten. Siehe Umgebung vorbereiten für Details zur Generierung eines x.509-Zertifikats für Ihre Hybrid-Datensicherheitsbereitstellung.
Erwartungen an die Bereitstellung der Hybrid-Datensicherheit
Eine Bereitstellung von Hybrid-Datensicherheit erfordert erhebliches Kundenengagement und ein Bewusstsein für die Risiken, die sich aus dem Besitz von Verschlüsselungscodes ergeben.
Um die Hybrid-Datensicherheit bereitzustellen, müssen Sie Folgendes bereitstellen:
Ein sicheres Rechenzentrum in einem Land, das ein unterstützter Standort für die Cisco Webex Teams-Pläne ist.
Die Geräte, Software und der Netzwerkzugriff werden unter „Umgebung vorbereiten“ beschrieben.
Der vollständige Verlust der Konfigurations-ISO, die Sie für Hybrid Data Security erstellen, oder der von Ihnen bereitgestellten Datenbank führt zum Verlust der Schlüssel. Der Schlüsselverlust verhindert, dass Benutzer Bereichsinhalte und andere verschlüsselte Daten in der Webex-App entschlüsseln. In diesem Fall können Sie eine neue Bereitstellung erstellen, aber nur neue Inhalte werden angezeigt. Um den Verlust des Zugriffs auf Daten zu vermeiden, müssen Sie:
Verwalten Sie die Sicherung und Wiederherstellung der Datenbank und der ISO-Konfiguration.
Bereiten Sie sich auf eine schnelle Notfallwiederherstellung vor, wenn eine Katastrophe auftritt, z. B. ein Datenbankfestplattenausfall oder eine Datencenter-Katastrophe.
| Es gibt keinen Mechanismus, um Schlüssel nach einer HDS-Bereitstellung zurück in die Cloud zu verschieben. |
Hochrangiger Einrichtungsprozess
Dieses Dokument behandelt die Einrichtung und Verwaltung einer Bereitstellung für Hybrid-Datensicherheit:
Hybrid-Datensicherheit einrichten – Dazu gehören die Vorbereitung der erforderlichen Infrastruktur und die Installation der Hybrid-Datensicherheitssoftware, das Testen Ihrer Bereitstellung mit einer Teilmenge von Benutzern im Testmodus und die Umstellung auf die Produktion, sobald die Tests abgeschlossen sind. Dadurch wird die gesamte Organisation konvertiert, um Ihren Hybrid-Datensicherheitscluster für Sicherheitsfunktionen zu verwenden.
Die Einrichtungs-, Test- und Produktionsphasen werden in den nächsten drei Kapiteln ausführlich behandelt.
Bereitstellen der Hybrid-Datensicherheit aufrechterhalten – Die Webex-Cloud stellt automatisch laufende Upgrades bereit. Ihre IT-Abteilung kann diese Bereitstellung mit Unterstützung der Stufe eins unterstützen und bei Bedarf den Cisco-Support einbeziehen. Sie können Benachrichtigungen auf dem Bildschirm verwenden und E-Mail-basierte Warnungen in Control Hub einrichten.
Allgemeine Warnungen, Schritte zur Fehlerbehebung und bekannte Probleme – Wenn bei der Bereitstellung oder Verwendung von Hybrid Data Security Probleme auftreten, können Sie das letzte Kapitel dieses Handbuchs und der Anhang „Bekannte Probleme“ bei der Bestimmung und Behebung des Problems helfen.
Bereitstellungsmodell für Hybrid-Datensicherheit
Im Rechenzentrum Ihres Unternehmens stellen Sie die Hybrid-Datensicherheit als ein einzelnes Cluster von Knoten auf separaten virtuellen Hosts bereit. Die Knoten kommunizieren über sichere Websockets und sicheres HTTP mit der Webex-Cloud.
Während der Installation stellen wir Ihnen die OVA-Datei zur Verfügung, um die virtuelle Appliance auf den von Ihnen bereitgestellten VMs einzurichten. Mit dem HDS-Setup-Tool können Sie eine benutzerdefinierte ISO-Datei für die Clusterkonfiguration erstellen, die Sie auf jedem Knoten mounten. Der Hybrid-Datensicherheitscluster verwendet Ihren bereitgestellten Syslogd-Server und die PostgreSQL- oder Microsoft SQL Server-Datenbank. (Sie konfigurieren die Syslogd- und Datenbankverbindungsdetails im HDS Setup Tool.)
Die Mindestanzahl an Knoten, die Sie in einem Cluster haben können, beträgt zwei. Wir empfehlen mindestens drei und Sie können bis zu fünf haben. Wenn Sie mehrere Knoten haben, wird sichergestellt, dass der Dienst während eines Software-Upgrades oder einer anderen Wartungsaktivität auf einem Knoten nicht unterbrochen wird. (Die Webex-Cloud aktualisiert nur jeweils einen Knoten.)
Alle Knoten in einem Cluster greifen auf denselben Schlüsseldatastore zu und protokollieren die Aktivität mit demselben Syslog-Server. Die Knoten selbst sind staatenlos und bearbeiten wichtige Anfragen in Round-Robin-Manier, wie von der Cloud geleitet.
Knoten werden aktiv, wenn Sie sie in Control Hub registrieren. Um einen einzelnen Knoten außer Betrieb zu nehmen, können Sie die Registrierung aufheben und ihn bei Bedarf später erneut registrieren.
Wir unterstützen nur ein einzelnes Cluster pro Organisation.
Testmodus für Hybrid-Datensicherheit
Nachdem Sie eine Bereitstellung für Hybrid-Datensicherheit eingerichtet haben, versuchen Sie es zunächst mit einer Reihe von Pilotbenutzern. Während des Testzeitraums verwenden diese Benutzer Ihre lokale Hybrid-Datensicherheitsdomäne für Verschlüsselungscodes und andere Dienste des Sicherheitsbereichs. Ihre anderen Benutzer verwenden weiterhin den Cloud-Sicherheitsbereich.
Wenn Sie die Bereitstellung während des Testzeitraums nicht fortsetzen und den Dienst deaktivieren möchten, verlieren die Pilotbenutzer und alle Benutzer, mit denen sie während des Testzeitraums interagiert haben, den Zugriff auf die Nachrichten und Inhalte. Ihnen wird in der Webex-App „Diese Nachricht kann nicht entschlüsselt werden“ angezeigt.
Wenn Sie überzeugt sind, dass Ihre Bereitstellung für die Testbenutzer gut funktioniert und Sie bereit sind, die Hybrid-Datensicherheit auf alle Ihre Benutzer auszuweiten, verschieben Sie die Bereitstellung in die Produktion. Pilotbenutzer haben weiterhin Zugriff auf die Schlüssel, die während der Testphase verwendet wurden. Sie können jedoch nicht zwischen dem Produktionsmodus und der ursprünglichen Testversion hin- und herwechseln. Wenn Sie den Dienst deaktivieren müssen, um z. B. eine Notfallwiederherstellung durchzuführen, müssen Sie bei der erneuten Aktivierung einen neuen Test starten und die Anzahl der Pilotbenutzer für den neuen Test einrichten, bevor Sie in den Produktionsmodus zurückkehren. Ob die Benutzer zu diesem Zeitpunkt weiterhin Zugriff auf Daten haben, hängt davon ab, ob Sie Backups des Schlüsseldatenspeichers und der ISO-Konfigurationsdatei für die Hybrid-Datensicherheitsknoten in Ihrem Cluster erfolgreich durchgeführt haben.
Standby-Rechenzentrum für die Notfallwiederherstellung
Während der Bereitstellung richten Sie ein sicheres Standby-Rechenzentrum ein. Im Falle eines Rechenzentrums-Desasters können Sie Ihre Bereitstellung manuell auf das Standby-Rechenzentrum umlegen.
Die Datenbanken der aktiven und Standby-Rechenzentren sind miteinander synchronisiert, wodurch die Zeit für die Durchführung des Failovers minimiert wird. Die ISO-Datei des Standby-Rechenzentrums wird mit zusätzlichen Konfigurationen aktualisiert, die sicherstellen, dass die Knoten in der Organisation registriert sind, aber keinen Datenverkehr verarbeiten. Daher bleiben die Knoten des Standby-Rechenzentrums immer auf dem neuesten Stand mit der neuesten Version der HDS-Software.
| Die aktiven Hybrid-Datensicherheitsknoten müssen sich immer im selben Rechenzentrum wie der aktive Datenbankserver befinden. |
Standby-Rechenzentrum für die Notfallwiederherstellung einrichten
Führen Sie die folgenden Schritte aus, um die ISO-Datei des Standby-Rechenzentrums zu konfigurieren:
Vorbereitungen
Das Standby-Rechenzentrum sollte die Produktionsumgebung von VMs und eine Backup-PostgreSQL- oder Microsoft SQL Server-Datenbank spiegeln. Wenn die Produktion beispielsweise über 3 VMs verfügt, auf denen HDS-Knoten ausgeführt werden, sollte die Backup-Umgebung über 3 VMs verfügen. (Siehe Standby Data Center for Disaster Recovery für eine Übersicht über dieses Failover-Modell.)
Stellen Sie sicher, dass die Datenbanksynchronisierung zwischen der Datenbank aktiver und passiver Cluster-Knoten aktiviert ist.
| 1 | Starten Sie das HDS-Setup-Tool und befolgen Sie die unter Erstellen einer Konfigurations-ISO für die HDS-Hosts genannten Schritte.
| ||
| 2 | Klicken Sie nach der Konfiguration des Syslogd-Servers auf Erweiterte Einstellungen | ||
| 3 | Fügen Sie auf der Seite Erweiterte Einstellungen unten die Konfiguration hinzu, um den Knoten im passiven Modus zu platzieren. In diesem Modus wird der Knoten in der Organisation registriert und mit der Cloud verbunden, verarbeitet jedoch keinen Datenverkehr.
| ||
| 4 | Schließen Sie den Konfigurationsvorgang ab und speichern Sie die ISO-Datei an einem leicht zu findenden Speicherort. | ||
| 5 | Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Halten Sie die Sicherungskopie sicher. Diese Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff nur auf Hybrid-Datensicherheitsadministratoren, die Konfigurationsänderungen vornehmen sollten. | ||
| 6 | Klicken Sie im linken Navigationsbereich des VMware vSphere-Clients mit der rechten Maustaste auf die VM und klicken Sie auf Einstellungen bearbeiten.. | ||
| 7 | Klicken Sie auf Einstellungen bearbeiten > CD/DVD Laufwerk 1 und wählen Sie Datastore ISO File.
| ||
| 8 | Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 15 Minuten lang keine Alarme vorhanden sind. | ||
| 9 | Wiederholen Sie den Vorgang für jeden Knoten im Standby-Rechenzentrum.
|
Nächste Schritte
Nach der Konfiguration passiveMode in der ISO-Datei zu speichern, können Sie eine andere Kopie der ISO-Datei ohne die passiveMode konfigurieren und an einem sicheren Speicherort speichern. Diese Kopie der ISO-Datei ohne passiveMode konfiguriert kann bei einem schnellen Failover-Prozess während der Notfallwiederherstellung helfen. Siehe Notfallwiederherstellung mit Standby-Rechenzentrum für das detaillierte Failover-Verfahren.
Proxy-Unterstützung
Hybrid Data Security unterstützt explizite, transparente Inspektion und Nicht-Inspektion von Proxys. Sie können diese Proxys mit Ihrer Bereitstellung verknüpfen, sodass Sie den Datenverkehr vom Unternehmen in die Cloud absichern und überwachen können. Sie können eine Plattform-Admin-Oberfläche auf den Knoten für die Zertifikatsverwaltung und zum Überprüfen des allgemeinen Verbindungsstatus verwenden, nachdem Sie den Proxy auf den Knoten eingerichtet haben.
Die Hybrid-Datensicherheitsknoten unterstützen die folgenden Proxy-Optionen:
Kein Proxy – Der Standard, wenn Sie nicht die HDS-Knoteneinrichtung Trust Store- und Proxy-Konfiguration verwenden, um einen Proxy zu integrieren. Es ist keine Zertifikataktualisierung erforderlich.
Transparenter Proxy ohne Prüfung – Die Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert und erfordern keine Änderungen, damit sie mit einem Proxy ohne Prüfung funktionieren. Es ist keine Zertifikataktualisierung erforderlich.
Transparentes Tunneln oder Prüfen des Proxy – Die Knoten sind nicht so konfiguriert, dass sie eine bestimmte Proxyserver-Adresse verwenden. Auf den Knoten sind keine HTTP- oder HTTPS-Konfigurationsänderungen erforderlich. Die Knoten benötigen jedoch ein Stammzertifikat, damit sie dem Proxy vertrauen können. In der Regel werden Proxys von der IT verwendet, um Richtlinien durchzusetzen, auf denen Websites besucht werden können und welche Arten von Inhalten nicht zulässig sind. Dieser Proxy-Typ entschlüsselt Ihren gesamten Datenverkehr (auch HTTPS).
Expliziter Proxy – Mit explizitem Proxy teilen Sie den HDS-Knoten mit, welchen Proxyserver und welches Authentifizierungsschema verwendet werden soll. Um einen expliziten Proxy zu konfigurieren, müssen Sie auf jedem Knoten die folgenden Informationen eingeben:
Proxy-IP/FQDN : Adresse, die zum Erreichen der Proxymaschine verwendet werden kann.
Proxy-Port : Eine Portnummer, die der Proxy für die Überwachung des Proxyverkehrs verwendet.
Proxy-Protokoll : Je nachdem, was Ihr Proxy-Server unterstützt, wählen Sie zwischen den folgenden Protokollen:
HTTP – Zeigt alle vom Client gesendeten Anfragen an und steuert sie.
HTTPS: Stellt dem Server einen Kanal zur Verfügung. Der Client empfängt und validiert das Zertifikat des Servers.
Authentifizierungstyp : Wählen Sie einen der folgenden Authentifizierungstypen aus:
Keine: Es ist keine weitere Authentifizierung erforderlich.
Verfügbar, wenn Sie HTTP oder HTTPS als Proxy-Protokoll auswählen.
Basic – Wird für einen HTTP-Benutzeragenten verwendet, um bei einer Anforderung einen Benutzernamen und ein Kennwort anzugeben. Verwendet Base64-Codierung.
Verfügbar, wenn Sie HTTP oder HTTPS als Proxy-Protokoll auswählen.
Erfordert die Eingabe des Benutzernamens und des Kennworts auf den einzelnen Knoten.
Ziffer : Wird verwendet, um das Konto zu bestätigen, bevor sensible Informationen gesendet werden. Wendet eine Hash-Funktion auf den Benutzernamen und das Kennwort an, bevor sie über das Netzwerk gesendet werden.
Nur verfügbar, wenn Sie HTTPS als Proxy-Protokoll auswählen.
Erfordert die Eingabe des Benutzernamens und des Kennworts auf den einzelnen Knoten.
Beispiel für hybride Datensicherheitsknoten und Proxy
Dieses Diagramm zeigt eine Beispielverbindung zwischen der Hybrid-Datensicherheit, dem Netzwerk und einem Proxy. Für die transparenten Inspektions- und HTTPS-Optionen zur expliziten Inspektion von Proxy muss dasselbe Stammzertifikat auf dem Proxy und auf den Hybrid-Datensicherheitsknoten installiert sein.
Blockierter externer DNS-Auflösungsmodus (Explizite Proxykonfigurationen)
Wenn Sie einen Knoten registrieren oder die Proxy-Konfiguration des Knotens überprüfen, testet der Prozess die DNS-Suche und die Konnektivität mit der Cisco Webex-Cloud. In Bereitstellungen mit expliziten Proxy-Konfigurationen, die keine externe DNS-Auflösung für interne Clients zulassen, wechselt der Knoten automatisch in den Modus für blockierte externe DNS-Auflösung, wenn er die DNS-Server nicht abfragen kann. In diesem Modus können die Knotenregistrierung und andere Proxy-Verbindungstests fortgesetzt werden.
Anforderungen an die Hybrid-Datensicherheit
Cisco Webex-Lizenzanforderungen
So stellen Sie die Hybrid-Datensicherheit bereit:
Sie müssen über Pro Pack für Cisco Webex Control Hub verfügen. (Siehe https://www.cisco.com/go/pro-pack.)
Docker Desktop-Anforderungen
Bevor Sie Ihre HDS-Knoten installieren, benötigen Sie Docker Desktop, um ein Setup-Programm auszuführen. Docker hat kürzlich sein Lizenzierungsmodell aktualisiert. Ihre Organisation benötigt möglicherweise ein kostenpflichtiges Abonnement für Docker Desktop. Weitere Informationen finden Sie im Docker-Blog „ Docker aktualisiert und erweitert unsere Produktabonnements ".
X.509-Zertifikatanforderungen
Die Zertifikatskette muss die folgenden Anforderungen erfüllen:
Anforderung | Details |
|---|---|
| Standardmäßig vertrauen wir den CAs in der Mozilla-Liste (mit Ausnahme von WoSign und StartCom) auf https://wiki.mozilla.org/CA:IncludedCAs. |
| Der CN muss nicht erreichbar sein oder ein Live-Host sein. Wir empfehlen Ihnen beispielsweise, einen Namen zu verwenden, der Ihre Organisation widerspiegelt. Der CN darf kein * (Platzhalter) enthalten. Der CN wird verwendet, um die Hybrid-Datensicherheitsknoten für Webex-App-Clients zu verifizieren. Alle Hybrid-Datensicherheitsknoten in Ihrem Cluster verwenden dasselbe Zertifikat. Ihr KMS identifiziert sich mit der CN-Domäne, nicht mit einer Domäne, die in den SAN-Feldern x.509v3 definiert ist. Sobald Sie einen Knoten mit diesem Zertifikat registriert haben, wird das Ändern des CN-Domänennamens nicht unterstützt. Wählen Sie eine Domäne aus, die sowohl für Test- als auch für Produktionsbereitstellungen gelten kann. |
| Die KMS-Software unterstützt keine SHA1-Signaturen für die Überprüfung von Verbindungen zu KMSs anderer Organisationen. |
| Sie können einen Konverter wie OpenSSL verwenden, um das Format Ihres Zertifikats zu ändern. Sie müssen das Kennwort eingeben, wenn Sie das HDS-Setup-Tool ausführen. |
Die KMS-Software erzwingt keine Schlüsselnutzung oder erweiterte Schlüsselnutzungsbeschränkungen. Einige Zertifizierungsstellen verlangen, dass für jedes Zertifikat erweiterte Nutzungsbeschränkungen gelten, z. B. Serverauthentifizierung. Es ist in Ordnung, die Server-Authentifizierung oder andere Einstellungen zu verwenden.
Anforderungen an virtuelle Gastgeber
Die virtuellen Hosts, die Sie als Hybrid-Datensicherheitsknoten in Ihrem Cluster einrichten, haben die folgenden Anforderungen:
Mindestens zwei separate Hosts (3 empfohlen) in demselben sicheren Rechenzentrum
VMware ESXi 6.5 (oder höher) installiert und ausgeführt.
Sie müssen ein Upgrade durchführen, wenn Sie über eine frühere ESXi-Version verfügen.
Mindestens 4 vCPUs, 8 GB Hauptspeicher, 30 GB lokaler Festplattenspeicher pro Server
Anforderungen des Datenbankservers
| Erstellen Sie eine neue Datenbank für den Schlüsselspeicher. Verwenden Sie nicht die Standarddatenbank. Wenn die HDS-Anwendungen installiert sind, erstellen Sie das Datenbankschema. |
Es gibt zwei Optionen für den Datenbankserver. Die Anforderungen für die einzelnen sind wie folgt:
PostgreSQL | Microsoft SQL-Server | ||
|---|---|---|---|
|
| ||
Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichender Festplattenspeicher und Überwachung, um sicherzustellen, dass er nicht überschritten wird (2 TB empfohlen, wenn Sie die Datenbank für längere Zeit ausführen möchten, ohne den Speicher erhöhen zu müssen) | Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichender Festplattenspeicher und Überwachung, um sicherzustellen, dass er nicht überschritten wird (2 TB empfohlen, wenn Sie die Datenbank für längere Zeit ausführen möchten, ohne den Speicher erhöhen zu müssen) |
Die HDS-Software installiert derzeit folgende Treiberversionen für die Kommunikation mit dem Datenbankserver:
PostgreSQL | Microsoft SQL-Server |
|---|---|
Postgres JDBC-Treiber 42.2.5 | SQL Server JDBC-Treiber 4.6 Diese Treiberversion unterstützt SQL Server Always On ( Always On Failover Cluster Instances und Always On Availability Groups ). |
Zusätzliche Anforderungen für die Windows-Authentifizierung gegen Microsoft SQL Server
Wenn Sie möchten, dass HDS-Knoten die Windows-Authentifizierung verwenden, um Zugriff auf Ihre Keystore-Datenbank auf Microsoft SQL Server zu erhalten, benötigen Sie die folgende Konfiguration in Ihrer Umgebung:
Die HDS-Knoten, die Active Directory-Infrastruktur und der MS SQL Server müssen mit NTP synchronisiert werden.
Das Windows-Konto, das Sie HDS-Knoten zur Verfügung stellen, muss Lese-/Schreibzugriff auf die Datenbank haben.
Die DNS-Server, die Sie den HDS-Knoten bereitstellen, müssen Ihr Key Distribution Center (KDC) auflösen können.
Sie können die HDS-Datenbankinstanz auf Ihrem Microsoft SQL Server als Service Principal Name (SPN) in Ihrem Active Directory registrieren. Siehe Einen Service Principal Name für Kerberos Connections registrieren .
Das HDS-Setup-Tool, der HDS-Launcher und lokale KMS müssen alle die Windows-Authentifizierung verwenden, um auf die Keystore-Datenbank zuzugreifen. Sie verwenden die Details aus Ihrer ISO-Konfiguration, um den SPN zu konstruieren, wenn sie den Zugriff mit Kerberos-Authentifizierung anfordern.
Anforderungen an externe Konnektivität
Konfigurieren Sie Ihre Firewall so, dass die folgende Konnektivität für die HDS-Anwendungen zulässig ist:
Anwendung | Protokoll | Port | Richtung aus der App | Ziel |
|---|---|---|---|---|
Hybrid-Datensicherheitsknoten | TCP | 443 | Ausgehende HTTPS und WSS |
|
HDS-Setup-Tool | TCP | 443 | Ausgehende HTTPS |
|
| Die Hybrid-Datensicherheitsknoten funktionieren mit NAT (Network Access Translation) oder hinter einer Firewall, sofern die NAT oder Firewall die erforderlichen ausgehenden Verbindungen zu den Domänenzielen in der vorangehenden Tabelle zulässt. Bei eingehenden Verbindungen zu den Hybrid-Datensicherheitsknoten sollten keine Ports aus dem Internet sichtbar sein. Innerhalb Ihres Rechenzentrums benötigen Clients für administrative Zwecke Zugriff auf die Hybrid-Datensicherheitsknoten an den TCP-Ports 443 und 22. |
Die URLs für die Common Identity (CI)-Hosts sind regionsspezifisch. Dies sind die aktuellen CI-Hosts:
Region | Gastgeber-URLs der gemeinsamen Benutzeridentität |
|---|---|
Nord- und Südamerika |
|
Europäische Union |
|
Kanada |
|
Proxyserver-Anforderungen
Wir unterstützen offiziell die folgenden Proxy-Lösungen, die in Ihre hybriden Datensicherheitsknoten integriert werden können.
Transparenter Proxy: Cisco Web Security Appliance (WSA).
Expliziter Proxy: Squid.
Squid-Proxys, die HTTPS-Datenverkehr prüfen, können die Einrichtung von Websocket beeinträchtigen (wss:) Verbindungen. Informationen zur Behebung dieses Problems finden Sie unter Konfigurieren von Squid-Proxys für Hybrid Data Security .
Wir unterstützen die folgenden Authentifizierungstyp-Kombinationen für explizite Proxys:
Keine Authentifizierung mit HTTP oder HTTPS
Basisauthentifizierung mit HTTP oder HTTPS
Digest-Authentifizierung nur mit HTTPS
Für einen transparenten Prüfproxy oder einen expliziten HTTPS-Proxy müssen Sie über eine Kopie des Stammzertifikats des Proxys verfügen. In den Bereitstellungsanweisungen in diesem Handbuch erfahren Sie, wie Sie die Kopie in die Vertrauensspeicher der Hybrid-Datensicherheitsknoten hochladen.
Das Netzwerk, das die HDS-Knoten hostet, muss so konfiguriert werden, dass ausgehender TCP-Datenverkehr auf Port 443 zur Weiterleitung durch den Proxy erzwungen wird.
Proxys, die den Web-Datenverkehr überprüfen, können Web-Socket-Verbindungen stören. Wenn dieses Problem auftritt, den Datenverkehr umgehen (nicht kontrollieren) zu
wbx2.comundciscospark.comwird das Problem lösen.
Vervollständigen der Voraussetzungen für die Hybrid-Datensicherheit
| 1 | Stellen Sie sicher, dass Ihre Webex-Organisation für Pro Pack für Cisco Webex Control Hub aktiviert ist, und erhalten Sie die Anmeldeinformationen eines Kontos mit vollständigen Administratorrechten für die Organisation. Wenden Sie sich an Ihren Cisco-Partner oder Account Manager, um Hilfe bei diesem Vorgang zu erhalten. | ||
| 2 | Wählen Sie einen Domänennamen für Ihre HDS-Bereitstellung (z. B. | ||
| 3 | Bereiten Sie identische virtuelle Hosts vor, die Sie als Hybrid-Datensicherheitsknoten in Ihrem Cluster einrichten. Sie benötigen mindestens zwei separate Hosts (3 empfohlen) in demselben sicheren Rechenzentrum, die die Anforderungen unter „Anforderungen an virtuelle Hosts“ erfüllen. | ||
| 4 | Bereiten Sie den Datenbankserver vor, der als Schlüsseldatenspeicher für den Cluster fungieren wird, gemäß den Anforderungen des Datenbankservers . Der Datenbankserver muss im sicheren Rechenzentrum mit den virtuellen Hosts verbunden sein. | ||
| 5 | Richten Sie für eine schnelle Notfallwiederherstellung eine Sicherungsumgebung in einem anderen Rechenzentrum ein. Die Backup-Umgebung spiegelt die Produktionsumgebung von VMs und einem Backup-Datenbankserver wider. Wenn die Produktion beispielsweise über 3 VMs verfügt, auf denen HDS-Knoten ausgeführt werden, sollte die Sicherungsumgebung über 3 VMs verfügen. | ||
| 6 | Richten Sie einen Syslog-Host ein, um Protokolle von den Knoten im Cluster zu erfassen. Erfassen Sie die Netzwerkadresse und den Syslog-Port (standardmäßig UDP 514). | ||
| 7 | Erstellen Sie eine sichere Sicherungsrichtlinie für die Hybrid-Datensicherheitsknoten, den Datenbankserver und den Syslog-Host. Um nicht wiederherstellbaren Datenverlust zu vermeiden, müssen Sie mindestens die Datenbank und die KonfigurationsISO-Datei sichern, die für die Hybrid-Datensicherheitsknoten generiert wurde.
Webex-App-Clients speichern ihre Schlüssel im Cache, sodass ein Ausfall nicht sofort erkennbar ist, sich aber im Laufe der Zeit bemerkbar macht. Während vorübergehende Ausfälle nicht zu verhindern sind, sind sie wiedergutzumachen. Der vollständige Verlust (keine Backups verfügbar) der Datenbank oder der ISO-Konfigurationsdatei führt jedoch zu nicht wiederherstellbaren Kundendaten. Von den Betreibern der Hybrid-Datensicherheitsknoten wird erwartet, dass sie häufige Backups der Datenbank und der ISO-Konfigurationsdatei führen und bereit sind, das Hybrid-Datensicherheitsrechenzentrum bei einem katastrophalen Ausfall neu zu erstellen. | ||
| 8 | Stellen Sie sicher, dass Ihre Firewall-Konfiguration Verbindungen für Ihre Hybrid-Datensicherheitsknoten zulässt, wie unter „Externe Verbindungsanforderungen“ beschrieben. | ||
| 9 | Installieren Sie Docker ( https://www.docker.com) auf jedem lokalen Computer mit einem unterstützten Betriebssystem (Microsoft Windows 10 Professional oder Enterprise 64-Bit oder Mac OSX Yosemite 10.10.3 oder höher) mit einem Webbrowser, der auf ihn zugreifen kann unter http://127.0.0.1:8080. Sie verwenden die Docker-Instanz, um das HDS-Setup-Tool herunterzuladen und auszuführen, das die lokalen Konfigurationsinformationen für alle Hybrid-Datensicherheitsknoten erstellt. Möglicherweise benötigt Ihre Organisation eine Docker Desktop-Lizenz. Weitere Informationen finden Sie unter Docker Desktop-Anforderungen . Um das HDS Setup Tool zu installieren und auszuführen, muss die lokale Maschine über die unter „Externe Verbindungsanforderungen“ beschriebene Konnektivität verfügen. | ||
| 10 | Wenn Sie einen Proxy in Hybrid Data Security integrieren, stellen Sie sicher, dass er die Proxyserveranforderungen erfüllt. | ||
| 11 | Wenn Ihre Organisation die Verzeichnissynchronisierung verwendet, erstellen Sie eine Gruppe im Active Directory mit dem Namen
|
Ablauf der Bereitstellungsaufgabe für Hybrid-Datensicherheit
Vorbereitungen
| 1 | Installationsdateien herunterladen Laden Sie die OVA-Datei für eine spätere Verwendung auf Ihren lokalen Computer herunter. | ||
| 2 | Erstellen einer Konfigurations-ISO für die HDS-Hosts Verwenden Sie das HDS-Setup-Tool, um eine ISO-Konfigurationsdatei für die Hybrid-Datensicherheitsknoten zu erstellen. | ||
| 3 |
Erstellen Sie eine virtuelle Maschine aus der OVA-Datei und führen Sie die Erstkonfiguration durch, z. B. Netzwerkeinstellungen.
| ||
| 4 | Einrichten der Hybrid-DatensicherheitsVM Melden Sie sich bei der VM-Konsole an und legen Sie die Anmeldeinformationen fest. Konfigurieren Sie die Netzwerkeinstellungen für den Knoten, wenn Sie sie zum Zeitpunkt der OVA-Bereitstellung nicht konfiguriert haben. | ||
| 5 | Hochladen und Einhängen der HDS-KonfigurationsISO Konfigurieren Sie die VM über die ISO-Konfigurationsdatei, die Sie mit dem HDS Setup Tool erstellt haben. | ||
| 6 | Konfigurieren des HDS-Knotens für die Proxyintegration Wenn die Netzwerkumgebung eine Proxy-Konfiguration erfordert, geben Sie den Proxy-Typ an, den Sie für den Knoten verwenden möchten, und fügen Sie das Proxy-Zertifikat bei Bedarf dem Vertrauensspeicher hinzu. | ||
| 7 | Registrieren des ersten Knotens im Cluster Registrieren Sie die VM mit der Cisco Webex-Cloud als Hybrid-Datensicherheitsknoten. | ||
| 8 | Weitere Knoten erstellen und registrieren Schließen Sie die Cluster-Einrichtung ab. | ||
| 9 | Ausführen einer Testversion und Verschieben in Produktion (nächstes Kapitel) Bis Sie einen Test starten, erzeugen Ihre Knoten einen Alarm, der angibt, dass Ihr Dienst noch nicht aktiviert ist. |
Installationsdateien herunterladen
| 1 | Melden Sie sich bei https://admin.webex.com an und klicken Sie dann auf Services . | ||||
| 2 | Suchen Sie im Abschnitt Hybrid-Dienste nach der Hybrid-Datensicherheitskarte und klicken Sie auf Einrichten . Wenn die Karte deaktiviert ist oder Sie sie nicht sehen, wenden Sie sich an Ihr Kontoteam oder Ihre Partnerorganisation. Geben Sie ihnen Ihre Kontonummer und bitten Sie sie, Ihre Organisation für Hybrid-Datensicherheit zu aktivieren. Um die Kontonummer zu finden, klicken Sie oben rechts neben dem Namen Ihrer Organisation auf das Zahnrad.
| ||||
| 3 | Wählen Sie No aus, um anzugeben, dass Sie den Knoten noch nicht eingerichtet haben, und klicken Sie dann auf Next . Die OVA-Datei wird automatisch heruntergeladen. Speichern Sie die Datei an einem Speicherort auf Ihrem Computer.
| ||||
| 4 | Klicken Sie optional auf Bereitstellungsleitfaden öffnen , um zu überprüfen, ob eine neuere Version dieses Leitfadens verfügbar ist. |
Erstellen einer Konfigurations-ISO für die HDS-Hosts
Der Einrichtungsprozess für die Hybrid-Datensicherheit erstellt eine ISO-Datei. Anschließend verwenden Sie ISO, um Ihren Hybrid-Datensicherheitshost zu konfigurieren.
Vorbereitungen
Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zuzugreifen, führen Sie Docker auf diesem Computer aus. Für die Einrichtung sind die Anmeldeinformationen eines Control Hub-Kontos mit vollständigen Administratorrechten für Ihre Organisation erforderlich.
Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxyeinstellungen (Server, Port, Anmeldeinformationen) über Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in Schritt 5 öffnen. In dieser Tabelle sind einige mögliche Umgebungsvariablen aufgeführt:
Beschreibung
Variable
HTTP-Proxy ohne Authentifizierung
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-Proxy ohne Authentifizierung
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-Proxy mit Authentifizierung
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS-Proxy mit Authentifizierung
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTDie von Ihnen generierte ISO-Konfigurationsdatei enthält den Master-Schlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die neueste Kopie dieser Datei, wenn Sie Konfigurationsänderungen vornehmen, z. B.:
Datenbankanmeldeinformationen
Zertifikatsaktualisierungen
Änderungen an Autorisierungsrichtlinie
Wenn Sie Datenbankverbindungen verschlüsseln möchten, richten Sie Ihre PostgreSQL- oder SQL Server-Bereitstellung für TLS ein.
| 1 | Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein: In normalen Umgebungen: In FedRAMP-Umgebungen:
| ||||||||||||
| 2 | Geben Sie Folgendes ein, um sich bei der Docker-Image-Registrierung anzumelden: | ||||||||||||
| 3 | Geben Sie bei der Passworteingabe diesen Hashwert ein: | ||||||||||||
| 4 | Laden Sie das neueste stabile Image für Ihre Umgebung herunter: In normalen Umgebungen: In FedRAMP-Umgebungen: | ||||||||||||
| 5 | Geben Sie nach Abschluss des Pull-Vorgangs den entsprechenden Befehl für Ihre Umgebung ein:
Wenn der Container ausgeführt wird, wird „Express-Server überwacht Port 8080“ angezeigt. | ||||||||||||
| 6 |
Navigieren Sie über einen Webbrowser zum Localhost, Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto festzulegen. Das Tool zeigt dann die Standardanmeldeaufforderung an. | ||||||||||||
| 7 | Wenn Sie dazu aufgefordert werden, geben Sie die Anmeldeinformationen für den Control Hub-Kundenadministrator ein und klicken Sie dann auf Anmelden , um den Zugriff auf die für die Hybrid-Datensicherheit erforderlichen Dienste zu ermöglichen. | ||||||||||||
| 8 | Klicken Sie auf der Setup-Tool-Übersichtsseite auf Erste Schritte . | ||||||||||||
| 9 | Auf der Seite ISO Import stehen Ihnen folgende Optionen zur Verfügung:
| ||||||||||||
| 10 | Überprüfen Sie, ob Ihr X.509-Zertifikat die Anforderungen unter X.509-Zertifikatanforderungen erfüllt.
| ||||||||||||
| 11 | Geben Sie die Datenbankadresse und das Konto für HDS ein, um auf Ihren wichtigen Datenspeicher zuzugreifen: | ||||||||||||
| 12 | Wählen Sie einen TLS-Datenbankverbindungsmodus :
Wenn Sie das Stammzertifikat hochladen (falls erforderlich) und auf Weiter klicken, testet das HDS-Setup-Tool die TLS-Verbindung zum Datenbankserver. Das Tool überprüft auch den Unterzeichner des Zertifikats und den Host-Name, falls zutreffend. Wenn ein Test fehlschlägt, zeigt das Tool eine Fehlermeldung an, in der das Problem beschrieben wird. Sie können auswählen, ob Sie den Fehler ignorieren und mit der Einrichtung fortfahren möchten. (Aufgrund von Konnektivitätsunterschieden können die HDS-Knoten möglicherweise die TLS-Verbindung herstellen, auch wenn die HDS Setup Tool-Maschine sie nicht erfolgreich testen kann.) | ||||||||||||
| 13 | Konfigurieren Sie auf der Seite "Systemprotokolle" Ihren Syslogd-Server: | ||||||||||||
| 14 | (Optional) Sie können den Standardwert für einige Datenbankverbindungsparameter unter „Erweiterte Einstellungen“ ändern. Im Allgemeinen ist dieser Parameter der einzige, den Sie ändern möchten: | ||||||||||||
| 15 | Klicken Sie auf „Weiter“ im Bildschirm „Dienstkonten-Passwort zurücksetzen “. Passwörter für Dienstkonten haben eine Lebensdauer von neun Monaten. Verwenden Sie diesen Bildschirm, wenn Ihre Passwörter bald ablaufen oder Sie sie zurücksetzen möchten, um frühere ISO-Dateien ungültig zu machen. | ||||||||||||
| 16 | Klicken Sie auf ISO-Datei herunterladen . Speichern Sie die Datei an einem leicht auffindbaren Speicherort. | ||||||||||||
| 17 | Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Halten Sie die Sicherungskopie sicher. Diese Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff nur auf Hybrid-Datensicherheitsadministratoren, die Konfigurationsänderungen vornehmen sollten. | ||||||||||||
| 18 | Geben Sie zum Herunterfahren des Setup-Tools |
Nächste Schritte
Sichern Sie die ISO-Konfigurationsdatei. Sie benötigen sie, um weitere Knoten für die Wiederherstellung zu erstellen oder Konfigurationsänderungen vorzunehmen. Wenn Sie alle Kopien der ISO-Datei verlieren, haben Sie auch den Master-Schlüssel verloren. Das Wiederherstellen der Schlüssel aus Ihrer PostgreSQL- oder Microsoft SQL Server-Datenbank ist nicht möglich.
| Wir haben nie eine Kopie dieses Schlüssels und können nicht helfen, wenn Sie ihn verlieren. |
Installieren der HDS-Host-OVA
| 1 | Melden Sie sich mit dem VMware vSphere-Client auf Ihrem Computer beim virtuellen ESXi-Host an. | ||||||
| 2 | Wählen Sie Datei > OVF-Vorlage bereitstellen aus. | ||||||
| 3 | Geben Sie im Assistenten den Speicherort der OVA-Datei an, die Sie zuvor heruntergeladen haben, und klicken Sie dann auf Weiter . | ||||||
| 4 | Auf der Wählen Sie einen Namen und Ordner aus Seite, geben Sie einen Name der virtuellen Maschine Wählen Sie für den Knoten (z. B. „HDS _ N ode_ 1“) einen Standort aus, an dem sich die Bereitstellung des Knotens der virtuellen Maschine befinden kann, und klicken Sie dann auf Weiter . | ||||||
| 5 | Auf der Berechnungsressource auswählen Seite, wählen Sie die Zielberechnungsressource aus, und klicken Sie dann auf Weiter . Eine Validierungsprüfung wird durchgeführt. Nach dem Abschluss werden die Vorlagendetails angezeigt. | ||||||
| 6 | Überprüfen Sie die Vorlagendetails und klicken Sie dann auf Weiter . | ||||||
| 7 | Wenn Sie aufgefordert werden, die Ressourcenkonfiguration auf dem Konfiguration Seite, klicken Sie auf <UNK> 4 CPU <UNK> und klicken Sie dann auf Weiter . | ||||||
| 8 | Auf der Speicher auswählen Seite, klicken Sie auf Weiter um das Standard-Festplattenformat und die VM-Speicherrichtlinie zu akzeptieren. | ||||||
| 9 | Auf der Netzwerke auswählen wählen Sie die Netzwerkoption aus der Liste der Einträge aus, um die gewünschte Konnektivität für die VM bereitzustellen. | ||||||
| 10 | Konfigurieren Sie auf der Seite Vorlage anpassen die folgenden Netzwerkeinstellungen:
Falls bevorzugt, können Sie die Konfiguration der Netzwerkeinstellungen überspringen und die Schritte unter Einrichten der Hybrid Data Security VM ausführen, um die Einstellungen über die Knotenkonsole zu konfigurieren.
| ||||||
| 11 | Klicken Sie mit der rechten Maustaste auf die Knoten-VM, und wählen Sie . Die Hybrid Data Security-Software wird als Gast auf dem VM-Host installiert. Sie können sich jetzt bei der Konsole anmelden und den Knoten konfigurieren. Tipps zur Fehlerbehebung Es kann zu einer Verzögerung von einigen Minuten kommen, bis die Knotencontainer angezeigt werden. Beim erstmaligen Start wird eine Bridge-Firewall-Nachricht angezeigt, während der Sie sich anmelden können. |
Einrichten der Hybrid-DatensicherheitsVM
Mit diesem Verfahren können Sie sich zum ersten Mal bei der VM-Konsole des Hybrid-Datensicherheitsknotens anmelden und die Anmeldeinformationen festlegen. Sie können auch die Konsole verwenden, um die Netzwerkeinstellungen für den Knoten zu konfigurieren, wenn Sie sie zum Zeitpunkt der OVA-Bereitstellung nicht konfiguriert haben.
| 1 | Wählen Sie im VMware vSphere-Client Ihre VM mit Hybrid-Datensicherheitsknoten und anschließend die Registerkarte Konsole aus. Die VM wird gestartet und eine Anmeldeaufforderung wird angezeigt. Drücken Sie die Eingabetaste, falls der Anmeldebildschirm nicht angezeigt wird.
|
| 2 | Verwenden Sie die folgenden Standard-Anmeldedaten und das Passwort, um sich anzumelden und die Anmeldedaten zu ändern: Da Sie sich zum ersten Mal bei Ihrer VM anmelden, müssen Sie das Administratorpasswort ändern. |
| 3 | Wenn Sie die Netzwerkeinstellungen bereits unter Installieren Sie die HDS-Host-OVA konfiguriert haben, überspringen Sie den Rest dieses Verfahrens. Andernfalls wählen Sie im Hauptmenü die Option Konfiguration bearbeiten aus. |
| 4 | Richten Sie eine statische Konfiguration mit IP-Adresse, Maske, Gateway- und DNS-Informationen ein. Ihr Knoten sollte eine interne IP-Adresse und einen DNS-Namen haben. DHCP wird nicht unterstützt. |
| 5 | (Optional) Ändern Sie bei Bedarf den Hostnamen, die Domäne oder die NTP-Server, um sie mit Ihrer Netzwerkrichtlinie abzugleichen. Sie müssen die Domäne nicht mit der Domäne übereinstimmen, mit der Sie das X.509-Zertifikat erhalten haben. |
| 6 | Speichern Sie die Netzwerkkonfiguration und starten Sie die VM neu, damit die Änderungen wirksam werden. |
Hochladen und Einhängen der HDS-KonfigurationsISO
Vorbereitungen
Da die ISO-Datei den Master-Schlüssel enthält, sollte sie nur auf der Basis des "Need-to-know"-Zugangs durch die Hybrid Data Security VMs und alle Administratoren, die Änderungen vornehmen müssen, offengelegt werden. Stellen Sie sicher, dass nur diese Administratoren auf den Datenspeicher zugreifen können.
| 1 | Laden Sie die ISO-Datei von Ihrem Computer hoch: |
| 2 | Binden Sie die ISO-Datei ein: |
Nächste Schritte
Wenn Ihre IT-Richtlinie es erfordert, können Sie die ISO-Datei optional unmounten, nachdem alle Knoten die Konfigurationsänderungen übernommen haben. Weitere Informationen finden Sie unter (Optional) ISO nach HDS-Konfiguration abmontieren .
Konfigurieren des HDS-Knotens für die Proxyintegration
Wenn die Netzwerkumgebung einen Proxy erfordert, verwenden Sie dieses Verfahren, um den Proxytyp anzugeben, den Sie in die Hybrid-Datensicherheit integrieren möchten. Wenn Sie einen transparenten Prüfproxy oder einen expliziten HTTPS-Proxy auswählen, können Sie die Schnittstelle des Knotens verwenden, um das Stammzertifikat hochzuladen und zu installieren. Sie können auch die Proxy-Verbindung über die Schnittstelle überprüfen und potenzielle Probleme beheben.
Vorbereitungen
Eine Übersicht der unterstützten Proxy-Optionen finden Sie unter Proxy-Unterstützung.
| 1 | HDS-Knoten-Setup-URL eingeben |
| 2 | Gehen Sie zu Vertrauensspeicher und Proxy und wählen Sie eine Option aus:
Führen Sie die nächsten Schritte für einen transparenten Prüfproxy, einen HTTP-Proxy mit einfacher Authentifizierung oder einen HTTPS-Proxy aus. |
| 3 | Klicken Sie auf Stammzertifikat hochladen oder Entitätszertifikat beenden , und navigieren Sie dann zu einem Stammzertifikat für den Proxy. Das Zertifikat ist hochgeladen, aber noch nicht installiert, da Sie den Knoten neu starten müssen, um das Zertifikat zu installieren. Klicken Sie auf den chevron-Pfeil nach dem Namen des Zertifikatsausstellers, um weitere Details zu erhalten, oder klicken Sie auf Löschen , wenn Sie einen Fehler gemacht haben und die Datei erneut hochladen möchten. |
| 4 | Klicken Sie auf Proxyverbindung prüfen , um die Netzwerkkonnektivität zwischen dem Knoten und dem Proxy zu testen. Wenn der Verbindungstest fehlschlägt, wird eine Fehlermeldung mit dem Grund und wie Sie das Problem beheben können angezeigt. Wenn eine Meldung angezeigt wird, dass die externe DNS-Auflösung nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen. Diese Bedingung wird in vielen expliziten Proxy-Konfigurationen erwartet. Sie können mit der Einrichtung fortfahren, und der Knoten funktioniert im Blockierten externen DNS-Auflösungsmodus. Wenn Sie der Meinung sind, dass es sich um einen Fehler handelt, führen Sie die folgenden Schritte aus, und lesen Sie anschließend Deaktivieren Sie den blockierten externen DNS-Auflösungsmodus . |
| 5 | Wenn der Verbindungstest bestanden hat und der explizite Proxy auf „Nur https“ festgelegt ist, aktivieren Sie den Umschalter auf „ Alle Port 443/444-https-Anfragen von diesem Knoten über den expliziten Proxy weiterleiten“ . Diese Einstellung benötigt 15 Sekunden, um wirksam zu werden. |
| 6 | Klicken Sie auf Installieren Sie alle Zertifikate in den Vertrauensspeicher (wird für einen expliziten HTTPS-Proxy oder einen transparenten Prüfproxy angezeigt) oder Reboot (wird für einen expliziten HTTP-Proxy angezeigt), lesen Sie die Eingabeaufforderung und klicken Sie anschließend auf Installieren , wenn Sie bereit sind. Der Knoten wird innerhalb weniger Minuten neu gestartet. |
| 7 | Nachdem der Knoten neu gestartet wurde, melden Sie sich bei Bedarf erneut an und öffnen Sie die Seite „Übersicht“ , um die Konnektivitätsprüfungen zu überprüfen, um sicherzustellen, dass alle im grünen Status sind. Die Proxy-Verbindungsprüfung testet nur eine Unterdomäne von webex.com. Wenn Verbindungsprobleme auftreten, besteht ein häufiges Problem darin, dass einige der in den Installationsanweisungen aufgeführten Cloud-Domänen am Proxy blockiert werden. |
Registrieren des ersten Knotens im Cluster
Bei der Registrierung Ihres ersten Knotens erstellen Sie ein Cluster, zu dem der Knoten zugewiesen wird. Ein Cluster enthält einen oder mehrere Knoten, die für Redundanz bereitgestellt werden.
Vorbereitungen
Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.
Stellen Sie sicher, dass alle Popupblocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.
| 1 | Melden Sie sich bei https://admin.webex.com an. |
| 2 | Wählen Sie im Menü auf der linken Seite die Option Dienste aus. |
| 3 | Suchen Sie im Abschnitt Hybrid-Dienste nach Hybrid-Datensicherheit und klicken Sie auf Einrichten . Die Seite „Hybrid-Datensicherheitsknoten registrieren“ wird angezeigt.
|
| 4 | Wählen Sie Ja aus, um anzugeben, dass Sie den Knoten eingerichtet haben und bereit sind, ihn zu registrieren, und klicken Sie dann auf Weiter . |
| 5 | Geben Sie im ersten Feld einen Namen für das Cluster ein, dem Sie Ihren Hybrid-Datensicherheitsknoten zuweisen möchten. Benennen Sie Ihre Cluster nach Möglichkeit nach dem geografischen Standort der Clusterknoten. Beispiele: "San Francisco" oder "New York" oder "Dallas" |
| 6 | Geben Sie im zweiten Feld die interne IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) Ihres Knotens ein und klicken Sie auf Weiter . Diese IP-Adresse oder FQDN sollte mit der IP-Adresse oder dem Host-Namen und der Domäne übereinstimmen, die Sie bei „Einrichten der Hybrid-Datensicherheits-VM“ verwendet haben. Es wird eine Meldung angezeigt, die angibt, dass Sie Ihren Knoten in Webex registrieren können.
|
| 7 | Klicken Sie auf Zum Knoten wechseln. |
| 8 | Klicken Sie in der Warnmeldung auf Weiter. Nach einigen Augenblicken werden Sie zu den Knotenverbindungstests für Webex-Dienste umgeleitet. Wenn alle Tests erfolgreich sind, wird die Seite „Zugriff auf Hybrid-Datensicherheitsknoten zulassen“ angezeigt. Dort bestätigen Sie, dass Sie Ihrer Webex-Organisation Berechtigungen für den Zugriff auf Ihren Knoten erteilen möchten.
|
| 9 | Aktivieren Sie das Kontrollkästchen Zugriff auf Ihren Hybrid-Datensicherheitsknoten zulassen und klicken Sie dann auf Weiter . Ihr Konto wird überprüft, und die Meldung „Registrierung abgeschlossen“ zeigt an, dass Ihr Knoten jetzt in der Webex-Cloud registriert ist.
|
| 10 | Klicken Sie auf den Link oder schließen Sie die Registerkarte, um zur Seite „Control Hub Hybrid-Datensicherheit“ zurückzukehren. Auf der Seite Hybrid-Datensicherheit wird das neue Cluster mit dem registrierten Knoten angezeigt. Der Knoten lädt die neueste Software automatisch aus der Cloud herunter.
|
Weitere Knoten erstellen und registrieren
| Zu diesem Zeitpunkt sind die Backup-VMs, die Sie unter Erfüllen der Voraussetzungen für Hybrid Data Security erstellt haben, Standby-Hosts, die nur im Falle einer Notfallwiederherstellung verwendet werden; sie sind bis dahin nicht beim System registriert. Weitere Informationen finden Sie unter Notfallwiederherstellung mit dem Standby-Rechenzentrum . |
Vorbereitungen
Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.
Stellen Sie sicher, dass alle Popupblocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.
| 1 | Erstellen Sie eine neue virtuelle Maschine aus der OVA und wiederholen Sie die Schritte unter Installieren Sie die HDS-Host-OVA . |
| 2 | Richten Sie die Erstkonfiguration auf der neuen VM ein und wiederholen Sie die Schritte unter Richten Sie die Hybrid Data Security VM ein. |
| 3 | Wiederholen Sie auf der neuen VM die Schritte unter Hochladen und Einhängen der HDS-Konfiguration ISO . |
| 4 | Wenn Sie einen Proxy für Ihre Bereitstellung einrichten, wiederholen Sie die Schritte unter Konfigurieren des HDS-Knotens für die Proxy-Integration nach Bedarf für den neuen Knoten. |
| 5 | Registrieren Sie den Knoten. Ihr Knoten ist registriert. Beachten Sie, dass Ihre Knoten bis zum Starten einer Testversion einen Alarm generieren, der angibt, dass Ihr Dienst noch nicht aktiviert ist.
|
Nächste Schritte
Ablauf der Testversion der Produktionsaufgabe
Nachdem Sie einen Hybrid-Datensicherheitscluster eingerichtet haben, können Sie einen Pilotversuch starten, Benutzer hinzufügen und damit beginnen, Ihre Bereitstellung zu testen und zu überprüfen, um auf die Produktion vorzubereiten.
Vorbereitungen
| 1 | Synchronisieren Sie ggf. die Wenn Ihre Organisation die Verzeichnissynchronisierung für Benutzer verwendet, müssen Sie die |
| 2 |
Starten Sie eine Testversion. Bis Sie diese Aufgabe ausführen, generieren Ihre Knoten einen Alarm, der angibt, dass der Dienst noch nicht aktiviert ist. |
| 3 | Testen Sie Ihre Hybrid-Datensicherheitsbereitstellung Überprüfen Sie, ob wichtige Anforderungen an Ihre Hybrid-Datensicherheitsbereitstellung übergeben werden. |
| 4 | Hybrid-Datensicherheitsstatus überwachen Überprüfen Sie den Status und richten Sie E-Mail-Benachrichtigungen für Alarme ein. |
| 5 | Hinzufügen oder Entfernen von Benutzern aus Ihrer Testversion |
| 6 | Schließen Sie die Testphase mit einer der folgenden Aktionen ab: |
Testversion aktivieren
Vorbereitungen
Wenn Ihre Organisation die Verzeichnissynchronisierung für Benutzer verwendet, müssen Sie die HdsTrialGroup Gruppenobjekt für die Synchronisierung mit der Cloud, bevor Sie eine Testversion für Ihre Organisation starten können. Anweisungen finden Sie im Bereitstellungsleitfaden für den Cisco Directory Connector.
| 1 | Melden Sie sich bei https://admin.webex.com an und wählen Sie dann Dienste . |
| 2 | Klicken Sie unter „Hybrid-Datensicherheit“ auf „Einstellungen“ . |
| 3 | Klicken Sie im Abschnitt „Dienststatus“ auf Test starten . Der Dienststatus ändert sich in den Testmodus.
|
| 4 | Klicken Sie auf Benutzer hinzufügen und geben Sie die E-Mail-Adresse eines oder mehrerer Benutzer ein, um Ihre Hybrid-Datensicherheitsknoten für Verschlüsselungs- und Indexierungsdienste zu verwenden. (Wenn Ihre Organisation die Verzeichnissynchronisierung verwendet, verwenden Sie Active Directory, um die Testgruppe zu verwalten, |
Testen Sie Ihre Hybrid-Datensicherheitsbereitstellung
Vorbereitungen
Richten Sie Ihre Bereitstellung für Hybrid-Datensicherheit ein.
Aktivieren Sie die Testversion und fügen Sie mehrere Testbenutzer hinzu.
Stellen Sie sicher, dass Sie Zugriff auf das Syslog haben, um zu überprüfen, ob wichtige Anforderungen an Ihre Bereitstellung für die Hybrid-Datensicherheit weitergeleitet werden.
| 1 | Schlüssel für einen bestimmten Bereich werden vom Ersteller des Bereichs festgelegt. Melden Sie sich bei der Webex-App als einer der Pilotbenutzer an, erstellen Sie einen Bereich und laden Sie mindestens einen Pilotbenutzer und einen Nicht-Pilotbenutzer ein.
| ||
| 2 | Nachrichten an den neuen Bereich senden. | ||
| 3 | Überprüfen Sie die Syslog-Ausgabe, um zu überprüfen, ob die Schlüsselanforderungen an Ihre Hybrid-Datensicherheitsbereitstellung übergeben werden. |
Hybrid-Datensicherheitsstatus überwachen
| 1 | Wählen Sie in Control Hub im Menü auf der linken Seite des Bildschirms Dienste aus. |
| 2 | Suchen Sie im Abschnitt Hybrid-Dienste nach Hybrid Data Security und klicken Sie auf Einstellungen . Die Seite „Hybrid-Datensicherheitseinstellungen“ wird angezeigt.
|
| 3 | Geben Sie im Abschnitt E-Mail-Benachrichtigungen eine oder mehrere durch Kommas getrennte E-Mail-Adressen ein und drücken Sie die Eingabetaste. |
Hinzufügen oder Entfernen von Benutzern aus Ihrer Testversion
Wenn Sie einen Benutzer aus der Testversion entfernen, fordert der Client des Benutzers die Schlüssel und die Schlüsselerstellung aus dem Cloud-KMS anstelle Ihres KMS an. Wenn der Client einen Schlüssel benötigt, der auf Ihrem KMS gespeichert ist, ruft der Cloud-KMS ihn im Namen des Benutzers ab.
Wenn Ihre Organisation die Verzeichnissynchronisierung verwendet, verwenden Sie Active Directory (anstelle dieses Verfahrens), um die Testgruppe zu verwalten, HdsTrialGroup; Sie können die Gruppenmitglieder in Control Hub anzeigen, aber nicht hinzufügen oder entfernen.
| 1 | Melden Sie sich bei Control Hub an und wählen Sie dann „Dienste“ . |
| 2 | Klicken Sie unter „Hybrid-Datensicherheit“ auf „Einstellungen“ . |
| 3 | Klicken Sie im Testmodus des Dienststatusbereichs auf Benutzer hinzufügen oder klicken Sie auf Anzeigen und Bearbeiten , um Benutzer aus der Testversion zu entfernen. |
| 4 | Geben Sie die E-Mail-Adresse eines oder mehrerer Benutzer ein, die Sie hinzufügen möchten, oder klicken Sie auf das X-Zeichen neben einer Benutzer-ID, um den Benutzer aus der Testversion zu entfernen. Klicken Sie dann auf Speichern . |
Übergang von der Testversion zur Produktion
| 1 | Melden Sie sich bei Control Hub an und wählen Sie dann „Dienste“ . |
| 2 | Klicken Sie unter „Hybrid-Datensicherheit“ auf „Einstellungen“ . |
| 3 | Klicken Sie im Abschnitt „Dienststatus“ auf Zu Produktion wechseln . |
| 4 | Bestätigen Sie, dass Sie alle Benutzer in die Produktion verschieben möchten. |
Beenden Sie Ihren Test, ohne zur Produktion zu wechseln
| 1 | Melden Sie sich bei Control Hub an und wählen Sie dann „Dienste“ . |
| 2 | Klicken Sie unter „Hybrid-Datensicherheit“ auf „Einstellungen“ . |
| 3 | Klicken Sie im Abschnitt Deaktivieren auf Deaktivieren . |
| 4 | Bestätigen Sie, dass Sie den Dienst deaktivieren und den Test beenden möchten. |
Verwalten der HDS-Bereitstellung
Verwenden Sie die hier beschriebenen Aufgaben, um Ihre Bereitstellung für die Hybrid-Datensicherheit zu verwalten.
Cluster-Upgrade-Zeitplan festlegen
So legen Sie den Upgrade-Zeitplan fest:
| 1 | Melden Sie sich bei Control Hub an. |
| 2 | Wählen Sie auf der Übersichtsseite unter Hybriddienste die Option Hybrid-Datensicherheit . |
| 3 | Wählen Sie auf der Seite Hybrid-Datensicherheitsressourcen den Cluster aus. |
| 4 | Wählen Sie im Übersichtsbereich auf der rechten Seite unter Cluster-Einstellungen den Cluster-Namen aus. |
| 5 | Wählen Sie auf der Einstellungsseite unter Upgrade die Uhrzeit und die Zeitzone für den Upgrade-Zeitplan aus. Hinweis: Unter der Zeitzone wird der nächste verfügbare Zeitpunkt für ein Upgrade angezeigt. Sie können das Upgrade bei Bedarf auf den folgenden Tag verzögern, indem Sie auf Verschieben klicken. |
Knotenkonfiguration ändern
x.509-Zertifikate werden vor Ablauf oder aus anderen Gründen geändert.
Das Ändern des CN- Domänenname eines Zertifikats wird nicht unterstützt. Die Domäne muss mit der ursprünglichen Domäne übereinstimmen, die zum Registrieren des Clusters verwendet wurde.
Aktualisieren der Datenbank , um zu einer Reproduktion der PostgreSQL- oder Microsoft SQL Server- Datenbank zu wechseln.
Die Migration von Daten von PostgreSQL zu Microsoft SQL Server oder umgekehrt wird nicht unterstützt. Um die Datenbank zu wechseln, starten Sie eine neue Bereitstellung von Hybrid Data Security.
Erstellen einer neuen Konfiguration zur Vorbereitung eines neuen Rechenzentrum.
Aus Sicherheitsgründen verwendet Hybrid Data Security Dienstkonten-Passwörter, die nach 9 Monaten ablaufen. Diese Passwörter werden durch das HDS Setup Tool generiert, und Sie können sie mittels der ISO-Konfigurationsdatei für Ihre einzelnen HDS-Knoten bereitstellen. Wenn die Passwörter Ihres Unternehmens bald ablaufen, erhalten Sie vom Webex-Team einen „Hinweis zum Passwortablauf“, in dem Sie gebeten werden, das Passwort für Ihr Computerkonto zurückzusetzen. (Die E-Mail enthält den Text „Verwenden Sie die Computerkonto- API , um das Passwort zu aktualisieren“.) Wenn Ihre Passwörter noch nicht abgelaufen sind, bietet Ihnen das Tool zwei Möglichkeiten:
Weiches Zurücksetzen – Das alte und das neue Passwort sind beide bis zu 10 Tage gültig. Nutzen Sie diesen Zeitraum, um die ISO -Datei auf den Knoten schrittweise zu ersetzen.
Hard-Reset – Die alten Passwörter funktionieren sofort nicht mehr.
Wenn Ihre Passwörter ohne Zurücksetzen ablaufen, wirkt sich dies auf Ihren HDS-Dienst aus und erfordert ein sofortiges Zurücksetzen und Ersetzen der ISO -Datei auf allen Knoten.
Mit diesem Verfahren können Sie eine neue ISO -Konfigurationsdatei generieren und auf Ihren Cluster anwenden.
Vorbereitungen
Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zuzugreifen, führen Sie Docker auf diesem Computer aus. Für die Einrichtung sind die Anmeldeinformationen eines Control Hub-Kontos mit vollständigen Administratorrechten für Ihre Organisation erforderlich.
Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxyeinstellungen (Server, Port, Anmeldeinformationen) über Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in 1.e öffnen. In dieser Tabelle sind einige mögliche Umgebungsvariablen aufgeführt:
Beschreibung
Variable
HTTP-Proxy ohne Authentifizierung
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-Proxy ohne Authentifizierung
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-Proxy mit Authentifizierung
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS-Proxy mit Authentifizierung
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTUm eine neue Konfiguration zu erstellen, benötigen Sie eine Kopie der aktuellen ISO-Konfigurationsdatei. Die ISO enthält den Master-Schlüssel, der die PostgreSQL- oder Microsoft SQL Server-Datenbank verschlüsselt. Sie benötigen das ISO , wenn Sie Konfigurationsänderungen vornehmen, einschließlich Datenbank , Zertifikatsaktualisierungen oder Änderungen an der Autorisierungsrichtlinie.
| 1 | Führen Sie auf einem lokalen Computer, auf dem Docker läuft, das HDS Setup Tool aus.
| ||||||
| 2 | Wenn Sie nur einen HDS-Knoten mit ausführen, erstellen Sie eine neue -Knoten-VM und registrieren Sie sie mithilfe der neuen ISO-Konfigurationsdatei. Detaillierte Anweisungen finden Sie unter Weitere Knoten erstellen und registrieren . | ||||||
| 3 | Für vorhandene HDS-Knoten, auf denen die ältere Konfigurationsdatei ausgeführt wird, mounten Sie die ISO -Datei. Führen Sie die folgenden Schritte nacheinander auf jedem Knoten aus und aktualisieren Sie dabei jeden Knoten, bevor Sie den nächsten Knoten ausschalten: | ||||||
| 4 | Wiederholen Sie Schritt 3, um bei jedem weiteren Knoten zu ersetzen, auf dem noch die alte Konfiguration ausgeführt wird, die Konfiguration zu ersetzen. |
Blockierten externen DNS-Auflösungsmodus deaktivieren
Wenn Sie einen Knoten registrieren oder die Proxy-Konfiguration des Knotens überprüfen, testet der Prozess die DNS-Suche und die Konnektivität mit der Cisco Webex-Cloud. Wenn der DNS-Server des Knotens öffentliche DNS-Namen nicht auflösen kann, wechselt der Knoten automatisch in den Modus für die blockierte externe DNS-Auflösung.
Wenn Ihre Knoten in der Lage sind, öffentliche DNS-Namen über interne DNS-Server aufzulösen, können Sie diesen Modus deaktivieren, indem Sie den Proxy-Verbindungstest auf jedem Knoten erneut ausführen.
Vorbereitungen
| 1 | Öffnen Sie in einem Webbrowser die Schnittstelle des hybriden Datensicherheitsknotens (IP-Adresse/Einrichtung, z. B. https://192.0.2.0/setup), geben Sie die Administratoranmeldeinformationen ein, die Sie für den Knoten eingerichtet haben, und klicken Sie dann auf Anmelden . |
| 2 | Gehen Sie zu „Übersicht“ (Standardseite). Wenn aktiviert, Blockierte externe DNS Auflösung ist festgelegt auf Ja . |
| 3 | Gehen Sie zur Seite „Vertrauensspeicher und Proxy “. |
| 4 | Klicken Sie auf Proxyverbindung prüfen . Wenn eine Meldung angezeigt wird, dass die externe DNS-Auflösung nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen und bleibt in diesem Modus. Andernfalls sollte nach dem Neustart des Knotens und dem Zurückkehren zur Übersichtsseite die blockierte externe DNS-Auflösung auf „Nein“ festgelegt werden. |
Nächste Schritte
Knoten entfernen
| 1 | Verwenden Sie den VMware vSphere-Client auf Ihrem Computer, um sich beim virtuellen ESXi-Host anzumelden und die virtuelle Maschine auszuschalten. |
| 2 | Knoten entfernen: |
| 3 | Löschen Sie im vSphere-Client die VM. (Klicken Sie im linken Navigationsbereich mit der rechten Maustaste auf die VM und klicken Sie auf Löschen .) Wenn Sie die VM nicht löschen, denken Sie daran, die Konfiguration der ISO-Datei aufzuheben. Ohne die ISO-Datei können Sie die VM nicht für den Zugriff auf Ihre Sicherheitsdaten verwenden. |
Notfallwiederherstellung mit Standby-Rechenzentrum
Der wichtigste Dienst, den Ihr Hybrid-Datensicherheitscluster bietet, ist die Erstellung und Speicherung von Schlüsseln, mit denen Nachrichten und andere in der Webex-Cloud gespeicherte Inhalte verschlüsselt werden. Für jeden Benutzer innerhalb der Organisation, der der Hybrid-Datensicherheit zugewiesen ist, werden neue Anforderungen zur Schlüsselerstellung an den Cluster weitergeleitet. Der Cluster ist auch dafür verantwortlich, die Schlüssel, die er erstellt hat, an alle Benutzer zurückzugeben, die zum Abrufen autorisiert sind, z. B. Mitglieder eines Konversationsbereichs.
Da der Cluster die wichtige Funktion zur Bereitstellung dieser Schlüssel ausführt, ist es zwingend erforderlich, dass der Cluster weiterhin ausgeführt wird und die ordnungsgemäßen Backups beibehalten werden. Der Verlust der Hybrid Data Security-Datenbank oder der für das Schema verwendeten Konfigurations-ISO führt zu einem NICHT WIEDERHERSTELLBAREN VERLUST von Kundeninhalten. Die folgenden Praktiken sind obligatorisch, um einen solchen Verlust zu verhindern:
Wenn eine Katastrophe dazu führt, dass die HDS-Bereitstellung im primären Rechenzentrum nicht mehr verfügbar ist, führen Sie die folgenden Schritte aus, um ein manuelles Failover zum Standby-Rechenzentrum durchzuführen.
| 1 | Starten Sie das HDS-Setup-Tool und befolgen Sie die unter Erstellen einer Konfigurations-ISO für die HDS-Hosts genannten Schritte. | ||
| 2 | Klicken Sie nach der Konfiguration des Syslogd-Servers auf Erweiterte Einstellungen | ||
| 3 | Fügen Sie auf der Seite Erweiterte Einstellungen die folgende Konfiguration hinzu oder entfernen Sie die
| ||
| 4 | Schließen Sie den Konfigurationsvorgang ab und speichern Sie die ISO-Datei an einem leicht zu findenden Speicherort. | ||
| 5 | Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Halten Sie die Sicherungskopie sicher. Diese Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff nur auf Hybrid-Datensicherheitsadministratoren, die Konfigurationsänderungen vornehmen sollten. | ||
| 6 | Klicken Sie im linken Navigationsbereich des VMware vSphere-Clients mit der rechten Maustaste auf die VM und klicken Sie auf Einstellungen bearbeiten.. | ||
| 7 | Klicken Sie auf Einstellungen bearbeiten > CD/DVD Laufwerk 1 und wählen Sie Datastore ISO File.
| ||
| 8 | Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 15 Minuten lang keine Alarme vorhanden sind. | ||
| 9 | Wiederholen Sie den Vorgang für jeden Knoten im Standby-Rechenzentrum.
|
Nächste Schritte
(Optional) ISO nach HDS-Konfiguration entmounten
Die Standard-HDS-Konfiguration wird mit der ISO-Montierung ausgeführt. Einige Kunden ziehen es jedoch vor, ISO-Dateien nicht kontinuierlich eingehängt zu lassen. Sie können die ISO-Datei unmounten, nachdem alle HDS-Knoten die neue Konfiguration übernommen haben.
Sie verwenden weiterhin die ISO-Dateien, um Konfigurationsänderungen vorzunehmen. Wenn Sie eine neue ISO erstellen oder eine ISO über das Setup-Tool aktualisieren, müssen Sie die aktualisierte ISO auf allen HDS-Knoten mounten. Nachdem alle Ihre Knoten die Konfigurationsänderungen übernommen haben, können Sie die ISO-Datei mit diesem Verfahren erneut unmounten.
Vorbereitungen
Aktualisieren Sie alle HDS-Knoten auf Version 2021.01.22.4720 oder höher.
| 1 | Fahren Sie einen Ihrer HDS-Knoten herunter. |
| 2 | Wählen Sie in der vCenter Server Appliance den HDS-Knoten aus. |
| 3 | Wählen Sie und Deaktivieren Datastore ISO File . |
| 4 | Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 20 Minuten lang keine Alarme vorhanden sind. |
| 5 | Wiederholen Sie den Vorgang für jeden HDS-Knoten. |
Anzeigen von Warnungen und Fehlerbehebung
Eine Bereitstellung der Hybrid-Datensicherheit gilt als nicht verfügbar, wenn alle Knoten im Cluster nicht erreichbar sind oder der Cluster so langsam arbeitet, dass eine Zeitüberschreitung erforderlich ist. Wenn Benutzer Ihren Hybrid-Datensicherheitscluster nicht erreichen können, treten die folgenden Symptome auf:
Neue Bereiche können nicht erstellt werden (neue Schlüssel können nicht erstellt werden)
Nachrichten und Bereichstitel können nicht entschlüsselt werden für:
Neue Benutzer zu einem Bereich hinzugefügt (Schlüssel können nicht abgerufen werden)
Vorhandene Benutzer in einem Bereich mit einem neuen Client (Schlüssel können nicht abgerufen werden)
Vorhandene Benutzer in einem Bereich werden weiterhin erfolgreich ausgeführt, solange ihre Clients über einen Cache mit den Verschlüsselungsschlüsseln verfügen.
Es ist wichtig, dass Sie Ihren Hybrid-Datensicherheitscluster ordnungsgemäß überwachen und alle Warnungen umgehend beheben, um Dienstunterbrechungen zu vermeiden.
Alerts
Wenn bei der Einrichtung der Hybrid-Datensicherheit ein Problem auftritt, zeigt Control Hub dem Organisationsadministrator Warnungen an und sendet E-Mails an die konfigurierte E-Mail-Adresse. Die Warnungen decken viele gängige Szenarien ab.
Warnung | Aktion |
|---|---|
Fehler beim Zugriff auf die lokale Datenbank. |
Suchen Sie nach Datenbankfehlern oder lokalen Netzwerkproblemen. |
Lokaler Datenbankverbindungsfehler. |
Überprüfen Sie, ob der Datenbankserver verfügbar ist und die richtigen Dienstkonto-Anmeldeinformationen in der Knotenkonfiguration verwendet wurden. |
Fehler beim Zugriff auf den Cloud-Dienst. |
Überprüfen Sie, ob die Knoten wie unter „Externe Konnektivitätsanforderungen“ beschrieben auf die Webex-Server zugreifen können. |
Erneute Registrierung des Cloud-Dienstes. |
Die Registrierung bei Cloud-Diensten wurde aufgehoben. Die Erneuerung der Registrierung läuft. |
Registrierung des Cloud-Dienstes wurde abgebrochen. |
Die Registrierung bei Cloud-Diensten wurde beendet. Der Dienst wird heruntergefahren. |
Dienst noch nicht aktiviert. |
Aktivieren Sie eine Testversion oder schließen Sie die Übertragung der Testversion auf die Produktion ab. |
Die konfigurierte Domäne stimmt nicht mit dem Serverzertifikat überein. |
Stellen Sie sicher, dass Ihr Serverzertifikat mit der konfigurierten Serviceaktivierungsdomäne übereinstimmt. Die wahrscheinlichste Ursache ist, dass der CN des Zertifikats vor Kurzem geändert wurde und sich nun vom CN unterscheidet, der bei der Ersteinrichtung verwendet wurde. |
Authentifizierung bei Cloud-Diensten fehlgeschlagen. |
Überprüfen Sie die Genauigkeit und den möglichen Ablauf der Anmeldeinformationen für das Dienstkonto. |
Lokale Keystore-Datei konnte nicht geöffnet werden. |
Überprüfen Sie die Integrität und Passwortgenauigkeit der lokalen Keystore-Datei. |
Das lokale Serverzertifikat ist ungültig. |
Überprüfen Sie das Ablaufdatum des Serverzertifikats und bestätigen Sie, dass es von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde. |
Metriken können nicht veröffentlicht werden. |
Überprüfen Sie den lokalen Netzwerkzugriff auf externe Cloud-Dienste. |
/media/configdrive/hds Verzeichnis existiert nicht. |
Überprüfen Sie die ISO-Bereitstellungskonfiguration auf dem virtuellen Host. Stellen Sie sicher, dass die ISO-Datei vorhanden ist, dass sie für das Einhängen beim Neustart konfiguriert ist und dass sie erfolgreich eingehängt wird. |
Fehlerbehebung bei Hybrid Data Security
| 1 | Prüfen Sie Control Hub auf alle Warnungen und beheben Sie alle Elemente, die Sie dort finden. |
| 2 | Prüfen Sie die Syslog-Serverausgabe auf die Aktivität aus der Bereitstellung für Hybrid-Datensicherheit. |
| 3 | Kontaktieren Sie den Cisco Support . |
Bekannte Probleme bei der Hybrid-Datensicherheit
Wenn Sie Ihren Hybrid-Datensicherheitscluster herunterfahren (indem Sie ihn in Control Hub löschen oder alle Knoten herunterfahren), Ihre ISO-Konfigurationsdatei verlieren oder den Zugriff auf die Keystore-Datenbank verlieren, können Ihre Webex-App-Benutzer keine Bereiche mehr in ihrer Personenliste verwenden, die mit Schlüsseln aus Ihrem KMS erstellt wurden. Dies gilt sowohl für Test- als auch für Produktionsbereitstellungen. Wir haben derzeit keine Problemumgehung oder Lösung für dieses Problem und bitten Sie dringend, Ihre HDS-Dienste nicht herunterzufahren, sobald sie aktive Benutzerkonten verarbeiten.
Ein Client, der eine vorhandene ECDH-Verbindung zu einer KMS hat, hält diese Verbindung für einen bestimmten Zeitraum (wahrscheinlich eine Stunde) aufrecht. Wenn ein Benutzer Mitglied einer Testversion für Hybrid-Datensicherheit wird, verwendet der Client des Benutzers die vorhandene ECDH-Verbindung weiter, bis die Zeitüberschreitung auftritt. Alternativ kann sich der Benutzer bei der Webex-App abmelden und erneut anmelden, um den Standort zu aktualisieren, den die App für Verschlüsselungsschlüssel kontaktiert.
Dasselbe Verhalten tritt auf, wenn Sie eine Testversion für die Organisation in die Produktion verschieben. Alle Nicht-Testbenutzer mit bestehenden ECDH-Verbindungen zu den vorherigen Datensicherheitsdiensten werden diese Dienste weiterhin nutzen, bis die ECDH-Verbindung neu ausgehandelt wird (durch Zeitüberschreitung oder durch Abmelden und zurück).
Verwenden von OpenSSL zum Generieren einer PKCS12-Datei
Vorbereitungen
OpenSSL ist ein Tool, mit dem die PKCS12-Datei im richtigen Format zum Laden im HDS Setup Tool erstellt werden kann. Es gibt andere Möglichkeiten, dies zu tun, und wir unterstützen oder fördern nicht den einen Weg über den anderen.
Wenn Sie sich für OpenSSL entscheiden, stellen wir Ihnen dieses Verfahren als Richtlinie zur Verfügung, um Ihnen zu helfen, eine Datei zu erstellen, die die X.509-Zertifikatanforderungen in X.509-Zertifikatanforderungen erfüllt. Machen Sie sich mit diesen Anforderungen vertraut, bevor Sie fortfahren.
Installieren Sie OpenSSL in einer unterstützten Umgebung. Siehe https://www.openssl.org für die Software und Dokumentation.
Erstellen Sie einen privaten Schlüssel.
Starten Sie dieses Verfahren, wenn Sie das Serverzertifikat von Ihrer Certificate Authority (CA) erhalten.
| 1 | Wenn Sie das Serverzertifikat von Ihrer CA erhalten, speichern Sie es als |
| 2 | Zeigen Sie das Zertifikat als Text an und überprüfen Sie die Details.
|
| 3 | Verwenden Sie einen Texteditor, um eine Zertifikatspaket-Datei mit dem Namen
|
| 4 | Erstellen Sie die .p12-Datei mit dem freundlichen Namen
|
| 5 | Überprüfen Sie die Details des Serverzertifikats. |
Nächste Schritte
Zurück zu Vervollständigen der Voraussetzungen für Hybrid-Datensicherheit . Sie werden die hdsnode.p12 Datei und das Kennwort, das Sie dafür festgelegt haben, unter Erstellen einer Konfigurations-ISO für die HDS-Hosts .
| Sie können diese Dateien wiederverwenden, um ein neues Zertifikat anzufordern, wenn das ursprüngliche Zertifikat abläuft. |
Datenverkehr zwischen den HDS-Knoten und der Cloud
Datenverkehr bei Sammlung ausgehender Metriken
Die Hybrid-Datensicherheitsknoten senden bestimmte Metriken an die Webex-Cloud. Dazu gehören Systemmetriken für Heap max, Heap verwendet, CPU-Auslastung und Thread-Anzahl; Metriken zu synchronen und asynchronen Threads; Metriken zu Warnungen, die einen Schwellenwert für Verschlüsselungsverbindungen, Latenz oder eine Länge der Anforderungswarteschlange umfassen; Metriken zum Datenspeicher und Verschlüsselungsverbindungsmetriken. Die Knoten senden verschlüsseltes Schlüsselmaterial über einen Out-of-Band-Kanal (getrennt von der Anforderung).
Eingehender Verkehr
Die Hybrid-Datensicherheitsknoten erhalten die folgenden Arten von eingehendem Datenverkehr aus der Webex-Cloud:
Verschlüsselungsanfragen von Clients, die vom Verschlüsselungsdienst weitergeleitet werden
Upgrades auf die Knotensoftware
Squid-Proxys für Hybrid Data Security konfigurieren
Websocket kann keine Verbindung über Squid Proxy herstellen
Squid-Proxys, die HTTPS-Datenverkehr prüfen, können die Einrichtung von Websocket beeinträchtigen ( wss:) Verbindungen, die für die Hybrid-Datensicherheit erforderlich sind. In diesen Abschnitten finden Sie eine Anleitung, wie Sie verschiedene Versionen von Squid so konfigurieren, dass sie ignoriert werden. wss: Verkehr für den ordnungsgemäßen Betrieb der Dienste.
Tintenfisch 4 und 5
Fügen Sie die on_unsupported_protocol Direktive zu squid.conf:
on_unsupported_protocol tunnel allTintenfisch 3.5.27
Wir haben die Hybrid-Datensicherheit erfolgreich getestet und die folgenden Regeln hinzugefügt: squid.conf. Diese Regeln können sich bei der Entwicklung von Funktionen und der Aktualisierung der Webex-Cloud ändern.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allNeue und geänderte Informationen
Datum | Vorgenommene Änderungen | ||
|---|---|---|---|
20. Oktober 2023 |
| ||
07. August 2023 |
| ||
Dienstag, 23. Mai 2023 |
| ||
06. Dezember 2022 |
| ||
23. November 2022 |
| ||
13. Oktober 2021 | Docker Desktop muss ein Setup-Programm ausführen, bevor Sie HDS-Knoten installieren können. Siehe Docker Desktop-Anforderungen . | ||
24. Juni 2021 | Beachten Sie, dass Sie die Datei mit dem privaten Schlüssel und den CSR wiederverwenden können, um ein anderes Zertifikat anzufordern. Weitere Informationen finden Sie unter Verwenden von OpenSSL zum Generieren einer PKCS12-Datei . | ||
| 30. April 2021 | Die VM-Anforderung für lokalen Festplattenspeicher wurde auf 30 GB geändert. Weitere Informationen finden Sie unter „Anforderungen für virtuelle Gastgeber“. | ||
Mittwoch, 24. Februar 2021 | Das HDS Setup Tool kann jetzt hinter einem Proxy ausgeführt werden. Weitere Informationen finden Sie unter Erstellen einer Konfigurations-ISO für die HDS-Hosts . | ||
2. Februar 2021 | HDS kann jetzt ohne gemountete ISO-Datei ausgeführt werden. Weitere Informationen finden Sie unter (Optional) ISO nach HDS-Konfiguration abmontieren . | ||
11. Januar 2021 | Informationen zum HDS Setup-Tool und zu Proxys hinzugefügt Erstellen einer Konfigurations-ISO für die HDS-Hosts . | ||
13. Oktober 2020 | Aktualisiert Installationsdateien herunterladen . | ||
8. Oktober 2020 | Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts und Ändern Sie die Knotenkonfiguration mit Befehlen für FedRAMP-Umgebungen. | ||
Freitag, 14. August 2020 | Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts und Ändern Sie die Knotenkonfiguration mit Änderungen am Anmeldeprozess. | ||
Mittwoch, 5. August 2020 | Aktualisiert Testen Sie Ihre Hybrid-Datensicherheitsbereitstellung auf Änderungen in Protokollnachrichten. Aktualisiert Anforderungen für virtuelle Gastgeber , um die maximale Anzahl an Hosts zu entfernen. | ||
Dienstag, 16. Juni 2020 | Aktualisiert Entfernen eines Knotens für Änderungen in der Control Hub-Benutzeroberfläche. | ||
Donnerstag, 4. Juni 2020 | Aktualisiert Erstellen Sie ein Konfigurations-ISO für die HDS-Hosts für Änderungen in den erweiterten Einstellungen, die Sie möglicherweise festlegen. | ||
Freitag, 29. Mai 2020 | Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts , um anzuzeigen, dass Sie TLS auch mit SQL Server-Datenbanken, UI-Änderungen und anderen Klarstellungen verwenden können. | ||
Dienstag, 5. Mai 2020 | Aktualisiert Anforderungen für virtuelle Gastgeber um neue Anforderungen für ESXi 6.5 anzuzeigen. | ||
21. April 2020 | Aktualisiert Externe Konnektivitätsanforderungen mit neuen CI-Hosts für Amerika. | ||
1. April 2020 | Aktualisiert Externe Konnektivitätsanforderungen mit Informationen zu regionalen CI-Hosts. | ||
| 20. Februar 2020 | Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts mit Informationen zum neuen optionalen Bildschirm Erweiterte Einstellungen im HDS-Setup-Tool. | ||
| 4. Februar 2020 | Aktualisierte Anforderungen für Proxyserver . | ||
| 16. Dezember 2019 | Die Anforderung, dass der blockierte externe DNS-Auflösungsmodus unter „ Proxyserveranforderungen“ funktioniert, wurde klargestellt . | ||
| 19. November 2019 | Informationen zum blockierten externen DNS-Auflösungsmodus wurden in den folgenden Abschnitten hinzugefügt: | ||
8. November 2019 | Sie können jetzt die Netzwerkeinstellungen für einen Knoten konfigurieren, während Sie die OVA bereitstellen, und nicht erst danach. Die folgenden Abschnitte wurden entsprechend aktualisiert:
| ||
6. September 2019 | SQL Server Standard zu Datenbankserveranforderungen . | ||
| 29. August 2019 | Hinzugefügt Konfigurieren von Squid-Proxys für Hybrid Data Security Anhang mit Anleitung zum Konfigurieren von Squid-Proxys zum Ignorieren von Websocket-Datenverkehr für den ordnungsgemäßen Betrieb. | ||
| 20. August 2019 | Abschnitte hinzugefügt und aktualisiert, um die Proxy-Unterstützung für die Kommunikation von hybriden Datensicherheitsknoten mit der Webex-Cloud abzudecken. Informationen zum Zugriff auf den Inhalt der Proxy-Unterstützung für eine vorhandene Bereitstellung finden Sie im Hilfeartikel Proxy-Unterstützung für Hybrid Data Security und Webex-Videonetz . | ||
| Freitag, 13. Juni 2019 | Aktualisiert Ablauf der Testversion zur Produktionsaufgabe mit einer Erinnerung zur Synchronisierung der HdsTrialGroup gruppieren Sie ein Objekt, bevor Sie einen Test starten, wenn Ihre Organisation die Verzeichnissynchronisierung verwendet. | ||
| Freitag, 6. März 2019 |
| ||
| Dienstag, 28. Februar 2019 |
| ||
| 26. Februar 2019 |
| ||
24. Januar 2019 |
| ||
| 5. November 2018 |
| ||
| Dienstag, 19. Oktober 2018 |
| ||
31. Juli 2018 |
| ||
| 21. Mai 2018 | Terminologie geändert, um das Rebranding von Cisco Spark widerzuspiegeln:
| ||
| Dienstag, 11. April 2018 |
| ||
| 22. Februar 2018 |
| ||
| Donnerstag, 15. Februar 2018 |
| ||
| Donnerstag, 18. Januar 2018 |
| ||
2. November 2017 |
| ||
Freitag, 18. August 2017 | Erste Veröffentlichung |
Übersicht über die Hybrid-Datensicherheit
Von Anfang an stand bei der Entwicklung der Webex App die Datensicherheit im Vordergrund. Der Grundstein dieser Sicherheit ist die durchgängige Inhaltsverschlüsselung, die durch die Interaktion von Webex App-Clients mit dem Schlüsselverwaltungsdienst (KMS) ermöglicht wird. Der KMS erstellt und verwaltet die Kryptografieschlüssel, mit denen die Clients ihre Nachrichten und Dateien dynamisch ver- und entschlüsseln.
Standardmäßig erhalten alle Webex-App-Kunden eine durchgängige Verschlüsselung mit dynamischen Schlüsseln, die im Cloud-KMS im Sicherheitsbereich von Cisco gespeichert sind. Mit Hybrid Data Security werden KMS und andere Sicherheitsfunktionen in das Rechenzentrum Ihres Unternehmens verschoben, damit die Schlüssel zu ihren verschlüsselten Inhalten ausschließlich bei Ihnen liegen.
Sicherheitsbereichsarchitektur
Die Webex Cloud-Architektur trennt verschiedene Servicetypen in separate Bereiche oder Vertrauensdomänen, wie unten dargestellt.
Um die Hybrid-Datensicherheit weiter zu verstehen, werfen wir einen Blick auf diesen reinen Cloud-Fall, in dem Cisco alle Funktionen in seinen Cloud-Bereichen bereitstellt. Der Identitätsdienst, der einzige Ort, an dem Benutzer direkt mit ihren persönlichen Informationen wie E-Mail-Adresse korreliert werden können, ist logisch und physisch getrennt vom Sicherheitsbereich im Rechenzentrum B. Beide sind wiederum getrennt vom Bereich, in dem letztlich verschlüsselte Inhalte gespeichert werden, im Rechenzentrum C.
In diesem Diagramm ist der Client die Webex-App, die auf dem Laptop eines Benutzers ausgeführt wird und sich beim Identitätsdienst authentifiziert hat. Wenn der Benutzer eine Nachricht erstellt, die an einen Bereich gesendet werden soll, werden die folgenden Schritte ausgeführt:
Der Client stellt eine sichere Verbindung mit dem Schlüsselverwaltungsdienst (KMS) her und fordert dann einen Schlüssel zum Verschlüsseln der Nachricht an. Die sichere Verbindung verwendet ECDH, und das KMS verschlüsselt den Schlüssel mit einem AES-256-Master-Schlüssel.
Die Nachricht wird verschlüsselt, bevor sie den Client verlässt. Der Client sendet es an den Indexierungsdienst, der verschlüsselte Suchindizes erstellt, die bei der zukünftigen Suche nach den Inhalten helfen.
Die verschlüsselte Nachricht wird für Compliance-Prüfungen an den Compliance-Dienst gesendet.
Die verschlüsselte Nachricht wird im Speicherbereich gespeichert.
Wenn Sie Hybrid Data Security bereitstellen, verschieben Sie die Sicherheitsbereichsfunktionen (KMS, Indizierung und Compliance) in Ihr lokales Rechenzentrum. Die anderen Cloud-Dienste, aus denen Webex besteht (einschließlich Identitäts- und Inhaltsspeicher), verbleiben in den Bereichen von Cisco.
Zusammenarbeit mit anderen Organisationen
Benutzer in Ihrer Organisation verwenden möglicherweise regelmäßig die Webex-App, um mit externen Teilnehmern in anderen Organisationen zusammenzuarbeiten. Wenn einer Ihrer Benutzer einen Schlüssel für einen Bereich anfordert, der zu Ihrer Organisation gehört (da er von einem Ihrer Benutzer erstellt wurde), sendet KMS den Schlüssel über einen ECDH-sicheren Kanal an den Client. Wenn jedoch eine andere Organisation den Schlüssel für den Bereich besitzt, leitet Ihre KMS die Anforderung über einen separaten ECDH-Kanal an die Webex-Cloud weiter, um den Schlüssel von der entsprechenden KMS zu erhalten, und gibt den Schlüssel dann an Ihren Benutzer im ursprünglichen Kanal zurück.
Der auf Org A ausgeführte KMS-Dienst validiert die Verbindungen zu KMSs in anderen Organisationen mit x.509 PKI-Zertifikaten. Siehe Umgebung vorbereiten für Details zur Generierung eines x.509-Zertifikats für Ihre Hybrid-Datensicherheitsbereitstellung.
Erwartungen an die Bereitstellung der Hybrid-Datensicherheit
Eine Bereitstellung von Hybrid-Datensicherheit erfordert erhebliches Kundenengagement und ein Bewusstsein für die Risiken, die sich aus dem Besitz von Verschlüsselungscodes ergeben.
Um die Hybrid-Datensicherheit bereitzustellen, müssen Sie Folgendes bereitstellen:
Ein sicheres Rechenzentrum in einem Land, das ein unterstützter Standort für die Cisco Webex Teams-Pläne ist.
Die Geräte, Software und der Netzwerkzugriff werden unter „Umgebung vorbereiten“ beschrieben.
Der vollständige Verlust der Konfigurations-ISO, die Sie für Hybrid Data Security erstellen, oder der von Ihnen bereitgestellten Datenbank führt zum Verlust der Schlüssel. Der Schlüsselverlust verhindert, dass Benutzer Bereichsinhalte und andere verschlüsselte Daten in der Webex-App entschlüsseln. In diesem Fall können Sie eine neue Bereitstellung erstellen, aber nur neue Inhalte werden angezeigt. Um den Verlust des Zugriffs auf Daten zu vermeiden, müssen Sie:
Verwalten Sie die Sicherung und Wiederherstellung der Datenbank und der ISO-Konfiguration.
Bereiten Sie sich auf eine schnelle Notfallwiederherstellung vor, wenn eine Katastrophe auftritt, z. B. ein Datenbankfestplattenausfall oder eine Datencenter-Katastrophe.
| Es gibt keinen Mechanismus, um Schlüssel nach einer HDS-Bereitstellung zurück in die Cloud zu verschieben. |
Hochrangiger Einrichtungsprozess
Dieses Dokument behandelt die Einrichtung und Verwaltung einer Bereitstellung für Hybrid-Datensicherheit:
Hybrid-Datensicherheit einrichten – Dazu gehören die Vorbereitung der erforderlichen Infrastruktur und die Installation der Hybrid-Datensicherheitssoftware, das Testen Ihrer Bereitstellung mit einer Teilmenge von Benutzern im Testmodus und die Umstellung auf die Produktion, sobald die Tests abgeschlossen sind. Dadurch wird die gesamte Organisation konvertiert, um Ihren Hybrid-Datensicherheitscluster für Sicherheitsfunktionen zu verwenden.
Die Einrichtungs-, Test- und Produktionsphasen werden in den nächsten drei Kapiteln ausführlich behandelt.
Bereitstellen der Hybrid-Datensicherheit aufrechterhalten – Die Webex-Cloud stellt automatisch laufende Upgrades bereit. Ihre IT-Abteilung kann diese Bereitstellung mit Unterstützung der Stufe eins unterstützen und bei Bedarf den Cisco-Support einbeziehen. Sie können Benachrichtigungen auf dem Bildschirm verwenden und E-Mail-basierte Warnungen in Control Hub einrichten.
Allgemeine Warnungen, Schritte zur Fehlerbehebung und bekannte Probleme – Wenn bei der Bereitstellung oder Verwendung von Hybrid Data Security Probleme auftreten, können Sie das letzte Kapitel dieses Handbuchs und der Anhang „Bekannte Probleme“ bei der Bestimmung und Behebung des Problems helfen.
Bereitstellungsmodell für Hybrid-Datensicherheit
Im Rechenzentrum Ihres Unternehmens stellen Sie die Hybrid-Datensicherheit als ein einzelnes Cluster von Knoten auf separaten virtuellen Hosts bereit. Die Knoten kommunizieren über sichere Websockets und sicheres HTTP mit der Webex-Cloud.
Während der Installation stellen wir Ihnen die OVA-Datei zur Verfügung, um die virtuelle Appliance auf den von Ihnen bereitgestellten VMs einzurichten. Mit dem HDS-Setup-Tool können Sie eine benutzerdefinierte ISO-Datei für die Clusterkonfiguration erstellen, die Sie auf jedem Knoten mounten. Der Hybrid-Datensicherheitscluster verwendet Ihren bereitgestellten Syslogd-Server und die PostgreSQL- oder Microsoft SQL Server-Datenbank. (Sie konfigurieren die Syslogd- und Datenbankverbindungsdetails im HDS Setup Tool.)
Die Mindestanzahl an Knoten, die Sie in einem Cluster haben können, beträgt zwei. Wir empfehlen mindestens drei und Sie können bis zu fünf haben. Wenn Sie mehrere Knoten haben, wird sichergestellt, dass der Dienst während eines Software-Upgrades oder einer anderen Wartungsaktivität auf einem Knoten nicht unterbrochen wird. (Die Webex-Cloud aktualisiert nur jeweils einen Knoten.)
Alle Knoten in einem Cluster greifen auf denselben Schlüsseldatastore zu und protokollieren die Aktivität mit demselben Syslog-Server. Die Knoten selbst sind staatenlos und bearbeiten wichtige Anfragen in Round-Robin-Manier, wie von der Cloud geleitet.
Knoten werden aktiv, wenn Sie sie in Control Hub registrieren. Um einen einzelnen Knoten außer Betrieb zu nehmen, können Sie die Registrierung aufheben und ihn bei Bedarf später erneut registrieren.
Wir unterstützen nur ein einzelnes Cluster pro Organisation.
Testmodus für Hybrid-Datensicherheit
Nachdem Sie eine Bereitstellung für Hybrid-Datensicherheit eingerichtet haben, versuchen Sie es zunächst mit einer Reihe von Pilotbenutzern. Während des Testzeitraums verwenden diese Benutzer Ihre lokale Hybrid-Datensicherheitsdomäne für Verschlüsselungscodes und andere Dienste des Sicherheitsbereichs. Ihre anderen Benutzer verwenden weiterhin den Cloud-Sicherheitsbereich.
Wenn Sie die Bereitstellung während des Testzeitraums nicht fortsetzen und den Dienst deaktivieren möchten, verlieren die Pilotbenutzer und alle Benutzer, mit denen sie während des Testzeitraums interagiert haben, den Zugriff auf die Nachrichten und Inhalte. Ihnen wird in der Webex-App „Diese Nachricht kann nicht entschlüsselt werden“ angezeigt.
Wenn Sie überzeugt sind, dass Ihre Bereitstellung für die Testbenutzer gut funktioniert und Sie bereit sind, die Hybrid-Datensicherheit auf alle Ihre Benutzer auszuweiten, verschieben Sie die Bereitstellung in die Produktion. Pilotbenutzer haben weiterhin Zugriff auf die Schlüssel, die während der Testphase verwendet wurden. Sie können jedoch nicht zwischen dem Produktionsmodus und der ursprünglichen Testversion hin- und herwechseln. Wenn Sie den Dienst deaktivieren müssen, um z. B. eine Notfallwiederherstellung durchzuführen, müssen Sie bei der erneuten Aktivierung einen neuen Test starten und die Anzahl der Pilotbenutzer für den neuen Test einrichten, bevor Sie in den Produktionsmodus zurückkehren. Ob die Benutzer zu diesem Zeitpunkt weiterhin Zugriff auf Daten haben, hängt davon ab, ob Sie Backups des Schlüsseldatenspeichers und der ISO-Konfigurationsdatei für die Hybrid-Datensicherheitsknoten in Ihrem Cluster erfolgreich durchgeführt haben.
Standby-Rechenzentrum für die Notfallwiederherstellung
Während der Bereitstellung richten Sie ein sicheres Standby-Rechenzentrum ein. Im Falle eines Rechenzentrums-Desasters können Sie Ihre Bereitstellung manuell auf das Standby-Rechenzentrum umlegen.
Die Datenbanken der aktiven und Standby-Rechenzentren sind miteinander synchronisiert, wodurch die Zeit für die Durchführung des Failovers minimiert wird. Die ISO-Datei des Standby-Rechenzentrums wird mit zusätzlichen Konfigurationen aktualisiert, die sicherstellen, dass die Knoten in der Organisation registriert sind, aber keinen Datenverkehr verarbeiten. Daher bleiben die Knoten des Standby-Rechenzentrums immer auf dem neuesten Stand mit der neuesten Version der HDS-Software.
| Die aktiven Hybrid-Datensicherheitsknoten müssen sich immer im selben Rechenzentrum wie der aktive Datenbankserver befinden. |
Standby-Rechenzentrum für die Notfallwiederherstellung einrichten
Führen Sie die folgenden Schritte aus, um die ISO-Datei des Standby-Rechenzentrums zu konfigurieren:
Vorbereitungen
Das Standby-Rechenzentrum sollte die Produktionsumgebung von VMs und eine Backup-PostgreSQL- oder Microsoft SQL Server-Datenbank spiegeln. Wenn die Produktion beispielsweise über 3 VMs verfügt, auf denen HDS-Knoten ausgeführt werden, sollte die Backup-Umgebung über 3 VMs verfügen. (Siehe Standby Data Center for Disaster Recovery für eine Übersicht über dieses Failover-Modell.)
Stellen Sie sicher, dass die Datenbanksynchronisierung zwischen der Datenbank aktiver und passiver Cluster-Knoten aktiviert ist.
| 1 | Starten Sie das HDS-Setup-Tool und befolgen Sie die unter Erstellen einer Konfigurations-ISO für die HDS-Hosts genannten Schritte.
| ||
| 2 | Klicken Sie nach der Konfiguration des Syslogd-Servers auf Erweiterte Einstellungen | ||
| 3 | Fügen Sie auf der Seite Erweiterte Einstellungen unten die Konfiguration hinzu, um den Knoten im passiven Modus zu platzieren. In diesem Modus wird der Knoten in der Organisation registriert und mit der Cloud verbunden, verarbeitet jedoch keinen Datenverkehr.
| ||
| 4 | Schließen Sie den Konfigurationsvorgang ab und speichern Sie die ISO-Datei an einem leicht zu findenden Speicherort. | ||
| 5 | Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Halten Sie die Sicherungskopie sicher. Diese Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff nur auf Hybrid-Datensicherheitsadministratoren, die Konfigurationsänderungen vornehmen sollten. | ||
| 6 | Klicken Sie im linken Navigationsbereich des VMware vSphere-Clients mit der rechten Maustaste auf die VM und klicken Sie auf Einstellungen bearbeiten.. | ||
| 7 | Klicken Sie auf Einstellungen bearbeiten > CD/DVD Laufwerk 1 und wählen Sie Datastore ISO File.
| ||
| 8 | Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 15 Minuten lang keine Alarme vorhanden sind. | ||
| 9 | Wiederholen Sie den Vorgang für jeden Knoten im Standby-Rechenzentrum.
|
Nächste Schritte
Nach der Konfiguration passiveMode in der ISO-Datei zu speichern, können Sie eine andere Kopie der ISO-Datei ohne die passiveMode konfigurieren und an einem sicheren Speicherort speichern. Diese Kopie der ISO-Datei ohne passiveMode konfiguriert kann bei einem schnellen Failover-Prozess während der Notfallwiederherstellung helfen. Siehe Notfallwiederherstellung mit Standby-Rechenzentrum für das detaillierte Failover-Verfahren.
Proxy-Unterstützung
Hybrid Data Security unterstützt explizite, transparente Inspektion und Nicht-Inspektion von Proxys. Sie können diese Proxys mit Ihrer Bereitstellung verknüpfen, sodass Sie den Datenverkehr vom Unternehmen in die Cloud absichern und überwachen können. Sie können eine Plattform-Admin-Oberfläche auf den Knoten für die Zertifikatsverwaltung und zum Überprüfen des allgemeinen Verbindungsstatus verwenden, nachdem Sie den Proxy auf den Knoten eingerichtet haben.
Die Hybrid-Datensicherheitsknoten unterstützen die folgenden Proxy-Optionen:
Kein Proxy – Der Standard, wenn Sie nicht die HDS-Knoteneinrichtung Trust Store- und Proxy-Konfiguration verwenden, um einen Proxy zu integrieren. Es ist keine Zertifikataktualisierung erforderlich.
Transparenter Proxy ohne Prüfung – Die Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert und erfordern keine Änderungen, damit sie mit einem Proxy ohne Prüfung funktionieren. Es ist keine Zertifikataktualisierung erforderlich.
Transparentes Tunneln oder Prüfen des Proxy – Die Knoten sind nicht so konfiguriert, dass sie eine bestimmte Proxyserver-Adresse verwenden. Auf den Knoten sind keine HTTP- oder HTTPS-Konfigurationsänderungen erforderlich. Die Knoten benötigen jedoch ein Stammzertifikat, damit sie dem Proxy vertrauen können. In der Regel werden Proxys von der IT verwendet, um Richtlinien durchzusetzen, auf denen Websites besucht werden können und welche Arten von Inhalten nicht zulässig sind. Dieser Proxy-Typ entschlüsselt Ihren gesamten Datenverkehr (auch HTTPS).
Expliziter Proxy – Mit explizitem Proxy teilen Sie den HDS-Knoten mit, welchen Proxyserver und welches Authentifizierungsschema verwendet werden soll. Um einen expliziten Proxy zu konfigurieren, müssen Sie auf jedem Knoten die folgenden Informationen eingeben:
Proxy-IP/FQDN : Adresse, die zum Erreichen der Proxymaschine verwendet werden kann.
Proxy-Port : Eine Portnummer, die der Proxy für die Überwachung des Proxyverkehrs verwendet.
Proxy-Protokoll : Je nachdem, was Ihr Proxy-Server unterstützt, wählen Sie zwischen den folgenden Protokollen:
HTTP – Zeigt alle vom Client gesendeten Anfragen an und steuert sie.
HTTPS: Stellt dem Server einen Kanal zur Verfügung. Der Client empfängt und validiert das Zertifikat des Servers.
Authentifizierungstyp : Wählen Sie einen der folgenden Authentifizierungstypen aus:
Keine: Es ist keine weitere Authentifizierung erforderlich.
Verfügbar, wenn Sie HTTP oder HTTPS als Proxy-Protokoll auswählen.
Basic – Wird für einen HTTP-Benutzeragenten verwendet, um bei einer Anforderung einen Benutzernamen und ein Kennwort anzugeben. Verwendet Base64-Codierung.
Verfügbar, wenn Sie HTTP oder HTTPS als Proxy-Protokoll auswählen.
Erfordert die Eingabe des Benutzernamens und des Kennworts auf den einzelnen Knoten.
Ziffer : Wird verwendet, um das Konto zu bestätigen, bevor sensible Informationen gesendet werden. Wendet eine Hash-Funktion auf den Benutzernamen und das Kennwort an, bevor sie über das Netzwerk gesendet werden.
Nur verfügbar, wenn Sie HTTPS als Proxy-Protokoll auswählen.
Erfordert die Eingabe des Benutzernamens und des Kennworts auf den einzelnen Knoten.
Beispiel für hybride Datensicherheitsknoten und Proxy
Dieses Diagramm zeigt eine Beispielverbindung zwischen der Hybrid-Datensicherheit, dem Netzwerk und einem Proxy. Für die transparenten Inspektions- und HTTPS-Optionen zur expliziten Inspektion von Proxy muss dasselbe Stammzertifikat auf dem Proxy und auf den Hybrid-Datensicherheitsknoten installiert sein.
Blockierter externer DNS-Auflösungsmodus (Explizite Proxykonfigurationen)
Wenn Sie einen Knoten registrieren oder die Proxy-Konfiguration des Knotens überprüfen, testet der Prozess die DNS-Suche und die Konnektivität mit der Cisco Webex-Cloud. In Bereitstellungen mit expliziten Proxy-Konfigurationen, die keine externe DNS-Auflösung für interne Clients zulassen, wechselt der Knoten automatisch in den Modus für blockierte externe DNS-Auflösung, wenn er die DNS-Server nicht abfragen kann. In diesem Modus können die Knotenregistrierung und andere Proxy-Verbindungstests fortgesetzt werden.
Anforderungen an die Hybrid-Datensicherheit
Cisco Webex-Lizenzanforderungen
So stellen Sie die Hybrid-Datensicherheit bereit:
Sie müssen über Pro Pack für Cisco Webex Control Hub verfügen. (Siehe https://www.cisco.com/go/pro-pack.)
Docker Desktop-Anforderungen
Bevor Sie Ihre HDS-Knoten installieren, benötigen Sie Docker Desktop, um ein Setup-Programm auszuführen. Docker hat kürzlich sein Lizenzierungsmodell aktualisiert. Ihre Organisation benötigt möglicherweise ein kostenpflichtiges Abonnement für Docker Desktop. Weitere Informationen finden Sie im Docker-Blog „ Docker aktualisiert und erweitert unsere Produktabonnements ".
X.509-Zertifikatanforderungen
Die Zertifikatskette muss die folgenden Anforderungen erfüllen:
Anforderung | Details |
|---|---|
| Standardmäßig vertrauen wir den CAs in der Mozilla-Liste (mit Ausnahme von WoSign und StartCom) auf https://wiki.mozilla.org/CA:IncludedCAs. |
| Der CN muss nicht erreichbar sein oder ein Live-Host sein. Wir empfehlen Ihnen beispielsweise, einen Namen zu verwenden, der Ihre Organisation widerspiegelt. Der CN darf kein * (Platzhalter) enthalten. Der CN wird verwendet, um die Hybrid-Datensicherheitsknoten für Webex-App-Clients zu verifizieren. Alle Hybrid-Datensicherheitsknoten in Ihrem Cluster verwenden dasselbe Zertifikat. Ihr KMS identifiziert sich mit der CN-Domäne, nicht mit einer Domäne, die in den SAN-Feldern x.509v3 definiert ist. Sobald Sie einen Knoten mit diesem Zertifikat registriert haben, wird das Ändern des CN-Domänennamens nicht unterstützt. Wählen Sie eine Domäne aus, die sowohl für Test- als auch für Produktionsbereitstellungen gelten kann. |
| Die KMS-Software unterstützt keine SHA1-Signaturen für die Überprüfung von Verbindungen zu KMSs anderer Organisationen. |
| Sie können einen Konverter wie OpenSSL verwenden, um das Format Ihres Zertifikats zu ändern. Sie müssen das Kennwort eingeben, wenn Sie das HDS-Setup-Tool ausführen. |
Die KMS-Software erzwingt keine Schlüsselnutzung oder erweiterte Schlüsselnutzungsbeschränkungen. Einige Zertifizierungsstellen verlangen, dass für jedes Zertifikat erweiterte Nutzungsbeschränkungen gelten, z. B. Serverauthentifizierung. Es ist in Ordnung, die Server-Authentifizierung oder andere Einstellungen zu verwenden.
Anforderungen an virtuelle Gastgeber
Die virtuellen Hosts, die Sie als Hybrid-Datensicherheitsknoten in Ihrem Cluster einrichten, haben die folgenden Anforderungen:
Mindestens zwei separate Hosts (3 empfohlen) in demselben sicheren Rechenzentrum
VMware ESXi 6.5 (oder höher) installiert und ausgeführt.
Sie müssen ein Upgrade durchführen, wenn Sie über eine frühere ESXi-Version verfügen.
Mindestens 4 vCPUs, 8 GB Hauptspeicher, 30 GB lokaler Festplattenspeicher pro Server
Anforderungen des Datenbankservers
| Erstellen Sie eine neue Datenbank für den Schlüsselspeicher. Verwenden Sie nicht die Standarddatenbank. Wenn die HDS-Anwendungen installiert sind, erstellen Sie das Datenbankschema. |
Es gibt zwei Optionen für den Datenbankserver. Die Anforderungen für die einzelnen sind wie folgt:
PostgreSQL | Microsoft SQL-Server | ||
|---|---|---|---|
|
| ||
Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichender Festplattenspeicher und Überwachung, um sicherzustellen, dass er nicht überschritten wird (2 TB empfohlen, wenn Sie die Datenbank für längere Zeit ausführen möchten, ohne den Speicher erhöhen zu müssen) | Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichender Festplattenspeicher und Überwachung, um sicherzustellen, dass er nicht überschritten wird (2 TB empfohlen, wenn Sie die Datenbank für längere Zeit ausführen möchten, ohne den Speicher erhöhen zu müssen) |
Die HDS-Software installiert derzeit folgende Treiberversionen für die Kommunikation mit dem Datenbankserver:
PostgreSQL | Microsoft SQL-Server |
|---|---|
Postgres JDBC-Treiber 42.2.5 | SQL Server JDBC-Treiber 4.6 Diese Treiberversion unterstützt SQL Server Always On ( Always On Failover Cluster Instances und Always On Availability Groups ). |
Zusätzliche Anforderungen für die Windows-Authentifizierung gegen Microsoft SQL Server
Wenn Sie möchten, dass HDS-Knoten die Windows-Authentifizierung verwenden, um Zugriff auf Ihre Keystore-Datenbank auf Microsoft SQL Server zu erhalten, benötigen Sie die folgende Konfiguration in Ihrer Umgebung:
Die HDS-Knoten, die Active Directory-Infrastruktur und der MS SQL Server müssen mit NTP synchronisiert werden.
Das Windows-Konto, das Sie HDS-Knoten zur Verfügung stellen, muss Lese-/Schreibzugriff auf die Datenbank haben.
Die DNS-Server, die Sie den HDS-Knoten bereitstellen, müssen Ihr Key Distribution Center (KDC) auflösen können.
Sie können die HDS-Datenbankinstanz auf Ihrem Microsoft SQL Server als Service Principal Name (SPN) in Ihrem Active Directory registrieren. Siehe Einen Service Principal Name für Kerberos Connections registrieren .
Das HDS-Setup-Tool, der HDS-Launcher und lokale KMS müssen alle die Windows-Authentifizierung verwenden, um auf die Keystore-Datenbank zuzugreifen. Sie verwenden die Details aus Ihrer ISO-Konfiguration, um den SPN zu konstruieren, wenn sie den Zugriff mit Kerberos-Authentifizierung anfordern.
Anforderungen an externe Konnektivität
Konfigurieren Sie Ihre Firewall so, dass die folgende Konnektivität für die HDS-Anwendungen zulässig ist:
Anwendung | Protokoll | Port | Richtung aus der App | Ziel |
|---|---|---|---|---|
Hybrid-Datensicherheitsknoten | TCP | 443 | Ausgehende HTTPS und WSS |
|
HDS-Setup-Tool | TCP | 443 | Ausgehende HTTPS |
|
| Die Hybrid-Datensicherheitsknoten funktionieren mit NAT (Network Access Translation) oder hinter einer Firewall, sofern die NAT oder Firewall die erforderlichen ausgehenden Verbindungen zu den Domänenzielen in der vorangehenden Tabelle zulässt. Bei eingehenden Verbindungen zu den Hybrid-Datensicherheitsknoten sollten keine Ports aus dem Internet sichtbar sein. Innerhalb Ihres Rechenzentrums benötigen Clients für administrative Zwecke Zugriff auf die Hybrid-Datensicherheitsknoten an den TCP-Ports 443 und 22. |
Die URLs für die Common Identity (CI)-Hosts sind regionsspezifisch. Dies sind die aktuellen CI-Hosts:
Region | Gastgeber-URLs der gemeinsamen Benutzeridentität |
|---|---|
Nord- und Südamerika |
|
Europäische Union |
|
Kanada |
|
Proxyserver-Anforderungen
Wir unterstützen offiziell die folgenden Proxy-Lösungen, die in Ihre hybriden Datensicherheitsknoten integriert werden können.
Transparenter Proxy: Cisco Web Security Appliance (WSA).
Expliziter Proxy: Squid.
Squid-Proxys, die HTTPS-Datenverkehr prüfen, können die Einrichtung von Websocket beeinträchtigen (wss:) Verbindungen. Informationen zur Behebung dieses Problems finden Sie unter Konfigurieren von Squid-Proxys für Hybrid Data Security .
Wir unterstützen die folgenden Authentifizierungstyp-Kombinationen für explizite Proxys:
Keine Authentifizierung mit HTTP oder HTTPS
Basisauthentifizierung mit HTTP oder HTTPS
Digest-Authentifizierung nur mit HTTPS
Für einen transparenten Prüfproxy oder einen expliziten HTTPS-Proxy müssen Sie über eine Kopie des Stammzertifikats des Proxys verfügen. In den Bereitstellungsanweisungen in diesem Handbuch erfahren Sie, wie Sie die Kopie in die Vertrauensspeicher der Hybrid-Datensicherheitsknoten hochladen.
Das Netzwerk, das die HDS-Knoten hostet, muss so konfiguriert werden, dass ausgehender TCP-Datenverkehr auf Port 443 zur Weiterleitung durch den Proxy erzwungen wird.
Proxys, die den Web-Datenverkehr überprüfen, können Web-Socket-Verbindungen stören. Wenn dieses Problem auftritt, den Datenverkehr umgehen (nicht kontrollieren) zu
wbx2.comundciscospark.comwird das Problem lösen.
Vervollständigen der Voraussetzungen für die Hybrid-Datensicherheit
| 1 | Stellen Sie sicher, dass Ihre Webex-Organisation für Pro Pack für Cisco Webex Control Hub aktiviert ist, und erhalten Sie die Anmeldeinformationen eines Kontos mit vollständigen Administratorrechten für die Organisation. Wenden Sie sich an Ihren Cisco-Partner oder Account Manager, um Hilfe bei diesem Vorgang zu erhalten. | ||
| 2 | Wählen Sie einen Domänennamen für Ihre HDS-Bereitstellung (z. B. | ||
| 3 | Bereiten Sie identische virtuelle Hosts vor, die Sie als Hybrid-Datensicherheitsknoten in Ihrem Cluster einrichten. Sie benötigen mindestens zwei separate Hosts (3 empfohlen) in demselben sicheren Rechenzentrum, die die Anforderungen unter „Anforderungen an virtuelle Hosts“ erfüllen. | ||
| 4 | Bereiten Sie den Datenbankserver vor, der als Schlüsseldatenspeicher für den Cluster fungieren wird, gemäß den Anforderungen des Datenbankservers . Der Datenbankserver muss im sicheren Rechenzentrum mit den virtuellen Hosts verbunden sein. | ||
| 5 | Richten Sie für eine schnelle Notfallwiederherstellung eine Sicherungsumgebung in einem anderen Rechenzentrum ein. Die Backup-Umgebung spiegelt die Produktionsumgebung von VMs und einem Backup-Datenbankserver wider. Wenn die Produktion beispielsweise über 3 VMs verfügt, auf denen HDS-Knoten ausgeführt werden, sollte die Sicherungsumgebung über 3 VMs verfügen. | ||
| 6 | Richten Sie einen Syslog-Host ein, um Protokolle von den Knoten im Cluster zu erfassen. Erfassen Sie die Netzwerkadresse und den Syslog-Port (standardmäßig UDP 514). | ||
| 7 | Erstellen Sie eine sichere Sicherungsrichtlinie für die Hybrid-Datensicherheitsknoten, den Datenbankserver und den Syslog-Host. Um nicht wiederherstellbaren Datenverlust zu vermeiden, müssen Sie mindestens die Datenbank und die KonfigurationsISO-Datei sichern, die für die Hybrid-Datensicherheitsknoten generiert wurde.
Webex-App-Clients speichern ihre Schlüssel im Cache, sodass ein Ausfall nicht sofort erkennbar ist, sich aber im Laufe der Zeit bemerkbar macht. Während vorübergehende Ausfälle nicht zu verhindern sind, sind sie wiedergutzumachen. Der vollständige Verlust (keine Backups verfügbar) der Datenbank oder der ISO-Konfigurationsdatei führt jedoch zu nicht wiederherstellbaren Kundendaten. Von den Betreibern der Hybrid-Datensicherheitsknoten wird erwartet, dass sie häufige Backups der Datenbank und der ISO-Konfigurationsdatei führen und bereit sind, das Hybrid-Datensicherheitsrechenzentrum bei einem katastrophalen Ausfall neu zu erstellen. | ||
| 8 | Stellen Sie sicher, dass Ihre Firewall-Konfiguration Verbindungen für Ihre Hybrid-Datensicherheitsknoten zulässt, wie unter „Externe Verbindungsanforderungen“ beschrieben. | ||
| 9 | Installieren Sie Docker ( https://www.docker.com) auf jedem lokalen Computer mit einem unterstützten Betriebssystem (Microsoft Windows 10 Professional oder Enterprise 64-Bit oder Mac OSX Yosemite 10.10.3 oder höher) mit einem Webbrowser, der auf ihn zugreifen kann unter http://127.0.0.1:8080. Sie verwenden die Docker-Instanz, um das HDS-Setup-Tool herunterzuladen und auszuführen, das die lokalen Konfigurationsinformationen für alle Hybrid-Datensicherheitsknoten erstellt. Möglicherweise benötigt Ihre Organisation eine Docker Desktop-Lizenz. Weitere Informationen finden Sie unter Docker Desktop-Anforderungen . Um das HDS Setup Tool zu installieren und auszuführen, muss die lokale Maschine über die unter „Externe Verbindungsanforderungen“ beschriebene Konnektivität verfügen. | ||
| 10 | Wenn Sie einen Proxy in Hybrid Data Security integrieren, stellen Sie sicher, dass er die Proxyserveranforderungen erfüllt. | ||
| 11 | Wenn Ihre Organisation die Verzeichnissynchronisierung verwendet, erstellen Sie eine Gruppe im Active Directory mit dem Namen
|
Ablauf der Bereitstellungsaufgabe für Hybrid-Datensicherheit
Vorbereitungen
| 1 | Installationsdateien herunterladen Laden Sie die OVA-Datei für eine spätere Verwendung auf Ihren lokalen Computer herunter. | ||
| 2 | Erstellen einer Konfigurations-ISO für die HDS-Hosts Verwenden Sie das HDS-Setup-Tool, um eine ISO-Konfigurationsdatei für die Hybrid-Datensicherheitsknoten zu erstellen. | ||
| 3 |
Erstellen Sie eine virtuelle Maschine aus der OVA-Datei und führen Sie die Erstkonfiguration durch, z. B. Netzwerkeinstellungen.
| ||
| 4 | Einrichten der Hybrid-DatensicherheitsVM Melden Sie sich bei der VM-Konsole an und legen Sie die Anmeldeinformationen fest. Konfigurieren Sie die Netzwerkeinstellungen für den Knoten, wenn Sie sie zum Zeitpunkt der OVA-Bereitstellung nicht konfiguriert haben. | ||
| 5 | Hochladen und Einhängen der HDS-KonfigurationsISO Konfigurieren Sie die VM über die ISO-Konfigurationsdatei, die Sie mit dem HDS Setup Tool erstellt haben. | ||
| 6 | Konfigurieren des HDS-Knotens für die Proxyintegration Wenn die Netzwerkumgebung eine Proxy-Konfiguration erfordert, geben Sie den Proxy-Typ an, den Sie für den Knoten verwenden möchten, und fügen Sie das Proxy-Zertifikat bei Bedarf dem Vertrauensspeicher hinzu. | ||
| 7 | Registrieren des ersten Knotens im Cluster Registrieren Sie die VM mit der Cisco Webex-Cloud als Hybrid-Datensicherheitsknoten. | ||
| 8 | Weitere Knoten erstellen und registrieren Schließen Sie die Cluster-Einrichtung ab. | ||
| 9 | Ausführen einer Testversion und Verschieben in Produktion (nächstes Kapitel) Bis Sie einen Test starten, erzeugen Ihre Knoten einen Alarm, der angibt, dass Ihr Dienst noch nicht aktiviert ist. |
Installationsdateien herunterladen
| 1 | Melden Sie sich bei https://admin.webex.com an und klicken Sie dann auf Services . | ||||
| 2 | Suchen Sie im Abschnitt Hybrid-Dienste nach der Hybrid-Datensicherheitskarte und klicken Sie auf Einrichten . Wenn die Karte deaktiviert ist oder Sie sie nicht sehen, wenden Sie sich an Ihr Kontoteam oder Ihre Partnerorganisation. Geben Sie ihnen Ihre Kontonummer und bitten Sie sie, Ihre Organisation für Hybrid-Datensicherheit zu aktivieren. Um die Kontonummer zu finden, klicken Sie oben rechts neben dem Namen Ihrer Organisation auf das Zahnrad.
| ||||
| 3 | Wählen Sie No aus, um anzugeben, dass Sie den Knoten noch nicht eingerichtet haben, und klicken Sie dann auf Next . Die OVA-Datei wird automatisch heruntergeladen. Speichern Sie die Datei an einem Speicherort auf Ihrem Computer.
| ||||
| 4 | Klicken Sie optional auf Bereitstellungsleitfaden öffnen , um zu überprüfen, ob eine neuere Version dieses Leitfadens verfügbar ist. |
Erstellen einer Konfigurations-ISO für die HDS-Hosts
Der Einrichtungsprozess für die Hybrid-Datensicherheit erstellt eine ISO-Datei. Anschließend verwenden Sie ISO, um Ihren Hybrid-Datensicherheitshost zu konfigurieren.
Vorbereitungen
Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zuzugreifen, führen Sie Docker auf diesem Computer aus. Für die Einrichtung sind die Anmeldeinformationen eines Control Hub-Kontos mit vollständigen Administratorrechten für Ihre Organisation erforderlich.
Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxyeinstellungen (Server, Port, Anmeldeinformationen) über Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in Schritt 5 öffnen. In dieser Tabelle sind einige mögliche Umgebungsvariablen aufgeführt:
Beschreibung
Variable
HTTP-Proxy ohne Authentifizierung
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-Proxy ohne Authentifizierung
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-Proxy mit Authentifizierung
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS-Proxy mit Authentifizierung
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTDie von Ihnen generierte ISO-Konfigurationsdatei enthält den Master-Schlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die neueste Kopie dieser Datei, wenn Sie Konfigurationsänderungen vornehmen, z. B.:
Datenbankanmeldeinformationen
Zertifikatsaktualisierungen
Änderungen an Autorisierungsrichtlinie
Wenn Sie Datenbankverbindungen verschlüsseln möchten, richten Sie Ihre PostgreSQL- oder SQL Server-Bereitstellung für TLS ein.
| 1 | Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein: In normalen Umgebungen: In FedRAMP-Umgebungen:
| ||||||||||||
| 2 | Geben Sie Folgendes ein, um sich bei der Docker-Image-Registrierung anzumelden: | ||||||||||||
| 3 | Geben Sie bei der Passworteingabe diesen Hashwert ein: | ||||||||||||
| 4 | Laden Sie das neueste stabile Image für Ihre Umgebung herunter: In normalen Umgebungen: In FedRAMP-Umgebungen: | ||||||||||||
| 5 | Geben Sie nach Abschluss des Pull-Vorgangs den entsprechenden Befehl für Ihre Umgebung ein:
Wenn der Container ausgeführt wird, wird „Express-Server überwacht Port 8080“ angezeigt. | ||||||||||||
| 6 |
Navigieren Sie über einen Webbrowser zum Localhost, Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto festzulegen. Das Tool zeigt dann die Standardanmeldeaufforderung an. | ||||||||||||
| 7 | Wenn Sie dazu aufgefordert werden, geben Sie die Anmeldeinformationen für den Control Hub-Kundenadministrator ein und klicken Sie dann auf Anmelden , um den Zugriff auf die für die Hybrid-Datensicherheit erforderlichen Dienste zu ermöglichen. | ||||||||||||
| 8 | Klicken Sie auf der Setup-Tool-Übersichtsseite auf Erste Schritte . | ||||||||||||
| 9 | Auf der Seite ISO Import stehen Ihnen folgende Optionen zur Verfügung:
| ||||||||||||
| 10 | Überprüfen Sie, ob Ihr X.509-Zertifikat die Anforderungen unter X.509-Zertifikatanforderungen erfüllt.
| ||||||||||||
| 11 | Geben Sie die Datenbankadresse und das Konto für HDS ein, um auf Ihren wichtigen Datenspeicher zuzugreifen: | ||||||||||||
| 12 | Wählen Sie einen TLS-Datenbankverbindungsmodus :
Wenn Sie das Stammzertifikat hochladen (falls erforderlich) und auf Weiter klicken, testet das HDS-Setup-Tool die TLS-Verbindung zum Datenbankserver. Das Tool überprüft auch den Unterzeichner des Zertifikats und den Host-Name, falls zutreffend. Wenn ein Test fehlschlägt, zeigt das Tool eine Fehlermeldung an, in der das Problem beschrieben wird. Sie können auswählen, ob Sie den Fehler ignorieren und mit der Einrichtung fortfahren möchten. (Aufgrund von Konnektivitätsunterschieden können die HDS-Knoten möglicherweise die TLS-Verbindung herstellen, auch wenn die HDS Setup Tool-Maschine sie nicht erfolgreich testen kann.) | ||||||||||||
| 13 | Konfigurieren Sie auf der Seite "Systemprotokolle" Ihren Syslogd-Server: | ||||||||||||
| 14 | (Optional) Sie können den Standardwert für einige Datenbankverbindungsparameter unter „Erweiterte Einstellungen“ ändern. Im Allgemeinen ist dieser Parameter der einzige, den Sie ändern möchten: | ||||||||||||
| 15 | Klicken Sie auf „Weiter“ im Bildschirm „Dienstkonten-Passwort zurücksetzen “. Passwörter für Dienstkonten haben eine Lebensdauer von neun Monaten. Verwenden Sie diesen Bildschirm, wenn Ihre Passwörter bald ablaufen oder Sie sie zurücksetzen möchten, um frühere ISO-Dateien ungültig zu machen. | ||||||||||||
| 16 | Klicken Sie auf ISO-Datei herunterladen . Speichern Sie die Datei an einem leicht auffindbaren Speicherort. | ||||||||||||
| 17 | Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Halten Sie die Sicherungskopie sicher. Diese Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff nur auf Hybrid-Datensicherheitsadministratoren, die Konfigurationsänderungen vornehmen sollten. | ||||||||||||
| 18 | Geben Sie zum Herunterfahren des Setup-Tools |
Nächste Schritte
Sichern Sie die ISO-Konfigurationsdatei. Sie benötigen sie, um weitere Knoten für die Wiederherstellung zu erstellen oder Konfigurationsänderungen vorzunehmen. Wenn Sie alle Kopien der ISO-Datei verlieren, haben Sie auch den Master-Schlüssel verloren. Das Wiederherstellen der Schlüssel aus Ihrer PostgreSQL- oder Microsoft SQL Server-Datenbank ist nicht möglich.
| Wir haben nie eine Kopie dieses Schlüssels und können nicht helfen, wenn Sie ihn verlieren. |
Installieren der HDS-Host-OVA
| 1 | Melden Sie sich mit dem VMware vSphere-Client auf Ihrem Computer beim virtuellen ESXi-Host an. | ||||||
| 2 | Wählen Sie Datei > OVF-Vorlage bereitstellen aus. | ||||||
| 3 | Geben Sie im Assistenten den Speicherort der OVA-Datei an, die Sie zuvor heruntergeladen haben, und klicken Sie dann auf Weiter . | ||||||
| 4 | Auf der Wählen Sie einen Namen und Ordner aus Seite, geben Sie einen Name der virtuellen Maschine Wählen Sie für den Knoten (z. B. „HDS _ N ode_ 1“) einen Standort aus, an dem sich die Bereitstellung des Knotens der virtuellen Maschine befinden kann, und klicken Sie dann auf Weiter . | ||||||
| 5 | Auf der Berechnungsressource auswählen Seite, wählen Sie die Zielberechnungsressource aus, und klicken Sie dann auf Weiter . Eine Validierungsprüfung wird durchgeführt. Nach dem Abschluss werden die Vorlagendetails angezeigt. | ||||||
| 6 | Überprüfen Sie die Vorlagendetails und klicken Sie dann auf Weiter . | ||||||
| 7 | Wenn Sie aufgefordert werden, die Ressourcenkonfiguration auf dem Konfiguration Seite, klicken Sie auf <UNK> 4 CPU <UNK> und klicken Sie dann auf Weiter . | ||||||
| 8 | Auf der Speicher auswählen Seite, klicken Sie auf Weiter um das Standard-Festplattenformat und die VM-Speicherrichtlinie zu akzeptieren. | ||||||
| 9 | Auf der Netzwerke auswählen wählen Sie die Netzwerkoption aus der Liste der Einträge aus, um die gewünschte Konnektivität für die VM bereitzustellen. | ||||||
| 10 | Konfigurieren Sie auf der Seite Vorlage anpassen die folgenden Netzwerkeinstellungen:
Falls bevorzugt, können Sie die Konfiguration der Netzwerkeinstellungen überspringen und die Schritte unter Einrichten der Hybrid Data Security VM ausführen, um die Einstellungen über die Knotenkonsole zu konfigurieren.
| ||||||
| 11 | Klicken Sie mit der rechten Maustaste auf die Knoten-VM, und wählen Sie . Die Hybrid Data Security-Software wird als Gast auf dem VM-Host installiert. Sie können sich jetzt bei der Konsole anmelden und den Knoten konfigurieren. Tipps zur Fehlerbehebung Es kann zu einer Verzögerung von einigen Minuten kommen, bis die Knotencontainer angezeigt werden. Beim erstmaligen Start wird eine Bridge-Firewall-Nachricht angezeigt, während der Sie sich anmelden können. |
Einrichten der Hybrid-DatensicherheitsVM
Mit diesem Verfahren können Sie sich zum ersten Mal bei der VM-Konsole des Hybrid-Datensicherheitsknotens anmelden und die Anmeldeinformationen festlegen. Sie können auch die Konsole verwenden, um die Netzwerkeinstellungen für den Knoten zu konfigurieren, wenn Sie sie zum Zeitpunkt der OVA-Bereitstellung nicht konfiguriert haben.
| 1 | Wählen Sie im VMware vSphere-Client Ihre VM mit Hybrid-Datensicherheitsknoten und anschließend die Registerkarte Konsole aus. Die VM wird gestartet und eine Anmeldeaufforderung wird angezeigt. Drücken Sie die Eingabetaste, falls der Anmeldebildschirm nicht angezeigt wird.
|
| 2 | Verwenden Sie die folgenden Standard-Anmeldedaten und das Passwort, um sich anzumelden und die Anmeldedaten zu ändern: Da Sie sich zum ersten Mal bei Ihrer VM anmelden, müssen Sie das Administratorpasswort ändern. |
| 3 | Wenn Sie die Netzwerkeinstellungen bereits unter Installieren Sie die HDS-Host-OVA konfiguriert haben, überspringen Sie den Rest dieses Verfahrens. Andernfalls wählen Sie im Hauptmenü die Option Konfiguration bearbeiten aus. |
| 4 | Richten Sie eine statische Konfiguration mit IP-Adresse, Maske, Gateway- und DNS-Informationen ein. Ihr Knoten sollte eine interne IP-Adresse und einen DNS-Namen haben. DHCP wird nicht unterstützt. |
| 5 | (Optional) Ändern Sie bei Bedarf den Hostnamen, die Domäne oder die NTP-Server, um sie mit Ihrer Netzwerkrichtlinie abzugleichen. Sie müssen die Domäne nicht mit der Domäne übereinstimmen, mit der Sie das X.509-Zertifikat erhalten haben. |
| 6 | Speichern Sie die Netzwerkkonfiguration und starten Sie die VM neu, damit die Änderungen wirksam werden. |
Hochladen und Einhängen der HDS-KonfigurationsISO
Vorbereitungen
Da die ISO-Datei den Master-Schlüssel enthält, sollte sie nur auf der Basis des "Need-to-know"-Zugangs durch die Hybrid Data Security VMs und alle Administratoren, die Änderungen vornehmen müssen, offengelegt werden. Stellen Sie sicher, dass nur diese Administratoren auf den Datenspeicher zugreifen können.
| 1 | Laden Sie die ISO-Datei von Ihrem Computer hoch: |
| 2 | Binden Sie die ISO-Datei ein: |
Nächste Schritte
Wenn Ihre IT-Richtlinie es erfordert, können Sie die ISO-Datei optional unmounten, nachdem alle Knoten die Konfigurationsänderungen übernommen haben. Weitere Informationen finden Sie unter (Optional) ISO nach HDS-Konfiguration abmontieren .
Konfigurieren des HDS-Knotens für die Proxyintegration
Wenn die Netzwerkumgebung einen Proxy erfordert, verwenden Sie dieses Verfahren, um den Proxytyp anzugeben, den Sie in die Hybrid-Datensicherheit integrieren möchten. Wenn Sie einen transparenten Prüfproxy oder einen expliziten HTTPS-Proxy auswählen, können Sie die Schnittstelle des Knotens verwenden, um das Stammzertifikat hochzuladen und zu installieren. Sie können auch die Proxy-Verbindung über die Schnittstelle überprüfen und potenzielle Probleme beheben.
Vorbereitungen
Eine Übersicht der unterstützten Proxy-Optionen finden Sie unter Proxy-Unterstützung.
| 1 | HDS-Knoten-Setup-URL eingeben |
| 2 | Gehen Sie zu Vertrauensspeicher und Proxy und wählen Sie eine Option aus:
Führen Sie die nächsten Schritte für einen transparenten Prüfproxy, einen HTTP-Proxy mit einfacher Authentifizierung oder einen HTTPS-Proxy aus. |
| 3 | Klicken Sie auf Stammzertifikat hochladen oder Entitätszertifikat beenden , und navigieren Sie dann zu einem Stammzertifikat für den Proxy. Das Zertifikat ist hochgeladen, aber noch nicht installiert, da Sie den Knoten neu starten müssen, um das Zertifikat zu installieren. Klicken Sie auf den chevron-Pfeil nach dem Namen des Zertifikatsausstellers, um weitere Details zu erhalten, oder klicken Sie auf Löschen , wenn Sie einen Fehler gemacht haben und die Datei erneut hochladen möchten. |
| 4 | Klicken Sie auf Proxyverbindung prüfen , um die Netzwerkkonnektivität zwischen dem Knoten und dem Proxy zu testen. Wenn der Verbindungstest fehlschlägt, wird eine Fehlermeldung mit dem Grund und wie Sie das Problem beheben können angezeigt. Wenn eine Meldung angezeigt wird, dass die externe DNS-Auflösung nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen. Diese Bedingung wird in vielen expliziten Proxy-Konfigurationen erwartet. Sie können mit der Einrichtung fortfahren, und der Knoten funktioniert im Blockierten externen DNS-Auflösungsmodus. Wenn Sie der Meinung sind, dass es sich um einen Fehler handelt, führen Sie die folgenden Schritte aus, und lesen Sie anschließend Deaktivieren Sie den blockierten externen DNS-Auflösungsmodus . |
| 5 | Wenn der Verbindungstest bestanden hat und der explizite Proxy auf „Nur https“ festgelegt ist, aktivieren Sie den Umschalter auf „ Alle Port 443/444-https-Anfragen von diesem Knoten über den expliziten Proxy weiterleiten“ . Diese Einstellung benötigt 15 Sekunden, um wirksam zu werden. |
| 6 | Klicken Sie auf Installieren Sie alle Zertifikate in den Vertrauensspeicher (wird für einen expliziten HTTPS-Proxy oder einen transparenten Prüfproxy angezeigt) oder Reboot (wird für einen expliziten HTTP-Proxy angezeigt), lesen Sie die Eingabeaufforderung und klicken Sie anschließend auf Installieren , wenn Sie bereit sind. Der Knoten wird innerhalb weniger Minuten neu gestartet. |
| 7 | Nachdem der Knoten neu gestartet wurde, melden Sie sich bei Bedarf erneut an und öffnen Sie die Seite „Übersicht“ , um die Konnektivitätsprüfungen zu überprüfen, um sicherzustellen, dass alle im grünen Status sind. Die Proxy-Verbindungsprüfung testet nur eine Unterdomäne von webex.com. Wenn Verbindungsprobleme auftreten, besteht ein häufiges Problem darin, dass einige der in den Installationsanweisungen aufgeführten Cloud-Domänen am Proxy blockiert werden. |
Registrieren des ersten Knotens im Cluster
Bei der Registrierung Ihres ersten Knotens erstellen Sie ein Cluster, zu dem der Knoten zugewiesen wird. Ein Cluster enthält einen oder mehrere Knoten, die für Redundanz bereitgestellt werden.
Vorbereitungen
Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.
Stellen Sie sicher, dass alle Popupblocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.
| 1 | Melden Sie sich bei https://admin.webex.com an. |
| 2 | Wählen Sie im Menü auf der linken Seite die Option Dienste aus. |
| 3 | Suchen Sie im Abschnitt Hybrid-Dienste nach Hybrid-Datensicherheit und klicken Sie auf Einrichten . Die Seite „Hybrid-Datensicherheitsknoten registrieren“ wird angezeigt.
|
| 4 | Wählen Sie Ja aus, um anzugeben, dass Sie den Knoten eingerichtet haben und bereit sind, ihn zu registrieren, und klicken Sie dann auf Weiter . |
| 5 | Geben Sie im ersten Feld einen Namen für das Cluster ein, dem Sie Ihren Hybrid-Datensicherheitsknoten zuweisen möchten. Benennen Sie Ihre Cluster nach Möglichkeit nach dem geografischen Standort der Clusterknoten. Beispiele: "San Francisco" oder "New York" oder "Dallas" |
| 6 | Geben Sie im zweiten Feld die interne IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) Ihres Knotens ein und klicken Sie auf Weiter . Diese IP-Adresse oder FQDN sollte mit der IP-Adresse oder dem Host-Namen und der Domäne übereinstimmen, die Sie bei „Einrichten der Hybrid-Datensicherheits-VM“ verwendet haben. Es wird eine Meldung angezeigt, die angibt, dass Sie Ihren Knoten in Webex registrieren können.
|
| 7 | Klicken Sie auf Zum Knoten wechseln. |
| 8 | Klicken Sie in der Warnmeldung auf Weiter. Nach einigen Augenblicken werden Sie zu den Knotenverbindungstests für Webex-Dienste umgeleitet. Wenn alle Tests erfolgreich sind, wird die Seite „Zugriff auf Hybrid-Datensicherheitsknoten zulassen“ angezeigt. Dort bestätigen Sie, dass Sie Ihrer Webex-Organisation Berechtigungen für den Zugriff auf Ihren Knoten erteilen möchten.
|
| 9 | Aktivieren Sie das Kontrollkästchen Zugriff auf Ihren Hybrid-Datensicherheitsknoten zulassen und klicken Sie dann auf Weiter . Ihr Konto wird überprüft, und die Meldung „Registrierung abgeschlossen“ zeigt an, dass Ihr Knoten jetzt in der Webex-Cloud registriert ist.
|
| 10 | Klicken Sie auf den Link oder schließen Sie die Registerkarte, um zur Seite „Control Hub Hybrid-Datensicherheit“ zurückzukehren. Auf der Seite Hybrid-Datensicherheit wird das neue Cluster mit dem registrierten Knoten angezeigt. Der Knoten lädt die neueste Software automatisch aus der Cloud herunter.
|
Weitere Knoten erstellen und registrieren
| Zu diesem Zeitpunkt sind die Backup-VMs, die Sie unter Erfüllen der Voraussetzungen für Hybrid Data Security erstellt haben, Standby-Hosts, die nur im Falle einer Notfallwiederherstellung verwendet werden; sie sind bis dahin nicht beim System registriert. Weitere Informationen finden Sie unter Notfallwiederherstellung mit dem Standby-Rechenzentrum . |
Vorbereitungen
Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.
Stellen Sie sicher, dass alle Popupblocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.
| 1 | Erstellen Sie eine neue virtuelle Maschine aus der OVA und wiederholen Sie die Schritte unter Installieren Sie die HDS-Host-OVA . |
| 2 | Richten Sie die Erstkonfiguration auf der neuen VM ein und wiederholen Sie die Schritte unter Richten Sie die Hybrid Data Security VM ein. |
| 3 | Wiederholen Sie auf der neuen VM die Schritte unter Hochladen und Einhängen der HDS-Konfiguration ISO . |
| 4 | Wenn Sie einen Proxy für Ihre Bereitstellung einrichten, wiederholen Sie die Schritte unter Konfigurieren des HDS-Knotens für die Proxy-Integration nach Bedarf für den neuen Knoten. |
| 5 | Registrieren Sie den Knoten. Ihr Knoten ist registriert. Beachten Sie, dass Ihre Knoten bis zum Starten einer Testversion einen Alarm generieren, der angibt, dass Ihr Dienst noch nicht aktiviert ist.
|
Nächste Schritte
Ablauf der Testversion der Produktionsaufgabe
Nachdem Sie einen Hybrid-Datensicherheitscluster eingerichtet haben, können Sie einen Pilotversuch starten, Benutzer hinzufügen und damit beginnen, Ihre Bereitstellung zu testen und zu überprüfen, um auf die Produktion vorzubereiten.
Vorbereitungen
| 1 | Synchronisieren Sie ggf. die Wenn Ihre Organisation die Verzeichnissynchronisierung für Benutzer verwendet, müssen Sie die |
| 2 |
Starten Sie eine Testversion. Bis Sie diese Aufgabe ausführen, generieren Ihre Knoten einen Alarm, der angibt, dass der Dienst noch nicht aktiviert ist. |
| 3 | Testen Sie Ihre Hybrid-Datensicherheitsbereitstellung Überprüfen Sie, ob wichtige Anforderungen an Ihre Hybrid-Datensicherheitsbereitstellung übergeben werden. |
| 4 | Hybrid-Datensicherheitsstatus überwachen Überprüfen Sie den Status und richten Sie E-Mail-Benachrichtigungen für Alarme ein. |
| 5 | Hinzufügen oder Entfernen von Benutzern aus Ihrer Testversion |
| 6 | Schließen Sie die Testphase mit einer der folgenden Aktionen ab: |
Testversion aktivieren
Vorbereitungen
Wenn Ihre Organisation die Verzeichnissynchronisierung für Benutzer verwendet, müssen Sie die HdsTrialGroup Gruppenobjekt für die Synchronisierung mit der Cloud, bevor Sie eine Testversion für Ihre Organisation starten können. Anweisungen finden Sie im Bereitstellungsleitfaden für den Cisco Directory Connector.
| 1 | Melden Sie sich bei https://admin.webex.com an und wählen Sie dann Dienste . |
| 2 | Klicken Sie unter „Hybrid-Datensicherheit“ auf „Einstellungen“ . |
| 3 | Klicken Sie im Abschnitt „Dienststatus“ auf Test starten . Der Dienststatus ändert sich in den Testmodus.
|
| 4 | Klicken Sie auf Benutzer hinzufügen und geben Sie die E-Mail-Adresse eines oder mehrerer Benutzer ein, um Ihre Hybrid-Datensicherheitsknoten für Verschlüsselungs- und Indexierungsdienste zu verwenden. (Wenn Ihre Organisation die Verzeichnissynchronisierung verwendet, verwenden Sie Active Directory, um die Testgruppe zu verwalten, |
Testen Sie Ihre Hybrid-Datensicherheitsbereitstellung
Vorbereitungen
Richten Sie Ihre Bereitstellung für Hybrid-Datensicherheit ein.
Aktivieren Sie die Testversion und fügen Sie mehrere Testbenutzer hinzu.
Stellen Sie sicher, dass Sie Zugriff auf das Syslog haben, um zu überprüfen, ob wichtige Anforderungen an Ihre Bereitstellung für die Hybrid-Datensicherheit weitergeleitet werden.
| 1 | Schlüssel für einen bestimmten Bereich werden vom Ersteller des Bereichs festgelegt. Melden Sie sich bei der Webex-App als einer der Pilotbenutzer an, erstellen Sie einen Bereich und laden Sie mindestens einen Pilotbenutzer und einen Nicht-Pilotbenutzer ein.
| ||
| 2 | Nachrichten an den neuen Bereich senden. | ||
| 3 | Überprüfen Sie die Syslog-Ausgabe, um zu überprüfen, ob die Schlüsselanforderungen an Ihre Hybrid-Datensicherheitsbereitstellung übergeben werden. |
Hybrid-Datensicherheitsstatus überwachen
| 1 | Wählen Sie in Control Hub im Menü auf der linken Seite des Bildschirms Dienste aus. |
| 2 | Suchen Sie im Abschnitt Hybrid-Dienste nach Hybrid Data Security und klicken Sie auf Einstellungen . Die Seite „Hybrid-Datensicherheitseinstellungen“ wird angezeigt.
|
| 3 | Geben Sie im Abschnitt E-Mail-Benachrichtigungen eine oder mehrere durch Kommas getrennte E-Mail-Adressen ein und drücken Sie die Eingabetaste. |
Hinzufügen oder Entfernen von Benutzern aus Ihrer Testversion
Wenn Sie einen Benutzer aus der Testversion entfernen, fordert der Client des Benutzers die Schlüssel und die Schlüsselerstellung aus dem Cloud-KMS anstelle Ihres KMS an. Wenn der Client einen Schlüssel benötigt, der auf Ihrem KMS gespeichert ist, ruft der Cloud-KMS ihn im Namen des Benutzers ab.
Wenn Ihre Organisation die Verzeichnissynchronisierung verwendet, verwenden Sie Active Directory (anstelle dieses Verfahrens), um die Testgruppe zu verwalten, HdsTrialGroup; Sie können die Gruppenmitglieder in Control Hub anzeigen, aber nicht hinzufügen oder entfernen.
| 1 | Melden Sie sich bei Control Hub an und wählen Sie dann „Dienste“ . |
| 2 | Klicken Sie unter „Hybrid-Datensicherheit“ auf „Einstellungen“ . |
| 3 | Klicken Sie im Testmodus des Dienststatusbereichs auf Benutzer hinzufügen oder klicken Sie auf Anzeigen und Bearbeiten , um Benutzer aus der Testversion zu entfernen. |
| 4 | Geben Sie die E-Mail-Adresse eines oder mehrerer Benutzer ein, die Sie hinzufügen möchten, oder klicken Sie auf das X-Zeichen neben einer Benutzer-ID, um den Benutzer aus der Testversion zu entfernen. Klicken Sie dann auf Speichern . |
Übergang von der Testversion zur Produktion
| 1 | Melden Sie sich bei Control Hub an und wählen Sie dann „Dienste“ . |
| 2 | Klicken Sie unter „Hybrid-Datensicherheit“ auf „Einstellungen“ . |
| 3 | Klicken Sie im Abschnitt „Dienststatus“ auf Zu Produktion wechseln . |
| 4 | Bestätigen Sie, dass Sie alle Benutzer in die Produktion verschieben möchten. |
Beenden Sie Ihren Test, ohne zur Produktion zu wechseln
| 1 | Melden Sie sich bei Control Hub an und wählen Sie dann „Dienste“ . |
| 2 | Klicken Sie unter „Hybrid-Datensicherheit“ auf „Einstellungen“ . |
| 3 | Klicken Sie im Abschnitt Deaktivieren auf Deaktivieren . |
| 4 | Bestätigen Sie, dass Sie den Dienst deaktivieren und den Test beenden möchten. |
Verwalten der HDS-Bereitstellung
Verwenden Sie die hier beschriebenen Aufgaben, um Ihre Bereitstellung für die Hybrid-Datensicherheit zu verwalten.
Cluster-Upgrade-Zeitplan festlegen
So legen Sie den Upgrade-Zeitplan fest:
| 1 | Melden Sie sich bei Control Hub an. |
| 2 | Wählen Sie auf der Übersichtsseite unter Hybriddienste die Option Hybrid-Datensicherheit . |
| 3 | Wählen Sie auf der Seite Hybrid-Datensicherheitsressourcen den Cluster aus. |
| 4 | Wählen Sie im Übersichtsbereich auf der rechten Seite unter Cluster-Einstellungen den Cluster-Namen aus. |
| 5 | Wählen Sie auf der Einstellungsseite unter Upgrade die Uhrzeit und die Zeitzone für den Upgrade-Zeitplan aus. Hinweis: Unter der Zeitzone wird der nächste verfügbare Zeitpunkt für ein Upgrade angezeigt. Sie können das Upgrade bei Bedarf auf den folgenden Tag verzögern, indem Sie auf Verschieben klicken. |
Knotenkonfiguration ändern
x.509-Zertifikate werden vor Ablauf oder aus anderen Gründen geändert.
Das Ändern des CN- Domänenname eines Zertifikats wird nicht unterstützt. Die Domäne muss mit der ursprünglichen Domäne übereinstimmen, die zum Registrieren des Clusters verwendet wurde.
Aktualisieren der Datenbank , um zu einer Reproduktion der PostgreSQL- oder Microsoft SQL Server- Datenbank zu wechseln.
Die Migration von Daten von PostgreSQL zu Microsoft SQL Server oder umgekehrt wird nicht unterstützt. Um die Datenbank zu wechseln, starten Sie eine neue Bereitstellung von Hybrid Data Security.
Erstellen einer neuen Konfiguration zur Vorbereitung eines neuen Rechenzentrum.
Aus Sicherheitsgründen verwendet Hybrid Data Security Dienstkonten-Passwörter, die nach 9 Monaten ablaufen. Diese Passwörter werden durch das HDS Setup Tool generiert, und Sie können sie mittels der ISO-Konfigurationsdatei für Ihre einzelnen HDS-Knoten bereitstellen. Wenn die Passwörter Ihres Unternehmens bald ablaufen, erhalten Sie vom Webex-Team einen „Hinweis zum Passwortablauf“, in dem Sie gebeten werden, das Passwort für Ihr Computerkonto zurückzusetzen. (Die E-Mail enthält den Text „Verwenden Sie die Computerkonto- API , um das Passwort zu aktualisieren“.) Wenn Ihre Passwörter noch nicht abgelaufen sind, bietet Ihnen das Tool zwei Möglichkeiten:
Weiches Zurücksetzen – Das alte und das neue Passwort sind beide bis zu 10 Tage gültig. Nutzen Sie diesen Zeitraum, um die ISO -Datei auf den Knoten schrittweise zu ersetzen.
Hard-Reset – Die alten Passwörter funktionieren sofort nicht mehr.
Wenn Ihre Passwörter ohne Zurücksetzen ablaufen, wirkt sich dies auf Ihren HDS-Dienst aus und erfordert ein sofortiges Zurücksetzen und Ersetzen der ISO -Datei auf allen Knoten.
Mit diesem Verfahren können Sie eine neue ISO -Konfigurationsdatei generieren und auf Ihren Cluster anwenden.
Vorbereitungen
Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zuzugreifen, führen Sie Docker auf diesem Computer aus. Für die Einrichtung sind die Anmeldeinformationen eines Control Hub-Kontos mit vollständigen Administratorrechten für Ihre Organisation erforderlich.
Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxyeinstellungen (Server, Port, Anmeldeinformationen) über Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in 1.e öffnen. In dieser Tabelle sind einige mögliche Umgebungsvariablen aufgeführt:
Beschreibung
Variable
HTTP-Proxy ohne Authentifizierung
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-Proxy ohne Authentifizierung
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-Proxy mit Authentifizierung
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS-Proxy mit Authentifizierung
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTUm eine neue Konfiguration zu erstellen, benötigen Sie eine Kopie der aktuellen ISO-Konfigurationsdatei. Die ISO enthält den Master-Schlüssel, der die PostgreSQL- oder Microsoft SQL Server-Datenbank verschlüsselt. Sie benötigen das ISO , wenn Sie Konfigurationsänderungen vornehmen, einschließlich Datenbank , Zertifikatsaktualisierungen oder Änderungen an der Autorisierungsrichtlinie.
| 1 | Führen Sie auf einem lokalen Computer, auf dem Docker läuft, das HDS Setup Tool aus.
| ||||||
| 2 | Wenn Sie nur einen HDS-Knoten mit ausführen, erstellen Sie eine neue -Knoten-VM und registrieren Sie sie mithilfe der neuen ISO-Konfigurationsdatei. Detaillierte Anweisungen finden Sie unter Weitere Knoten erstellen und registrieren . | ||||||
| 3 | Für vorhandene HDS-Knoten, auf denen die ältere Konfigurationsdatei ausgeführt wird, mounten Sie die ISO -Datei. Führen Sie die folgenden Schritte nacheinander auf jedem Knoten aus und aktualisieren Sie dabei jeden Knoten, bevor Sie den nächsten Knoten ausschalten: | ||||||
| 4 | Wiederholen Sie Schritt 3, um bei jedem weiteren Knoten zu ersetzen, auf dem noch die alte Konfiguration ausgeführt wird, die Konfiguration zu ersetzen. |
Blockierten externen DNS-Auflösungsmodus deaktivieren
Wenn Sie einen Knoten registrieren oder die Proxy-Konfiguration des Knotens überprüfen, testet der Prozess die DNS-Suche und die Konnektivität mit der Cisco Webex-Cloud. Wenn der DNS-Server des Knotens öffentliche DNS-Namen nicht auflösen kann, wechselt der Knoten automatisch in den Modus für die blockierte externe DNS-Auflösung.
Wenn Ihre Knoten in der Lage sind, öffentliche DNS-Namen über interne DNS-Server aufzulösen, können Sie diesen Modus deaktivieren, indem Sie den Proxy-Verbindungstest auf jedem Knoten erneut ausführen.
Vorbereitungen
| 1 | Öffnen Sie in einem Webbrowser die Schnittstelle des hybriden Datensicherheitsknotens (IP-Adresse/Einrichtung, z. B. https://192.0.2.0/setup), geben Sie die Administratoranmeldeinformationen ein, die Sie für den Knoten eingerichtet haben, und klicken Sie dann auf Anmelden . |
| 2 | Gehen Sie zu „Übersicht“ (Standardseite). Wenn aktiviert, Blockierte externe DNS Auflösung ist festgelegt auf Ja . |
| 3 | Gehen Sie zur Seite „Vertrauensspeicher und Proxy “. |
| 4 | Klicken Sie auf Proxyverbindung prüfen . Wenn eine Meldung angezeigt wird, dass die externe DNS-Auflösung nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen und bleibt in diesem Modus. Andernfalls sollte nach dem Neustart des Knotens und dem Zurückkehren zur Übersichtsseite die blockierte externe DNS-Auflösung auf „Nein“ festgelegt werden. |
Nächste Schritte
Knoten entfernen
| 1 | Verwenden Sie den VMware vSphere-Client auf Ihrem Computer, um sich beim virtuellen ESXi-Host anzumelden und die virtuelle Maschine auszuschalten. |
| 2 | Knoten entfernen: |
| 3 | Löschen Sie im vSphere-Client die VM. (Klicken Sie im linken Navigationsbereich mit der rechten Maustaste auf die VM und klicken Sie auf Löschen .) Wenn Sie die VM nicht löschen, denken Sie daran, die Konfiguration der ISO-Datei aufzuheben. Ohne die ISO-Datei können Sie die VM nicht für den Zugriff auf Ihre Sicherheitsdaten verwenden. |
Notfallwiederherstellung mit Standby-Rechenzentrum
Der wichtigste Dienst, den Ihr Hybrid-Datensicherheitscluster bietet, ist die Erstellung und Speicherung von Schlüsseln, mit denen Nachrichten und andere in der Webex-Cloud gespeicherte Inhalte verschlüsselt werden. Für jeden Benutzer innerhalb der Organisation, der der Hybrid-Datensicherheit zugewiesen ist, werden neue Anforderungen zur Schlüsselerstellung an den Cluster weitergeleitet. Der Cluster ist auch dafür verantwortlich, die Schlüssel, die er erstellt hat, an alle Benutzer zurückzugeben, die zum Abrufen autorisiert sind, z. B. Mitglieder eines Konversationsbereichs.
Da der Cluster die wichtige Funktion zur Bereitstellung dieser Schlüssel ausführt, ist es zwingend erforderlich, dass der Cluster weiterhin ausgeführt wird und die ordnungsgemäßen Backups beibehalten werden. Der Verlust der Hybrid Data Security-Datenbank oder der für das Schema verwendeten Konfigurations-ISO führt zu einem NICHT WIEDERHERSTELLBAREN VERLUST von Kundeninhalten. Die folgenden Praktiken sind obligatorisch, um einen solchen Verlust zu verhindern:
Wenn eine Katastrophe dazu führt, dass die HDS-Bereitstellung im primären Rechenzentrum nicht mehr verfügbar ist, führen Sie die folgenden Schritte aus, um ein manuelles Failover zum Standby-Rechenzentrum durchzuführen.
| 1 | Starten Sie das HDS-Setup-Tool und befolgen Sie die unter Erstellen einer Konfigurations-ISO für die HDS-Hosts genannten Schritte. | ||
| 2 | Klicken Sie nach der Konfiguration des Syslogd-Servers auf Erweiterte Einstellungen | ||
| 3 | Fügen Sie auf der Seite Erweiterte Einstellungen die folgende Konfiguration hinzu oder entfernen Sie die
| ||
| 4 | Schließen Sie den Konfigurationsvorgang ab und speichern Sie die ISO-Datei an einem leicht zu findenden Speicherort. | ||
| 5 | Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Halten Sie die Sicherungskopie sicher. Diese Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff nur auf Hybrid-Datensicherheitsadministratoren, die Konfigurationsänderungen vornehmen sollten. | ||
| 6 | Klicken Sie im linken Navigationsbereich des VMware vSphere-Clients mit der rechten Maustaste auf die VM und klicken Sie auf Einstellungen bearbeiten.. | ||
| 7 | Klicken Sie auf Einstellungen bearbeiten > CD/DVD Laufwerk 1 und wählen Sie Datastore ISO File.
| ||
| 8 | Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 15 Minuten lang keine Alarme vorhanden sind. | ||
| 9 | Wiederholen Sie den Vorgang für jeden Knoten im Standby-Rechenzentrum.
|
Nächste Schritte
(Optional) ISO nach HDS-Konfiguration entmounten
Die Standard-HDS-Konfiguration wird mit der ISO-Montierung ausgeführt. Einige Kunden ziehen es jedoch vor, ISO-Dateien nicht kontinuierlich eingehängt zu lassen. Sie können die ISO-Datei unmounten, nachdem alle HDS-Knoten die neue Konfiguration übernommen haben.
Sie verwenden weiterhin die ISO-Dateien, um Konfigurationsänderungen vorzunehmen. Wenn Sie eine neue ISO erstellen oder eine ISO über das Setup-Tool aktualisieren, müssen Sie die aktualisierte ISO auf allen HDS-Knoten mounten. Nachdem alle Ihre Knoten die Konfigurationsänderungen übernommen haben, können Sie die ISO-Datei mit diesem Verfahren erneut unmounten.
Vorbereitungen
Aktualisieren Sie alle HDS-Knoten auf Version 2021.01.22.4720 oder höher.
| 1 | Fahren Sie einen Ihrer HDS-Knoten herunter. |
| 2 | Wählen Sie in der vCenter Server Appliance den HDS-Knoten aus. |
| 3 | Wählen Sie und Deaktivieren Datastore ISO File . |
| 4 | Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 20 Minuten lang keine Alarme vorhanden sind. |
| 5 | Wiederholen Sie den Vorgang für jeden HDS-Knoten. |
Anzeigen von Warnungen und Fehlerbehebung
Eine Bereitstellung der Hybrid-Datensicherheit gilt als nicht verfügbar, wenn alle Knoten im Cluster nicht erreichbar sind oder der Cluster so langsam arbeitet, dass eine Zeitüberschreitung erforderlich ist. Wenn Benutzer Ihren Hybrid-Datensicherheitscluster nicht erreichen können, treten die folgenden Symptome auf:
Neue Bereiche können nicht erstellt werden (neue Schlüssel können nicht erstellt werden)
Nachrichten und Bereichstitel können nicht entschlüsselt werden für:
Neue Benutzer zu einem Bereich hinzugefügt (Schlüssel können nicht abgerufen werden)
Vorhandene Benutzer in einem Bereich mit einem neuen Client (Schlüssel können nicht abgerufen werden)
Vorhandene Benutzer in einem Bereich werden weiterhin erfolgreich ausgeführt, solange ihre Clients über einen Cache mit den Verschlüsselungsschlüsseln verfügen.
Es ist wichtig, dass Sie Ihren Hybrid-Datensicherheitscluster ordnungsgemäß überwachen und alle Warnungen umgehend beheben, um Dienstunterbrechungen zu vermeiden.
Alerts
Wenn bei der Einrichtung der Hybrid-Datensicherheit ein Problem auftritt, zeigt Control Hub dem Organisationsadministrator Warnungen an und sendet E-Mails an die konfigurierte E-Mail-Adresse. Die Warnungen decken viele gängige Szenarien ab.
Warnung | Aktion |
|---|---|
Fehler beim Zugriff auf die lokale Datenbank. |
Suchen Sie nach Datenbankfehlern oder lokalen Netzwerkproblemen. |
Lokaler Datenbankverbindungsfehler. |
Überprüfen Sie, ob der Datenbankserver verfügbar ist und die richtigen Dienstkonto-Anmeldeinformationen in der Knotenkonfiguration verwendet wurden. |
Fehler beim Zugriff auf den Cloud-Dienst. |
Überprüfen Sie, ob die Knoten wie unter „Externe Konnektivitätsanforderungen“ beschrieben auf die Webex-Server zugreifen können. |
Erneute Registrierung des Cloud-Dienstes. |
Die Registrierung bei Cloud-Diensten wurde aufgehoben. Die Erneuerung der Registrierung läuft. |
Registrierung des Cloud-Dienstes wurde abgebrochen. |
Die Registrierung bei Cloud-Diensten wurde beendet. Der Dienst wird heruntergefahren. |
Dienst noch nicht aktiviert. |
Aktivieren Sie eine Testversion oder schließen Sie die Übertragung der Testversion auf die Produktion ab. |
Die konfigurierte Domäne stimmt nicht mit dem Serverzertifikat überein. |
Stellen Sie sicher, dass Ihr Serverzertifikat mit der konfigurierten Serviceaktivierungsdomäne übereinstimmt. Die wahrscheinlichste Ursache ist, dass der CN des Zertifikats vor Kurzem geändert wurde und sich nun vom CN unterscheidet, der bei der Ersteinrichtung verwendet wurde. |
Authentifizierung bei Cloud-Diensten fehlgeschlagen. |
Überprüfen Sie die Genauigkeit und den möglichen Ablauf der Anmeldeinformationen für das Dienstkonto. |
Lokale Keystore-Datei konnte nicht geöffnet werden. |
Überprüfen Sie die Integrität und Passwortgenauigkeit der lokalen Keystore-Datei. |
Das lokale Serverzertifikat ist ungültig. |
Überprüfen Sie das Ablaufdatum des Serverzertifikats und bestätigen Sie, dass es von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde. |
Metriken können nicht veröffentlicht werden. |
Überprüfen Sie den lokalen Netzwerkzugriff auf externe Cloud-Dienste. |
/media/configdrive/hds Verzeichnis existiert nicht. |
Überprüfen Sie die ISO-Bereitstellungskonfiguration auf dem virtuellen Host. Stellen Sie sicher, dass die ISO-Datei vorhanden ist, dass sie für das Einhängen beim Neustart konfiguriert ist und dass sie erfolgreich eingehängt wird. |
Fehlerbehebung bei Hybrid Data Security
| 1 | Prüfen Sie Control Hub auf alle Warnungen und beheben Sie alle Elemente, die Sie dort finden. |
| 2 | Prüfen Sie die Syslog-Serverausgabe auf die Aktivität aus der Bereitstellung für Hybrid-Datensicherheit. |
| 3 | Kontaktieren Sie den Cisco Support . |
Bekannte Probleme bei der Hybrid-Datensicherheit
Wenn Sie Ihren Hybrid-Datensicherheitscluster herunterfahren (indem Sie ihn in Control Hub löschen oder alle Knoten herunterfahren), Ihre ISO-Konfigurationsdatei verlieren oder den Zugriff auf die Keystore-Datenbank verlieren, können Ihre Webex-App-Benutzer keine Bereiche mehr in ihrer Personenliste verwenden, die mit Schlüsseln aus Ihrem KMS erstellt wurden. Dies gilt sowohl für Test- als auch für Produktionsbereitstellungen. Wir haben derzeit keine Problemumgehung oder Lösung für dieses Problem und bitten Sie dringend, Ihre HDS-Dienste nicht herunterzufahren, sobald sie aktive Benutzerkonten verarbeiten.
Ein Client, der eine vorhandene ECDH-Verbindung zu einer KMS hat, hält diese Verbindung für einen bestimmten Zeitraum (wahrscheinlich eine Stunde) aufrecht. Wenn ein Benutzer Mitglied einer Testversion für Hybrid-Datensicherheit wird, verwendet der Client des Benutzers die vorhandene ECDH-Verbindung weiter, bis die Zeitüberschreitung auftritt. Alternativ kann sich der Benutzer bei der Webex-App abmelden und erneut anmelden, um den Standort zu aktualisieren, den die App für Verschlüsselungsschlüssel kontaktiert.
Dasselbe Verhalten tritt auf, wenn Sie eine Testversion für die Organisation in die Produktion verschieben. Alle Nicht-Testbenutzer mit bestehenden ECDH-Verbindungen zu den vorherigen Datensicherheitsdiensten werden diese Dienste weiterhin nutzen, bis die ECDH-Verbindung neu ausgehandelt wird (durch Zeitüberschreitung oder durch Abmelden und zurück).
Verwenden von OpenSSL zum Generieren einer PKCS12-Datei
Vorbereitungen
OpenSSL ist ein Tool, mit dem die PKCS12-Datei im richtigen Format zum Laden im HDS Setup Tool erstellt werden kann. Es gibt andere Möglichkeiten, dies zu tun, und wir unterstützen oder fördern nicht den einen Weg über den anderen.
Wenn Sie sich für OpenSSL entscheiden, stellen wir Ihnen dieses Verfahren als Richtlinie zur Verfügung, um Ihnen zu helfen, eine Datei zu erstellen, die die X.509-Zertifikatanforderungen in X.509-Zertifikatanforderungen erfüllt. Machen Sie sich mit diesen Anforderungen vertraut, bevor Sie fortfahren.
Installieren Sie OpenSSL in einer unterstützten Umgebung. Siehe https://www.openssl.org für die Software und Dokumentation.
Erstellen Sie einen privaten Schlüssel.
Starten Sie dieses Verfahren, wenn Sie das Serverzertifikat von Ihrer Certificate Authority (CA) erhalten.
| 1 | Wenn Sie das Serverzertifikat von Ihrer CA erhalten, speichern Sie es als |
| 2 | Zeigen Sie das Zertifikat als Text an und überprüfen Sie die Details.
|
| 3 | Verwenden Sie einen Texteditor, um eine Zertifikatspaket-Datei mit dem Namen
|
| 4 | Erstellen Sie die .p12-Datei mit dem freundlichen Namen
|
| 5 | Überprüfen Sie die Details des Serverzertifikats. |
Nächste Schritte
Zurück zu Vervollständigen der Voraussetzungen für Hybrid-Datensicherheit . Sie werden die hdsnode.p12 Datei und das Kennwort, das Sie dafür festgelegt haben, unter Erstellen einer Konfigurations-ISO für die HDS-Hosts .
| Sie können diese Dateien wiederverwenden, um ein neues Zertifikat anzufordern, wenn das ursprüngliche Zertifikat abläuft. |
Datenverkehr zwischen den HDS-Knoten und der Cloud
Datenverkehr bei Sammlung ausgehender Metriken
Die Hybrid-Datensicherheitsknoten senden bestimmte Metriken an die Webex-Cloud. Dazu gehören Systemmetriken für Heap max, Heap verwendet, CPU-Auslastung und Thread-Anzahl; Metriken zu synchronen und asynchronen Threads; Metriken zu Warnungen, die einen Schwellenwert für Verschlüsselungsverbindungen, Latenz oder eine Länge der Anforderungswarteschlange umfassen; Metriken zum Datenspeicher und Verschlüsselungsverbindungsmetriken. Die Knoten senden verschlüsseltes Schlüsselmaterial über einen Out-of-Band-Kanal (getrennt von der Anforderung).
Eingehender Verkehr
Die Hybrid-Datensicherheitsknoten erhalten die folgenden Arten von eingehendem Datenverkehr aus der Webex-Cloud:
Verschlüsselungsanfragen von Clients, die vom Verschlüsselungsdienst weitergeleitet werden
Upgrades auf die Knotensoftware
Squid-Proxys für Hybrid Data Security konfigurieren
Websocket kann keine Verbindung über Squid Proxy herstellen
Squid-Proxys, die HTTPS-Datenverkehr prüfen, können die Einrichtung von Websocket beeinträchtigen ( wss:) Verbindungen, die für die Hybrid-Datensicherheit erforderlich sind. In diesen Abschnitten finden Sie eine Anleitung, wie Sie verschiedene Versionen von Squid so konfigurieren, dass sie ignoriert werden. wss: Verkehr für den ordnungsgemäßen Betrieb der Dienste.
Tintenfisch 4 und 5
Fügen Sie die on_unsupported_protocol Direktive zu squid.conf:
on_unsupported_protocol tunnel allTintenfisch 3.5.27
Wir haben die Hybrid-Datensicherheit erfolgreich getestet und die folgenden Regeln hinzugefügt: squid.conf. Diese Regeln können sich bei der Entwicklung von Funktionen und der Aktualisierung der Webex-Cloud ändern.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allNeue und geänderte Informationen
Datum | Vorgenommene Änderungen | ||
|---|---|---|---|
20. Oktober 2023 |
| ||
07. August 2023 |
| ||
Dienstag, 23. Mai 2023 |
| ||
06. Dezember 2022 |
| ||
23. November 2022 |
| ||
13. Oktober 2021 | Docker Desktop muss ein Setup-Programm ausführen, bevor Sie HDS-Knoten installieren können. Siehe Docker Desktop-Anforderungen . | ||
24. Juni 2021 | Beachten Sie, dass Sie die Datei mit dem privaten Schlüssel und den CSR wiederverwenden können, um ein anderes Zertifikat anzufordern. Weitere Informationen finden Sie unter Verwenden von OpenSSL zum Generieren einer PKCS12-Datei . | ||
| 30. April 2021 | Die VM-Anforderung für lokalen Festplattenspeicher wurde auf 30 GB geändert. Weitere Informationen finden Sie unter „Anforderungen für virtuelle Gastgeber“. | ||
Mittwoch, 24. Februar 2021 | Das HDS Setup Tool kann jetzt hinter einem Proxy ausgeführt werden. Weitere Informationen finden Sie unter Erstellen einer Konfigurations-ISO für die HDS-Hosts . | ||
2. Februar 2021 | HDS kann jetzt ohne gemountete ISO-Datei ausgeführt werden. Weitere Informationen finden Sie unter (Optional) ISO nach HDS-Konfiguration abmontieren . | ||
11. Januar 2021 | Informationen zum HDS Setup-Tool und zu Proxys hinzugefügt Erstellen einer Konfigurations-ISO für die HDS-Hosts . | ||
13. Oktober 2020 | Aktualisiert Installationsdateien herunterladen . | ||
8. Oktober 2020 | Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts und Ändern Sie die Knotenkonfiguration mit Befehlen für FedRAMP-Umgebungen. | ||
Freitag, 14. August 2020 | Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts und Ändern Sie die Knotenkonfiguration mit Änderungen am Anmeldeprozess. | ||
Mittwoch, 5. August 2020 | Aktualisiert Testen Sie Ihre Hybrid-Datensicherheitsbereitstellung auf Änderungen in Protokollnachrichten. Aktualisiert Anforderungen für virtuelle Gastgeber , um die maximale Anzahl an Hosts zu entfernen. | ||
Dienstag, 16. Juni 2020 | Aktualisiert Entfernen eines Knotens für Änderungen in der Control Hub-Benutzeroberfläche. | ||
Donnerstag, 4. Juni 2020 | Aktualisiert Erstellen Sie ein Konfigurations-ISO für die HDS-Hosts für Änderungen in den erweiterten Einstellungen, die Sie möglicherweise festlegen. | ||
Freitag, 29. Mai 2020 | Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts , um anzuzeigen, dass Sie TLS auch mit SQL Server-Datenbanken, UI-Änderungen und anderen Klarstellungen verwenden können. | ||
Dienstag, 5. Mai 2020 | Aktualisiert Anforderungen für virtuelle Gastgeber um neue Anforderungen für ESXi 6.5 anzuzeigen. | ||
21. April 2020 | Aktualisiert Externe Konnektivitätsanforderungen mit neuen CI-Hosts für Amerika. | ||
1. April 2020 | Aktualisiert Externe Konnektivitätsanforderungen mit Informationen zu regionalen CI-Hosts. | ||
| 20. Februar 2020 | Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts mit Informationen zum neuen optionalen Bildschirm Erweiterte Einstellungen im HDS-Setup-Tool. | ||
| 4. Februar 2020 | Aktualisierte Anforderungen für Proxyserver . | ||
| 16. Dezember 2019 | Die Anforderung, dass der blockierte externe DNS-Auflösungsmodus unter „ Proxyserveranforderungen“ funktioniert, wurde klargestellt . | ||
| 19. November 2019 | Informationen zum blockierten externen DNS-Auflösungsmodus wurden in den folgenden Abschnitten hinzugefügt: | ||
8. November 2019 | Sie können jetzt die Netzwerkeinstellungen für einen Knoten konfigurieren, während Sie die OVA bereitstellen, und nicht erst danach. Die folgenden Abschnitte wurden entsprechend aktualisiert:
| ||
6. September 2019 | SQL Server Standard zu Datenbankserveranforderungen . | ||
| 29. August 2019 | Hinzugefügt Konfigurieren von Squid-Proxys für Hybrid Data Security Anhang mit Anleitung zum Konfigurieren von Squid-Proxys zum Ignorieren von Websocket-Datenverkehr für den ordnungsgemäßen Betrieb. | ||
| 20. August 2019 | Abschnitte hinzugefügt und aktualisiert, um die Proxy-Unterstützung für die Kommunikation von hybriden Datensicherheitsknoten mit der Webex-Cloud abzudecken. Informationen zum Zugriff auf den Inhalt der Proxy-Unterstützung für eine vorhandene Bereitstellung finden Sie im Hilfeartikel Proxy-Unterstützung für Hybrid Data Security und Webex-Videonetz . | ||
| Freitag, 13. Juni 2019 | Aktualisiert Ablauf der Testversion zur Produktionsaufgabe mit einer Erinnerung zur Synchronisierung der HdsTrialGroup gruppieren Sie ein Objekt, bevor Sie einen Test starten, wenn Ihre Organisation die Verzeichnissynchronisierung verwendet. | ||
| Freitag, 6. März 2019 |
| ||
| Dienstag, 28. Februar 2019 |
| ||
| 26. Februar 2019 |
| ||
24. Januar 2019 |
| ||
| 5. November 2018 |
| ||
| Dienstag, 19. Oktober 2018 |
| ||
31. Juli 2018 |
| ||
| 21. Mai 2018 | Terminologie geändert, um das Rebranding von Cisco Spark widerzuspiegeln:
| ||
| Dienstag, 11. April 2018 |
| ||
| 22. Februar 2018 |
| ||
| Donnerstag, 15. Februar 2018 |
| ||
| Donnerstag, 18. Januar 2018 |
| ||
2. November 2017 |
| ||
Freitag, 18. August 2017 | Erste Veröffentlichung |
Übersicht über die Hybrid-Datensicherheit
Von Anfang an stand bei der Entwicklung der Webex App die Datensicherheit im Vordergrund. Der Grundstein dieser Sicherheit ist die durchgängige Inhaltsverschlüsselung, die durch die Interaktion von Webex App-Clients mit dem Schlüsselverwaltungsdienst (KMS) ermöglicht wird. Der KMS erstellt und verwaltet die Kryptografieschlüssel, mit denen die Clients ihre Nachrichten und Dateien dynamisch ver- und entschlüsseln.
Standardmäßig erhalten alle Webex-App-Kunden eine durchgängige Verschlüsselung mit dynamischen Schlüsseln, die im Cloud-KMS im Sicherheitsbereich von Cisco gespeichert sind. Mit Hybrid Data Security werden KMS und andere Sicherheitsfunktionen in das Rechenzentrum Ihres Unternehmens verschoben, damit die Schlüssel zu ihren verschlüsselten Inhalten ausschließlich bei Ihnen liegen.
Sicherheitsbereichsarchitektur
Die Webex Cloud-Architektur trennt verschiedene Servicetypen in separate Bereiche oder Vertrauensdomänen, wie unten dargestellt.
Um die Hybrid-Datensicherheit weiter zu verstehen, werfen wir einen Blick auf diesen reinen Cloud-Fall, in dem Cisco alle Funktionen in seinen Cloud-Bereichen bereitstellt. Der Identitätsdienst, der einzige Ort, an dem Benutzer direkt mit ihren persönlichen Informationen wie E-Mail-Adresse korreliert werden können, ist logisch und physisch getrennt vom Sicherheitsbereich im Rechenzentrum B. Beide sind wiederum getrennt vom Bereich, in dem letztlich verschlüsselte Inhalte gespeichert werden, im Rechenzentrum C.
In diesem Diagramm ist der Client die Webex-App, die auf dem Laptop eines Benutzers ausgeführt wird und sich beim Identitätsdienst authentifiziert hat. Wenn der Benutzer eine Nachricht erstellt, die an einen Bereich gesendet werden soll, werden die folgenden Schritte ausgeführt:
Der Client stellt eine sichere Verbindung mit dem Schlüsselverwaltungsdienst (KMS) her und fordert dann einen Schlüssel zum Verschlüsseln der Nachricht an. Die sichere Verbindung verwendet ECDH, und das KMS verschlüsselt den Schlüssel mit einem AES-256-Master-Schlüssel.
Die Nachricht wird verschlüsselt, bevor sie den Client verlässt. Der Client sendet es an den Indexierungsdienst, der verschlüsselte Suchindizes erstellt, die bei der zukünftigen Suche nach den Inhalten helfen.
Die verschlüsselte Nachricht wird für Compliance-Prüfungen an den Compliance-Dienst gesendet.
Die verschlüsselte Nachricht wird im Speicherbereich gespeichert.
Wenn Sie Hybrid Data Security bereitstellen, verschieben Sie die Sicherheitsbereichsfunktionen (KMS, Indizierung und Compliance) in Ihr lokales Rechenzentrum. Die anderen Cloud-Dienste, aus denen Webex besteht (einschließlich Identitäts- und Inhaltsspeicher), verbleiben in den Bereichen von Cisco.
Zusammenarbeit mit anderen Organisationen
Benutzer in Ihrer Organisation verwenden möglicherweise regelmäßig die Webex-App, um mit externen Teilnehmern in anderen Organisationen zusammenzuarbeiten. Wenn einer Ihrer Benutzer einen Schlüssel für einen Bereich anfordert, der zu Ihrer Organisation gehört (da er von einem Ihrer Benutzer erstellt wurde), sendet KMS den Schlüssel über einen ECDH-sicheren Kanal an den Client. Wenn jedoch eine andere Organisation den Schlüssel für den Bereich besitzt, leitet Ihre KMS die Anforderung über einen separaten ECDH-Kanal an die Webex-Cloud weiter, um den Schlüssel von der entsprechenden KMS zu erhalten, und gibt den Schlüssel dann an Ihren Benutzer im ursprünglichen Kanal zurück.
Der auf Org A ausgeführte KMS-Dienst validiert die Verbindungen zu KMSs in anderen Organisationen mit x.509 PKI-Zertifikaten. Siehe Umgebung vorbereiten für Details zur Generierung eines x.509-Zertifikats für Ihre Hybrid-Datensicherheitsbereitstellung.
Erwartungen an die Bereitstellung der Hybrid-Datensicherheit
Eine Bereitstellung von Hybrid-Datensicherheit erfordert erhebliches Kundenengagement und ein Bewusstsein für die Risiken, die sich aus dem Besitz von Verschlüsselungscodes ergeben.
Um die Hybrid-Datensicherheit bereitzustellen, müssen Sie Folgendes bereitstellen:
Ein sicheres Rechenzentrum in einem Land, das ein unterstützter Standort für die Cisco Webex Teams-Pläne ist.
Die Geräte, Software und der Netzwerkzugriff werden unter „Umgebung vorbereiten“ beschrieben.
Der vollständige Verlust der Konfigurations-ISO, die Sie für Hybrid Data Security erstellen, oder der von Ihnen bereitgestellten Datenbank führt zum Verlust der Schlüssel. Der Schlüsselverlust verhindert, dass Benutzer Bereichsinhalte und andere verschlüsselte Daten in der Webex-App entschlüsseln. In diesem Fall können Sie eine neue Bereitstellung erstellen, aber nur neue Inhalte werden angezeigt. Um den Verlust des Zugriffs auf Daten zu vermeiden, müssen Sie:
Verwalten Sie die Sicherung und Wiederherstellung der Datenbank und der ISO-Konfiguration.
Bereiten Sie sich auf eine schnelle Notfallwiederherstellung vor, wenn eine Katastrophe auftritt, z. B. ein Datenbankfestplattenausfall oder eine Datencenter-Katastrophe.
| Es gibt keinen Mechanismus, um Schlüssel nach einer HDS-Bereitstellung zurück in die Cloud zu verschieben. |
Hochrangiger Einrichtungsprozess
Dieses Dokument behandelt die Einrichtung und Verwaltung einer Bereitstellung für Hybrid-Datensicherheit:
Hybrid-Datensicherheit einrichten – Dazu gehören die Vorbereitung der erforderlichen Infrastruktur und die Installation der Hybrid-Datensicherheitssoftware, das Testen Ihrer Bereitstellung mit einer Teilmenge von Benutzern im Testmodus und die Umstellung auf die Produktion, sobald die Tests abgeschlossen sind. Dadurch wird die gesamte Organisation konvertiert, um Ihren Hybrid-Datensicherheitscluster für Sicherheitsfunktionen zu verwenden.
Die Einrichtungs-, Test- und Produktionsphasen werden in den nächsten drei Kapiteln ausführlich behandelt.
Bereitstellen der Hybrid-Datensicherheit aufrechterhalten – Die Webex-Cloud stellt automatisch laufende Upgrades bereit. Ihre IT-Abteilung kann diese Bereitstellung mit Unterstützung der Stufe eins unterstützen und bei Bedarf den Cisco-Support einbeziehen. Sie können Benachrichtigungen auf dem Bildschirm verwenden und E-Mail-basierte Warnungen in Control Hub einrichten.
Allgemeine Warnungen, Schritte zur Fehlerbehebung und bekannte Probleme – Wenn bei der Bereitstellung oder Verwendung von Hybrid Data Security Probleme auftreten, können Sie das letzte Kapitel dieses Handbuchs und der Anhang „Bekannte Probleme“ bei der Bestimmung und Behebung des Problems helfen.
Bereitstellungsmodell für Hybrid-Datensicherheit
Im Rechenzentrum Ihres Unternehmens stellen Sie die Hybrid-Datensicherheit als ein einzelnes Cluster von Knoten auf separaten virtuellen Hosts bereit. Die Knoten kommunizieren über sichere Websockets und sicheres HTTP mit der Webex-Cloud.
Während der Installation stellen wir Ihnen die OVA-Datei zur Verfügung, um die virtuelle Appliance auf den von Ihnen bereitgestellten VMs einzurichten. Mit dem HDS-Setup-Tool können Sie eine benutzerdefinierte ISO-Datei für die Clusterkonfiguration erstellen, die Sie auf jedem Knoten mounten. Der Hybrid-Datensicherheitscluster verwendet Ihren bereitgestellten Syslogd-Server und die PostgreSQL- oder Microsoft SQL Server-Datenbank. (Sie konfigurieren die Syslogd- und Datenbankverbindungsdetails im HDS Setup Tool.)
Die Mindestanzahl an Knoten, die Sie in einem Cluster haben können, beträgt zwei. Wir empfehlen mindestens drei und Sie können bis zu fünf haben. Wenn Sie mehrere Knoten haben, wird sichergestellt, dass der Dienst während eines Software-Upgrades oder einer anderen Wartungsaktivität auf einem Knoten nicht unterbrochen wird. (Die Webex-Cloud aktualisiert nur jeweils einen Knoten.)
Alle Knoten in einem Cluster greifen auf denselben Schlüsseldatastore zu und protokollieren die Aktivität mit demselben Syslog-Server. Die Knoten selbst sind staatenlos und bearbeiten wichtige Anfragen in Round-Robin-Manier, wie von der Cloud geleitet.
Knoten werden aktiv, wenn Sie sie in Control Hub registrieren. Um einen einzelnen Knoten außer Betrieb zu nehmen, können Sie die Registrierung aufheben und ihn bei Bedarf später erneut registrieren.
Wir unterstützen nur ein einzelnes Cluster pro Organisation.
Testmodus für Hybrid-Datensicherheit
Nachdem Sie eine Bereitstellung für Hybrid-Datensicherheit eingerichtet haben, versuchen Sie es zunächst mit einer Reihe von Pilotbenutzern. Während des Testzeitraums verwenden diese Benutzer Ihre lokale Hybrid-Datensicherheitsdomäne für Verschlüsselungscodes und andere Dienste des Sicherheitsbereichs. Ihre anderen Benutzer verwenden weiterhin den Cloud-Sicherheitsbereich.
Wenn Sie die Bereitstellung während des Testzeitraums nicht fortsetzen und den Dienst deaktivieren möchten, verlieren die Pilotbenutzer und alle Benutzer, mit denen sie während des Testzeitraums interagiert haben, den Zugriff auf die Nachrichten und Inhalte. Ihnen wird in der Webex-App „Diese Nachricht kann nicht entschlüsselt werden“ angezeigt.
Wenn Sie überzeugt sind, dass Ihre Bereitstellung für die Testbenutzer gut funktioniert und Sie bereit sind, die Hybrid-Datensicherheit auf alle Ihre Benutzer auszuweiten, verschieben Sie die Bereitstellung in die Produktion. Pilotbenutzer haben weiterhin Zugriff auf die Schlüssel, die während der Testphase verwendet wurden. Sie können jedoch nicht zwischen dem Produktionsmodus und der ursprünglichen Testversion hin- und herwechseln. Wenn Sie den Dienst deaktivieren müssen, um z. B. eine Notfallwiederherstellung durchzuführen, müssen Sie bei der erneuten Aktivierung einen neuen Test starten und die Anzahl der Pilotbenutzer für den neuen Test einrichten, bevor Sie in den Produktionsmodus zurückkehren. Ob die Benutzer zu diesem Zeitpunkt weiterhin Zugriff auf Daten haben, hängt davon ab, ob Sie Backups des Schlüsseldatenspeichers und der ISO-Konfigurationsdatei für die Hybrid-Datensicherheitsknoten in Ihrem Cluster erfolgreich durchgeführt haben.
Standby-Rechenzentrum für die Notfallwiederherstellung
Während der Bereitstellung richten Sie ein sicheres Standby-Rechenzentrum ein. Im Falle eines Rechenzentrums-Desasters können Sie Ihre Bereitstellung manuell auf das Standby-Rechenzentrum umlegen.
Die Datenbanken der aktiven und Standby-Rechenzentren sind miteinander synchronisiert, wodurch die Zeit für die Durchführung des Failovers minimiert wird. Die ISO-Datei des Standby-Rechenzentrums wird mit zusätzlichen Konfigurationen aktualisiert, die sicherstellen, dass die Knoten in der Organisation registriert sind, aber keinen Datenverkehr verarbeiten. Daher bleiben die Knoten des Standby-Rechenzentrums immer auf dem neuesten Stand mit der neuesten Version der HDS-Software.
| Die aktiven Hybrid-Datensicherheitsknoten müssen sich immer im selben Rechenzentrum wie der aktive Datenbankserver befinden. |
Standby-Rechenzentrum für die Notfallwiederherstellung einrichten
Führen Sie die folgenden Schritte aus, um die ISO-Datei des Standby-Rechenzentrums zu konfigurieren:
Vorbereitungen
Das Standby-Rechenzentrum sollte die Produktionsumgebung von VMs und eine Backup-PostgreSQL- oder Microsoft SQL Server-Datenbank spiegeln. Wenn die Produktion beispielsweise über 3 VMs verfügt, auf denen HDS-Knoten ausgeführt werden, sollte die Backup-Umgebung über 3 VMs verfügen. (Siehe Standby Data Center for Disaster Recovery für eine Übersicht über dieses Failover-Modell.)
Stellen Sie sicher, dass die Datenbanksynchronisierung zwischen der Datenbank aktiver und passiver Cluster-Knoten aktiviert ist.
| 1 | Starten Sie das HDS-Setup-Tool und befolgen Sie die unter Erstellen einer Konfigurations-ISO für die HDS-Hosts genannten Schritte.
| ||
| 2 | Klicken Sie nach der Konfiguration des Syslogd-Servers auf Erweiterte Einstellungen | ||
| 3 | Fügen Sie auf der Seite Erweiterte Einstellungen unten die Konfiguration hinzu, um den Knoten im passiven Modus zu platzieren. In diesem Modus wird der Knoten in der Organisation registriert und mit der Cloud verbunden, verarbeitet jedoch keinen Datenverkehr.
| ||
| 4 | Schließen Sie den Konfigurationsvorgang ab und speichern Sie die ISO-Datei an einem leicht zu findenden Speicherort. | ||
| 5 | Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Halten Sie die Sicherungskopie sicher. Diese Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff nur auf Hybrid-Datensicherheitsadministratoren, die Konfigurationsänderungen vornehmen sollten. | ||
| 6 | Klicken Sie im linken Navigationsbereich des VMware vSphere-Clients mit der rechten Maustaste auf die VM und klicken Sie auf Einstellungen bearbeiten.. | ||
| 7 | Klicken Sie auf Einstellungen bearbeiten > CD/DVD Laufwerk 1 und wählen Sie Datastore ISO File.
| ||
| 8 | Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 15 Minuten lang keine Alarme vorhanden sind. | ||
| 9 | Wiederholen Sie den Vorgang für jeden Knoten im Standby-Rechenzentrum.
|
Nächste Schritte
Nach der Konfiguration passiveMode in der ISO-Datei zu speichern, können Sie eine andere Kopie der ISO-Datei ohne die passiveMode konfigurieren und an einem sicheren Speicherort speichern. Diese Kopie der ISO-Datei ohne passiveMode konfiguriert kann bei einem schnellen Failover-Prozess während der Notfallwiederherstellung helfen. Siehe Notfallwiederherstellung mit Standby-Rechenzentrum für das detaillierte Failover-Verfahren.
Proxy-Unterstützung
Hybrid Data Security unterstützt explizite, transparente Inspektion und Nicht-Inspektion von Proxys. Sie können diese Proxys mit Ihrer Bereitstellung verknüpfen, sodass Sie den Datenverkehr vom Unternehmen in die Cloud absichern und überwachen können. Sie können eine Plattform-Admin-Oberfläche auf den Knoten für die Zertifikatsverwaltung und zum Überprüfen des allgemeinen Verbindungsstatus verwenden, nachdem Sie den Proxy auf den Knoten eingerichtet haben.
Die Hybrid-Datensicherheitsknoten unterstützen die folgenden Proxy-Optionen:
Kein Proxy – Der Standard, wenn Sie nicht die HDS-Knoteneinrichtung Trust Store- und Proxy-Konfiguration verwenden, um einen Proxy zu integrieren. Es ist keine Zertifikataktualisierung erforderlich.
Transparenter Proxy ohne Prüfung – Die Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert und erfordern keine Änderungen, damit sie mit einem Proxy ohne Prüfung funktionieren. Es ist keine Zertifikataktualisierung erforderlich.
Transparentes Tunneln oder Prüfen des Proxy – Die Knoten sind nicht so konfiguriert, dass sie eine bestimmte Proxyserver-Adresse verwenden. Auf den Knoten sind keine HTTP- oder HTTPS-Konfigurationsänderungen erforderlich. Die Knoten benötigen jedoch ein Stammzertifikat, damit sie dem Proxy vertrauen können. In der Regel werden Proxys von der IT verwendet, um Richtlinien durchzusetzen, auf denen Websites besucht werden können und welche Arten von Inhalten nicht zulässig sind. Dieser Proxy-Typ entschlüsselt Ihren gesamten Datenverkehr (auch HTTPS).
Expliziter Proxy – Mit explizitem Proxy teilen Sie den HDS-Knoten mit, welchen Proxyserver und welches Authentifizierungsschema verwendet werden soll. Um einen expliziten Proxy zu konfigurieren, müssen Sie auf jedem Knoten die folgenden Informationen eingeben:
Proxy-IP/FQDN : Adresse, die zum Erreichen der Proxymaschine verwendet werden kann.
Proxy-Port : Eine Portnummer, die der Proxy für die Überwachung des Proxyverkehrs verwendet.
Proxy-Protokoll : Je nachdem, was Ihr Proxy-Server unterstützt, wählen Sie zwischen den folgenden Protokollen:
HTTP – Zeigt alle vom Client gesendeten Anfragen an und steuert sie.
HTTPS: Stellt dem Server einen Kanal zur Verfügung. Der Client empfängt und validiert das Zertifikat des Servers.
Authentifizierungstyp : Wählen Sie einen der folgenden Authentifizierungstypen aus:
Keine: Es ist keine weitere Authentifizierung erforderlich.
Verfügbar, wenn Sie HTTP oder HTTPS als Proxy-Protokoll auswählen.
Basic – Wird für einen HTTP-Benutzeragenten verwendet, um bei einer Anforderung einen Benutzernamen und ein Kennwort anzugeben. Verwendet Base64-Codierung.
Verfügbar, wenn Sie HTTP oder HTTPS als Proxy-Protokoll auswählen.
Erfordert die Eingabe des Benutzernamens und des Kennworts auf den einzelnen Knoten.
Ziffer : Wird verwendet, um das Konto zu bestätigen, bevor sensible Informationen gesendet werden. Wendet eine Hash-Funktion auf den Benutzernamen und das Kennwort an, bevor sie über das Netzwerk gesendet werden.
Nur verfügbar, wenn Sie HTTPS als Proxy-Protokoll auswählen.
Erfordert die Eingabe des Benutzernamens und des Kennworts auf den einzelnen Knoten.
Beispiel für hybride Datensicherheitsknoten und Proxy
Dieses Diagramm zeigt eine Beispielverbindung zwischen der Hybrid-Datensicherheit, dem Netzwerk und einem Proxy. Für die transparenten Inspektions- und HTTPS-Optionen zur expliziten Inspektion von Proxy muss dasselbe Stammzertifikat auf dem Proxy und auf den Hybrid-Datensicherheitsknoten installiert sein.
Blockierter externer DNS-Auflösungsmodus (Explizite Proxykonfigurationen)
Wenn Sie einen Knoten registrieren oder die Proxy-Konfiguration des Knotens überprüfen, testet der Prozess die DNS-Suche und die Konnektivität mit der Cisco Webex-Cloud. In Bereitstellungen mit expliziten Proxy-Konfigurationen, die keine externe DNS-Auflösung für interne Clients zulassen, wechselt der Knoten automatisch in den Modus für blockierte externe DNS-Auflösung, wenn er die DNS-Server nicht abfragen kann. In diesem Modus können die Knotenregistrierung und andere Proxy-Verbindungstests fortgesetzt werden.
Anforderungen an die Hybrid-Datensicherheit
Cisco Webex-Lizenzanforderungen
So stellen Sie die Hybrid-Datensicherheit bereit:
Sie müssen über Pro Pack für Cisco Webex Control Hub verfügen. (Siehe https://www.cisco.com/go/pro-pack.)
Docker Desktop-Anforderungen
Bevor Sie Ihre HDS-Knoten installieren, benötigen Sie Docker Desktop, um ein Setup-Programm auszuführen. Docker hat kürzlich sein Lizenzierungsmodell aktualisiert. Ihre Organisation benötigt möglicherweise ein kostenpflichtiges Abonnement für Docker Desktop. Weitere Informationen finden Sie im Docker-Blog „ Docker aktualisiert und erweitert unsere Produktabonnements ".
X.509-Zertifikatanforderungen
Die Zertifikatskette muss die folgenden Anforderungen erfüllen:
Anforderung | Details |
|---|---|
| Standardmäßig vertrauen wir den CAs in der Mozilla-Liste (mit Ausnahme von WoSign und StartCom) auf https://wiki.mozilla.org/CA:IncludedCAs. |
| Der CN muss nicht erreichbar sein oder ein Live-Host sein. Wir empfehlen Ihnen beispielsweise, einen Namen zu verwenden, der Ihre Organisation widerspiegelt. Der CN darf kein * (Platzhalter) enthalten. Der CN wird verwendet, um die Hybrid-Datensicherheitsknoten für Webex-App-Clients zu verifizieren. Alle Hybrid-Datensicherheitsknoten in Ihrem Cluster verwenden dasselbe Zertifikat. Ihr KMS identifiziert sich mit der CN-Domäne, nicht mit einer Domäne, die in den SAN-Feldern x.509v3 definiert ist. Sobald Sie einen Knoten mit diesem Zertifikat registriert haben, wird das Ändern des CN-Domänennamens nicht unterstützt. Wählen Sie eine Domäne aus, die sowohl für Test- als auch für Produktionsbereitstellungen gelten kann. |
| Die KMS-Software unterstützt keine SHA1-Signaturen für die Überprüfung von Verbindungen zu KMSs anderer Organisationen. |
| Sie können einen Konverter wie OpenSSL verwenden, um das Format Ihres Zertifikats zu ändern. Sie müssen das Kennwort eingeben, wenn Sie das HDS-Setup-Tool ausführen. |
Die KMS-Software erzwingt keine Schlüsselnutzung oder erweiterte Schlüsselnutzungsbeschränkungen. Einige Zertifizierungsstellen verlangen, dass für jedes Zertifikat erweiterte Nutzungsbeschränkungen gelten, z. B. Serverauthentifizierung. Es ist in Ordnung, die Server-Authentifizierung oder andere Einstellungen zu verwenden.
Anforderungen an virtuelle Gastgeber
Die virtuellen Hosts, die Sie als Hybrid-Datensicherheitsknoten in Ihrem Cluster einrichten, haben die folgenden Anforderungen:
Mindestens zwei separate Hosts (3 empfohlen) in demselben sicheren Rechenzentrum
VMware ESXi 6.5 (oder höher) installiert und ausgeführt.
Sie müssen ein Upgrade durchführen, wenn Sie über eine frühere ESXi-Version verfügen.
Mindestens 4 vCPUs, 8 GB Hauptspeicher, 30 GB lokaler Festplattenspeicher pro Server
Anforderungen des Datenbankservers
| Erstellen Sie eine neue Datenbank für den Schlüsselspeicher. Verwenden Sie nicht die Standarddatenbank. Wenn die HDS-Anwendungen installiert sind, erstellen Sie das Datenbankschema. |
Es gibt zwei Optionen für den Datenbankserver. Die Anforderungen für die einzelnen sind wie folgt:
PostgreSQL | Microsoft SQL-Server | ||
|---|---|---|---|
|
| ||
Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichender Festplattenspeicher und Überwachung, um sicherzustellen, dass er nicht überschritten wird (2 TB empfohlen, wenn Sie die Datenbank für längere Zeit ausführen möchten, ohne den Speicher erhöhen zu müssen) | Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichender Festplattenspeicher und Überwachung, um sicherzustellen, dass er nicht überschritten wird (2 TB empfohlen, wenn Sie die Datenbank für längere Zeit ausführen möchten, ohne den Speicher erhöhen zu müssen) |
Die HDS-Software installiert derzeit folgende Treiberversionen für die Kommunikation mit dem Datenbankserver:
PostgreSQL | Microsoft SQL-Server |
|---|---|
Postgres JDBC-Treiber 42.2.5 | SQL Server JDBC-Treiber 4.6 Diese Treiberversion unterstützt SQL Server Always On ( Always On Failover Cluster Instances und Always On Availability Groups ). |
Zusätzliche Anforderungen für die Windows-Authentifizierung gegen Microsoft SQL Server
Wenn Sie möchten, dass HDS-Knoten die Windows-Authentifizierung verwenden, um Zugriff auf Ihre Keystore-Datenbank auf Microsoft SQL Server zu erhalten, benötigen Sie die folgende Konfiguration in Ihrer Umgebung:
Die HDS-Knoten, die Active Directory-Infrastruktur und der MS SQL Server müssen mit NTP synchronisiert werden.
Das Windows-Konto, das Sie HDS-Knoten zur Verfügung stellen, muss Lese-/Schreibzugriff auf die Datenbank haben.
Die DNS-Server, die Sie den HDS-Knoten bereitstellen, müssen Ihr Key Distribution Center (KDC) auflösen können.
Sie können die HDS-Datenbankinstanz auf Ihrem Microsoft SQL Server als Service Principal Name (SPN) in Ihrem Active Directory registrieren. Siehe Einen Service Principal Name für Kerberos Connections registrieren .
Das HDS-Setup-Tool, der HDS-Launcher und lokale KMS müssen alle die Windows-Authentifizierung verwenden, um auf die Keystore-Datenbank zuzugreifen. Sie verwenden die Details aus Ihrer ISO-Konfiguration, um den SPN zu konstruieren, wenn sie den Zugriff mit Kerberos-Authentifizierung anfordern.
Anforderungen an externe Konnektivität
Konfigurieren Sie Ihre Firewall so, dass die folgende Konnektivität für die HDS-Anwendungen zulässig ist:
Anwendung | Protokoll | Port | Richtung aus der App | Ziel |
|---|---|---|---|---|
Hybrid-Datensicherheitsknoten | TCP | 443 | Ausgehende HTTPS und WSS |
|
HDS-Setup-Tool | TCP | 443 | Ausgehende HTTPS |
|
| Die Hybrid-Datensicherheitsknoten funktionieren mit NAT (Network Access Translation) oder hinter einer Firewall, sofern die NAT oder Firewall die erforderlichen ausgehenden Verbindungen zu den Domänenzielen in der vorangehenden Tabelle zulässt. Bei eingehenden Verbindungen zu den Hybrid-Datensicherheitsknoten sollten keine Ports aus dem Internet sichtbar sein. Innerhalb Ihres Rechenzentrums benötigen Clients für administrative Zwecke Zugriff auf die Hybrid-Datensicherheitsknoten an den TCP-Ports 443 und 22. |
Die URLs für die Common Identity (CI)-Hosts sind regionsspezifisch. Dies sind die aktuellen CI-Hosts:
Region | Gastgeber-URLs der gemeinsamen Benutzeridentität |
|---|---|
Nord- und Südamerika |
|
Europäische Union |
|
Kanada |
|
Proxyserver-Anforderungen
Wir unterstützen offiziell die folgenden Proxy-Lösungen, die in Ihre hybriden Datensicherheitsknoten integriert werden können.
Transparenter Proxy: Cisco Web Security Appliance (WSA).
Expliziter Proxy: Squid.
Squid-Proxys, die HTTPS-Datenverkehr prüfen, können die Einrichtung von Websocket beeinträchtigen (wss:) Verbindungen. Informationen zur Behebung dieses Problems finden Sie unter Konfigurieren von Squid-Proxys für Hybrid Data Security .
Wir unterstützen die folgenden Authentifizierungstyp-Kombinationen für explizite Proxys:
Keine Authentifizierung mit HTTP oder HTTPS
Basisauthentifizierung mit HTTP oder HTTPS
Digest-Authentifizierung nur mit HTTPS
Für einen transparenten Prüfproxy oder einen expliziten HTTPS-Proxy müssen Sie über eine Kopie des Stammzertifikats des Proxys verfügen. In den Bereitstellungsanweisungen in diesem Handbuch erfahren Sie, wie Sie die Kopie in die Vertrauensspeicher der Hybrid-Datensicherheitsknoten hochladen.
Das Netzwerk, das die HDS-Knoten hostet, muss so konfiguriert werden, dass ausgehender TCP-Datenverkehr auf Port 443 zur Weiterleitung durch den Proxy erzwungen wird.
Proxys, die den Web-Datenverkehr überprüfen, können Web-Socket-Verbindungen stören. Wenn dieses Problem auftritt, den Datenverkehr umgehen (nicht kontrollieren) zu
wbx2.comundciscospark.comwird das Problem lösen.
Vervollständigen der Voraussetzungen für die Hybrid-Datensicherheit
| 1 | Stellen Sie sicher, dass Ihre Webex-Organisation für Pro Pack für Cisco Webex Control Hub aktiviert ist, und erhalten Sie die Anmeldeinformationen eines Kontos mit vollständigen Administratorrechten für die Organisation. Wenden Sie sich an Ihren Cisco-Partner oder Account Manager, um Hilfe bei diesem Vorgang zu erhalten. | ||
| 2 | Wählen Sie einen Domänennamen für Ihre HDS-Bereitstellung (z. B. | ||
| 3 | Bereiten Sie identische virtuelle Hosts vor, die Sie als Hybrid-Datensicherheitsknoten in Ihrem Cluster einrichten. Sie benötigen mindestens zwei separate Hosts (3 empfohlen) in demselben sicheren Rechenzentrum, die die Anforderungen unter „Anforderungen an virtuelle Hosts“ erfüllen. | ||
| 4 | Bereiten Sie den Datenbankserver vor, der als Schlüsseldatenspeicher für den Cluster fungieren wird, gemäß den Anforderungen des Datenbankservers . Der Datenbankserver muss im sicheren Rechenzentrum mit den virtuellen Hosts verbunden sein. | ||
| 5 | Richten Sie für eine schnelle Notfallwiederherstellung eine Sicherungsumgebung in einem anderen Rechenzentrum ein. Die Backup-Umgebung spiegelt die Produktionsumgebung von VMs und einem Backup-Datenbankserver wider. Wenn die Produktion beispielsweise über 3 VMs verfügt, auf denen HDS-Knoten ausgeführt werden, sollte die Sicherungsumgebung über 3 VMs verfügen. | ||
| 6 | Richten Sie einen Syslog-Host ein, um Protokolle von den Knoten im Cluster zu erfassen. Erfassen Sie die Netzwerkadresse und den Syslog-Port (standardmäßig UDP 514). | ||
| 7 | Erstellen Sie eine sichere Sicherungsrichtlinie für die Hybrid-Datensicherheitsknoten, den Datenbankserver und den Syslog-Host. Um nicht wiederherstellbaren Datenverlust zu vermeiden, müssen Sie mindestens die Datenbank und die KonfigurationsISO-Datei sichern, die für die Hybrid-Datensicherheitsknoten generiert wurde.
Webex-App-Clients speichern ihre Schlüssel im Cache, sodass ein Ausfall nicht sofort erkennbar ist, sich aber im Laufe der Zeit bemerkbar macht. Während vorübergehende Ausfälle nicht zu verhindern sind, sind sie wiedergutzumachen. Der vollständige Verlust (keine Backups verfügbar) der Datenbank oder der ISO-Konfigurationsdatei führt jedoch zu nicht wiederherstellbaren Kundendaten. Von den Betreibern der Hybrid-Datensicherheitsknoten wird erwartet, dass sie häufige Backups der Datenbank und der ISO-Konfigurationsdatei führen und bereit sind, das Hybrid-Datensicherheitsrechenzentrum bei einem katastrophalen Ausfall neu zu erstellen. | ||
| 8 | Stellen Sie sicher, dass Ihre Firewall-Konfiguration Verbindungen für Ihre Hybrid-Datensicherheitsknoten zulässt, wie unter „Externe Verbindungsanforderungen“ beschrieben. | ||
| 9 | Installieren Sie Docker ( https://www.docker.com) auf jedem lokalen Computer mit einem unterstützten Betriebssystem (Microsoft Windows 10 Professional oder Enterprise 64-Bit oder Mac OSX Yosemite 10.10.3 oder höher) mit einem Webbrowser, der auf ihn zugreifen kann unter http://127.0.0.1:8080. Sie verwenden die Docker-Instanz, um das HDS-Setup-Tool herunterzuladen und auszuführen, das die lokalen Konfigurationsinformationen für alle Hybrid-Datensicherheitsknoten erstellt. Möglicherweise benötigt Ihre Organisation eine Docker Desktop-Lizenz. Weitere Informationen finden Sie unter Docker Desktop-Anforderungen . Um das HDS Setup Tool zu installieren und auszuführen, muss die lokale Maschine über die unter „Externe Verbindungsanforderungen“ beschriebene Konnektivität verfügen. | ||
| 10 | Wenn Sie einen Proxy in Hybrid Data Security integrieren, stellen Sie sicher, dass er die Proxyserveranforderungen erfüllt. | ||
| 11 | Wenn Ihre Organisation die Verzeichnissynchronisierung verwendet, erstellen Sie eine Gruppe im Active Directory mit dem Namen
|
Ablauf der Bereitstellungsaufgabe für Hybrid-Datensicherheit
Vorbereitungen
| 1 | Installationsdateien herunterladen Laden Sie die OVA-Datei für eine spätere Verwendung auf Ihren lokalen Computer herunter. | ||
| 2 | Erstellen einer Konfigurations-ISO für die HDS-Hosts Verwenden Sie das HDS-Setup-Tool, um eine ISO-Konfigurationsdatei für die Hybrid-Datensicherheitsknoten zu erstellen. | ||
| 3 |
Erstellen Sie eine virtuelle Maschine aus der OVA-Datei und führen Sie die Erstkonfiguration durch, z. B. Netzwerkeinstellungen.
| ||
| 4 | Einrichten der Hybrid-DatensicherheitsVM Melden Sie sich bei der VM-Konsole an und legen Sie die Anmeldeinformationen fest. Konfigurieren Sie die Netzwerkeinstellungen für den Knoten, wenn Sie sie zum Zeitpunkt der OVA-Bereitstellung nicht konfiguriert haben. | ||
| 5 | Hochladen und Einhängen der HDS-KonfigurationsISO Konfigurieren Sie die VM über die ISO-Konfigurationsdatei, die Sie mit dem HDS Setup Tool erstellt haben. | ||
| 6 | Konfigurieren des HDS-Knotens für die Proxyintegration Wenn die Netzwerkumgebung eine Proxy-Konfiguration erfordert, geben Sie den Proxy-Typ an, den Sie für den Knoten verwenden möchten, und fügen Sie das Proxy-Zertifikat bei Bedarf dem Vertrauensspeicher hinzu. | ||
| 7 | Registrieren des ersten Knotens im Cluster Registrieren Sie die VM mit der Cisco Webex-Cloud als Hybrid-Datensicherheitsknoten. | ||
| 8 | Weitere Knoten erstellen und registrieren Schließen Sie die Cluster-Einrichtung ab. | ||
| 9 | Ausführen einer Testversion und Verschieben in Produktion (nächstes Kapitel) Bis Sie einen Test starten, erzeugen Ihre Knoten einen Alarm, der angibt, dass Ihr Dienst noch nicht aktiviert ist. |
Installationsdateien herunterladen
| 1 | Melden Sie sich bei https://admin.webex.com an und klicken Sie dann auf Services . | ||||
| 2 | Suchen Sie im Abschnitt Hybrid-Dienste nach der Hybrid-Datensicherheitskarte und klicken Sie auf Einrichten . Wenn die Karte deaktiviert ist oder Sie sie nicht sehen, wenden Sie sich an Ihr Kontoteam oder Ihre Partnerorganisation. Geben Sie ihnen Ihre Kontonummer und bitten Sie sie, Ihre Organisation für Hybrid-Datensicherheit zu aktivieren. Um die Kontonummer zu finden, klicken Sie oben rechts neben dem Namen Ihrer Organisation auf das Zahnrad.
| ||||
| 3 | Wählen Sie No aus, um anzugeben, dass Sie den Knoten noch nicht eingerichtet haben, und klicken Sie dann auf Next . Die OVA-Datei wird automatisch heruntergeladen. Speichern Sie die Datei an einem Speicherort auf Ihrem Computer.
| ||||
| 4 | Klicken Sie optional auf Bereitstellungsleitfaden öffnen , um zu überprüfen, ob eine neuere Version dieses Leitfadens verfügbar ist. |
Erstellen einer Konfigurations-ISO für die HDS-Hosts
Der Einrichtungsprozess für die Hybrid-Datensicherheit erstellt eine ISO-Datei. Anschließend verwenden Sie ISO, um Ihren Hybrid-Datensicherheitshost zu konfigurieren.
Vorbereitungen
Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zuzugreifen, führen Sie Docker auf diesem Computer aus. Für die Einrichtung sind die Anmeldeinformationen eines Control Hub-Kontos mit vollständigen Administratorrechten für Ihre Organisation erforderlich.
Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxyeinstellungen (Server, Port, Anmeldeinformationen) über Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in Schritt 5 öffnen. In dieser Tabelle sind einige mögliche Umgebungsvariablen aufgeführt:
Beschreibung
Variable
HTTP-Proxy ohne Authentifizierung
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-Proxy ohne Authentifizierung
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-Proxy mit Authentifizierung
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS-Proxy mit Authentifizierung
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTDie von Ihnen generierte ISO-Konfigurationsdatei enthält den Master-Schlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die neueste Kopie dieser Datei, wenn Sie Konfigurationsänderungen vornehmen, z. B.:
Datenbankanmeldeinformationen
Zertifikatsaktualisierungen
Änderungen an Autorisierungsrichtlinie
Wenn Sie Datenbankverbindungen verschlüsseln möchten, richten Sie Ihre PostgreSQL- oder SQL Server-Bereitstellung für TLS ein.
| 1 | Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein: In normalen Umgebungen: In FedRAMP-Umgebungen:
| ||||||||||||
| 2 | Geben Sie Folgendes ein, um sich bei der Docker-Image-Registrierung anzumelden: | ||||||||||||
| 3 | Geben Sie bei der Passworteingabe diesen Hashwert ein: | ||||||||||||
| 4 | Laden Sie das neueste stabile Image für Ihre Umgebung herunter: In normalen Umgebungen: In FedRAMP-Umgebungen: | ||||||||||||
| 5 | Geben Sie nach Abschluss des Pull-Vorgangs den entsprechenden Befehl für Ihre Umgebung ein:
Wenn der Container ausgeführt wird, wird „Express-Server überwacht Port 8080“ angezeigt. | ||||||||||||
| 6 |
Navigieren Sie über einen Webbrowser zum Localhost, Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto festzulegen. Das Tool zeigt dann die Standardanmeldeaufforderung an. | ||||||||||||
| 7 | Wenn Sie dazu aufgefordert werden, geben Sie die Anmeldeinformationen für den Control Hub-Kundenadministrator ein und klicken Sie dann auf Anmelden , um den Zugriff auf die für die Hybrid-Datensicherheit erforderlichen Dienste zu ermöglichen. | ||||||||||||
| 8 | Klicken Sie auf der Setup-Tool-Übersichtsseite auf Erste Schritte . | ||||||||||||
| 9 | Auf der Seite ISO Import stehen Ihnen folgende Optionen zur Verfügung:
| ||||||||||||
| 10 | Überprüfen Sie, ob Ihr X.509-Zertifikat die Anforderungen unter X.509-Zertifikatanforderungen erfüllt.
| ||||||||||||
| 11 | Geben Sie die Datenbankadresse und das Konto für HDS ein, um auf Ihren wichtigen Datenspeicher zuzugreifen: | ||||||||||||
| 12 | Wählen Sie einen TLS-Datenbankverbindungsmodus :
Wenn Sie das Stammzertifikat hochladen (falls erforderlich) und auf Weiter klicken, testet das HDS-Setup-Tool die TLS-Verbindung zum Datenbankserver. Das Tool überprüft auch den Unterzeichner des Zertifikats und den Host-Name, falls zutreffend. Wenn ein Test fehlschlägt, zeigt das Tool eine Fehlermeldung an, in der das Problem beschrieben wird. Sie können auswählen, ob Sie den Fehler ignorieren und mit der Einrichtung fortfahren möchten. (Aufgrund von Konnektivitätsunterschieden können die HDS-Knoten möglicherweise die TLS-Verbindung herstellen, auch wenn die HDS Setup Tool-Maschine sie nicht erfolgreich testen kann.) | ||||||||||||
| 13 | Konfigurieren Sie auf der Seite "Systemprotokolle" Ihren Syslogd-Server: | ||||||||||||
| 14 | (Optional) Sie können den Standardwert für einige Datenbankverbindungsparameter unter „Erweiterte Einstellungen“ ändern. Im Allgemeinen ist dieser Parameter der einzige, den Sie ändern möchten: | ||||||||||||
| 15 | Klicken Sie auf „Weiter“ im Bildschirm „Dienstkonten-Passwort zurücksetzen “. Passwörter für Dienstkonten haben eine Lebensdauer von neun Monaten. Verwenden Sie diesen Bildschirm, wenn Ihre Passwörter bald ablaufen oder Sie sie zurücksetzen möchten, um frühere ISO-Dateien ungültig zu machen. | ||||||||||||
| 16 | Klicken Sie auf ISO-Datei herunterladen . Speichern Sie die Datei an einem leicht auffindbaren Speicherort. | ||||||||||||
| 17 | Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Halten Sie die Sicherungskopie sicher. Diese Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff nur auf Hybrid-Datensicherheitsadministratoren, die Konfigurationsänderungen vornehmen sollten. | ||||||||||||
| 18 | Geben Sie zum Herunterfahren des Setup-Tools |
Nächste Schritte
Sichern Sie die ISO-Konfigurationsdatei. Sie benötigen sie, um weitere Knoten für die Wiederherstellung zu erstellen oder Konfigurationsänderungen vorzunehmen. Wenn Sie alle Kopien der ISO-Datei verlieren, haben Sie auch den Master-Schlüssel verloren. Das Wiederherstellen der Schlüssel aus Ihrer PostgreSQL- oder Microsoft SQL Server-Datenbank ist nicht möglich.
| Wir haben nie eine Kopie dieses Schlüssels und können nicht helfen, wenn Sie ihn verlieren. |
Installieren der HDS-Host-OVA
| 1 | Melden Sie sich mit dem VMware vSphere-Client auf Ihrem Computer beim virtuellen ESXi-Host an. | ||||||
| 2 | Wählen Sie Datei > OVF-Vorlage bereitstellen aus. | ||||||
| 3 | Geben Sie im Assistenten den Speicherort der OVA-Datei an, die Sie zuvor heruntergeladen haben, und klicken Sie dann auf Weiter . | ||||||
| 4 | Auf der Wählen Sie einen Namen und Ordner aus Seite, geben Sie einen Name der virtuellen Maschine Wählen Sie für den Knoten (z. B. „HDS _ N ode_ 1“) einen Standort aus, an dem sich die Bereitstellung des Knotens der virtuellen Maschine befinden kann, und klicken Sie dann auf Weiter . | ||||||
| 5 | Auf der Berechnungsressource auswählen Seite, wählen Sie die Zielberechnungsressource aus, und klicken Sie dann auf Weiter . Eine Validierungsprüfung wird durchgeführt. Nach dem Abschluss werden die Vorlagendetails angezeigt. | ||||||
| 6 | Überprüfen Sie die Vorlagendetails und klicken Sie dann auf Weiter . | ||||||
| 7 | Wenn Sie aufgefordert werden, die Ressourcenkonfiguration auf dem Konfiguration Seite, klicken Sie auf <UNK> 4 CPU <UNK> und klicken Sie dann auf Weiter . | ||||||
| 8 | Auf der Speicher auswählen Seite, klicken Sie auf Weiter um das Standard-Festplattenformat und die VM-Speicherrichtlinie zu akzeptieren. | ||||||
| 9 | Auf der Netzwerke auswählen wählen Sie die Netzwerkoption aus der Liste der Einträge aus, um die gewünschte Konnektivität für die VM bereitzustellen. | ||||||
| 10 | Konfigurieren Sie auf der Seite Vorlage anpassen die folgenden Netzwerkeinstellungen:
Falls bevorzugt, können Sie die Konfiguration der Netzwerkeinstellungen überspringen und die Schritte unter Einrichten der Hybrid Data Security VM ausführen, um die Einstellungen über die Knotenkonsole zu konfigurieren.
| ||||||
| 11 | Klicken Sie mit der rechten Maustaste auf die Knoten-VM, und wählen Sie . Die Hybrid Data Security-Software wird als Gast auf dem VM-Host installiert. Sie können sich jetzt bei der Konsole anmelden und den Knoten konfigurieren. Tipps zur Fehlerbehebung Es kann zu einer Verzögerung von einigen Minuten kommen, bis die Knotencontainer angezeigt werden. Beim erstmaligen Start wird eine Bridge-Firewall-Nachricht angezeigt, während der Sie sich anmelden können. |
Einrichten der Hybrid-DatensicherheitsVM
Mit diesem Verfahren können Sie sich zum ersten Mal bei der VM-Konsole des Hybrid-Datensicherheitsknotens anmelden und die Anmeldeinformationen festlegen. Sie können auch die Konsole verwenden, um die Netzwerkeinstellungen für den Knoten zu konfigurieren, wenn Sie sie zum Zeitpunkt der OVA-Bereitstellung nicht konfiguriert haben.
| 1 | Wählen Sie im VMware vSphere-Client Ihre VM mit Hybrid-Datensicherheitsknoten und anschließend die Registerkarte Konsole aus. Die VM wird gestartet und eine Anmeldeaufforderung wird angezeigt. Drücken Sie die Eingabetaste, falls der Anmeldebildschirm nicht angezeigt wird.
|
| 2 | Verwenden Sie die folgenden Standard-Anmeldedaten und das Passwort, um sich anzumelden und die Anmeldedaten zu ändern: Da Sie sich zum ersten Mal bei Ihrer VM anmelden, müssen Sie das Administratorpasswort ändern. |
| 3 | Wenn Sie die Netzwerkeinstellungen bereits unter Installieren Sie die HDS-Host-OVA konfiguriert haben, überspringen Sie den Rest dieses Verfahrens. Andernfalls wählen Sie im Hauptmenü die Option Konfiguration bearbeiten aus. |
| 4 | Richten Sie eine statische Konfiguration mit IP-Adresse, Maske, Gateway- und DNS-Informationen ein. Ihr Knoten sollte eine interne IP-Adresse und einen DNS-Namen haben. DHCP wird nicht unterstützt. |
| 5 | (Optional) Ändern Sie bei Bedarf den Hostnamen, die Domäne oder die NTP-Server, um sie mit Ihrer Netzwerkrichtlinie abzugleichen. Sie müssen die Domäne nicht mit der Domäne übereinstimmen, mit der Sie das X.509-Zertifikat erhalten haben. |
| 6 | Speichern Sie die Netzwerkkonfiguration und starten Sie die VM neu, damit die Änderungen wirksam werden. |
Hochladen und Einhängen der HDS-KonfigurationsISO
Vorbereitungen
Da die ISO-Datei den Master-Schlüssel enthält, sollte sie nur auf der Basis des "Need-to-know"-Zugangs durch die Hybrid Data Security VMs und alle Administratoren, die Änderungen vornehmen müssen, offengelegt werden. Stellen Sie sicher, dass nur diese Administratoren auf den Datenspeicher zugreifen können.
| 1 | Laden Sie die ISO-Datei von Ihrem Computer hoch: |
| 2 | Binden Sie die ISO-Datei ein: |
Nächste Schritte
Wenn Ihre IT-Richtlinie es erfordert, können Sie die ISO-Datei optional unmounten, nachdem alle Knoten die Konfigurationsänderungen übernommen haben. Weitere Informationen finden Sie unter (Optional) ISO nach HDS-Konfiguration abmontieren .
Konfigurieren des HDS-Knotens für die Proxyintegration
Wenn die Netzwerkumgebung einen Proxy erfordert, verwenden Sie dieses Verfahren, um den Proxytyp anzugeben, den Sie in die Hybrid-Datensicherheit integrieren möchten. Wenn Sie einen transparenten Prüfproxy oder einen expliziten HTTPS-Proxy auswählen, können Sie die Schnittstelle des Knotens verwenden, um das Stammzertifikat hochzuladen und zu installieren. Sie können auch die Proxy-Verbindung über die Schnittstelle überprüfen und potenzielle Probleme beheben.
Vorbereitungen
Eine Übersicht der unterstützten Proxy-Optionen finden Sie unter Proxy-Unterstützung.
| 1 | HDS-Knoten-Setup-URL eingeben |
| 2 | Gehen Sie zu Vertrauensspeicher und Proxy und wählen Sie eine Option aus:
Führen Sie die nächsten Schritte für einen transparenten Prüfproxy, einen HTTP-Proxy mit einfacher Authentifizierung oder einen HTTPS-Proxy aus. |
| 3 | Klicken Sie auf Stammzertifikat hochladen oder Entitätszertifikat beenden , und navigieren Sie dann zu einem Stammzertifikat für den Proxy. Das Zertifikat ist hochgeladen, aber noch nicht installiert, da Sie den Knoten neu starten müssen, um das Zertifikat zu installieren. Klicken Sie auf den chevron-Pfeil nach dem Namen des Zertifikatsausstellers, um weitere Details zu erhalten, oder klicken Sie auf Löschen , wenn Sie einen Fehler gemacht haben und die Datei erneut hochladen möchten. |
| 4 | Klicken Sie auf Proxyverbindung prüfen , um die Netzwerkkonnektivität zwischen dem Knoten und dem Proxy zu testen. Wenn der Verbindungstest fehlschlägt, wird eine Fehlermeldung mit dem Grund und wie Sie das Problem beheben können angezeigt. Wenn eine Meldung angezeigt wird, dass die externe DNS-Auflösung nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen. Diese Bedingung wird in vielen expliziten Proxy-Konfigurationen erwartet. Sie können mit der Einrichtung fortfahren, und der Knoten funktioniert im Blockierten externen DNS-Auflösungsmodus. Wenn Sie der Meinung sind, dass es sich um einen Fehler handelt, führen Sie die folgenden Schritte aus, und lesen Sie anschließend Deaktivieren Sie den blockierten externen DNS-Auflösungsmodus . |
| 5 | Wenn der Verbindungstest bestanden hat und der explizite Proxy auf „Nur https“ festgelegt ist, aktivieren Sie den Umschalter auf „ Alle Port 443/444-https-Anfragen von diesem Knoten über den expliziten Proxy weiterleiten“ . Diese Einstellung benötigt 15 Sekunden, um wirksam zu werden. |
| 6 | Klicken Sie auf Installieren Sie alle Zertifikate in den Vertrauensspeicher (wird für einen expliziten HTTPS-Proxy oder einen transparenten Prüfproxy angezeigt) oder Reboot (wird für einen expliziten HTTP-Proxy angezeigt), lesen Sie die Eingabeaufforderung und klicken Sie anschließend auf Installieren , wenn Sie bereit sind. Der Knoten wird innerhalb weniger Minuten neu gestartet. |
| 7 | Nachdem der Knoten neu gestartet wurde, melden Sie sich bei Bedarf erneut an und öffnen Sie die Seite „Übersicht“ , um die Konnektivitätsprüfungen zu überprüfen, um sicherzustellen, dass alle im grünen Status sind. Die Proxy-Verbindungsprüfung testet nur eine Unterdomäne von webex.com. Wenn Verbindungsprobleme auftreten, besteht ein häufiges Problem darin, dass einige der in den Installationsanweisungen aufgeführten Cloud-Domänen am Proxy blockiert werden. |
Registrieren des ersten Knotens im Cluster
Bei der Registrierung Ihres ersten Knotens erstellen Sie ein Cluster, zu dem der Knoten zugewiesen wird. Ein Cluster enthält einen oder mehrere Knoten, die für Redundanz bereitgestellt werden.
Vorbereitungen
Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.
Stellen Sie sicher, dass alle Popupblocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.
| 1 | Melden Sie sich bei https://admin.webex.com an. |
| 2 | Wählen Sie im Menü auf der linken Seite die Option Dienste aus. |
| 3 | Suchen Sie im Abschnitt Hybrid-Dienste nach Hybrid-Datensicherheit und klicken Sie auf Einrichten . Die Seite „Hybrid-Datensicherheitsknoten registrieren“ wird angezeigt.
|
| 4 | Wählen Sie Ja aus, um anzugeben, dass Sie den Knoten eingerichtet haben und bereit sind, ihn zu registrieren, und klicken Sie dann auf Weiter . |
| 5 | Geben Sie im ersten Feld einen Namen für das Cluster ein, dem Sie Ihren Hybrid-Datensicherheitsknoten zuweisen möchten. Benennen Sie Ihre Cluster nach Möglichkeit nach dem geografischen Standort der Clusterknoten. Beispiele: "San Francisco" oder "New York" oder "Dallas" |
| 6 | Geben Sie im zweiten Feld die interne IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) Ihres Knotens ein und klicken Sie auf Weiter . Diese IP-Adresse oder FQDN sollte mit der IP-Adresse oder dem Host-Namen und der Domäne übereinstimmen, die Sie bei „Einrichten der Hybrid-Datensicherheits-VM“ verwendet haben. Es wird eine Meldung angezeigt, die angibt, dass Sie Ihren Knoten in Webex registrieren können.
|
| 7 | Klicken Sie auf Zum Knoten wechseln. |
| 8 | Klicken Sie in der Warnmeldung auf Weiter. Nach einigen Augenblicken werden Sie zu den Knotenverbindungstests für Webex-Dienste umgeleitet. Wenn alle Tests erfolgreich sind, wird die Seite „Zugriff auf Hybrid-Datensicherheitsknoten zulassen“ angezeigt. Dort bestätigen Sie, dass Sie Ihrer Webex-Organisation Berechtigungen für den Zugriff auf Ihren Knoten erteilen möchten.
|
| 9 | Aktivieren Sie das Kontrollkästchen Zugriff auf Ihren Hybrid-Datensicherheitsknoten zulassen und klicken Sie dann auf Weiter . Ihr Konto wird überprüft, und die Meldung „Registrierung abgeschlossen“ zeigt an, dass Ihr Knoten jetzt in der Webex-Cloud registriert ist.
|
| 10 | Klicken Sie auf den Link oder schließen Sie die Registerkarte, um zur Seite „Control Hub Hybrid-Datensicherheit“ zurückzukehren. Auf der Seite Hybrid-Datensicherheit wird das neue Cluster mit dem registrierten Knoten angezeigt. Der Knoten lädt die neueste Software automatisch aus der Cloud herunter.
|
Weitere Knoten erstellen und registrieren
| Zu diesem Zeitpunkt sind die Backup-VMs, die Sie unter Erfüllen der Voraussetzungen für Hybrid Data Security erstellt haben, Standby-Hosts, die nur im Falle einer Notfallwiederherstellung verwendet werden; sie sind bis dahin nicht beim System registriert. Weitere Informationen finden Sie unter Notfallwiederherstellung mit dem Standby-Rechenzentrum . |
Vorbereitungen
Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.
Stellen Sie sicher, dass alle Popupblocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.
| 1 | Erstellen Sie eine neue virtuelle Maschine aus der OVA und wiederholen Sie die Schritte unter Installieren Sie die HDS-Host-OVA . |
| 2 | Richten Sie die Erstkonfiguration auf der neuen VM ein und wiederholen Sie die Schritte unter Richten Sie die Hybrid Data Security VM ein. |
| 3 | Wiederholen Sie auf der neuen VM die Schritte unter Hochladen und Einhängen der HDS-Konfiguration ISO . |
| 4 | Wenn Sie einen Proxy für Ihre Bereitstellung einrichten, wiederholen Sie die Schritte unter Konfigurieren des HDS-Knotens für die Proxy-Integration nach Bedarf für den neuen Knoten. |
| 5 | Registrieren Sie den Knoten. Ihr Knoten ist registriert. Beachten Sie, dass Ihre Knoten bis zum Starten einer Testversion einen Alarm generieren, der angibt, dass Ihr Dienst noch nicht aktiviert ist.
|
Nächste Schritte
Ablauf der Testversion der Produktionsaufgabe
Nachdem Sie einen Hybrid-Datensicherheitscluster eingerichtet haben, können Sie einen Pilotversuch starten, Benutzer hinzufügen und damit beginnen, Ihre Bereitstellung zu testen und zu überprüfen, um auf die Produktion vorzubereiten.
Vorbereitungen
| 1 | Synchronisieren Sie ggf. die Wenn Ihre Organisation die Verzeichnissynchronisierung für Benutzer verwendet, müssen Sie die |
| 2 |
Starten Sie eine Testversion. Bis Sie diese Aufgabe ausführen, generieren Ihre Knoten einen Alarm, der angibt, dass der Dienst noch nicht aktiviert ist. |
| 3 | Testen Sie Ihre Hybrid-Datensicherheitsbereitstellung Überprüfen Sie, ob wichtige Anforderungen an Ihre Hybrid-Datensicherheitsbereitstellung übergeben werden. |
| 4 | Hybrid-Datensicherheitsstatus überwachen Überprüfen Sie den Status und richten Sie E-Mail-Benachrichtigungen für Alarme ein. |
| 5 | Hinzufügen oder Entfernen von Benutzern aus Ihrer Testversion |
| 6 | Schließen Sie die Testphase mit einer der folgenden Aktionen ab: |
Testversion aktivieren
Vorbereitungen
Wenn Ihre Organisation die Verzeichnissynchronisierung für Benutzer verwendet, müssen Sie die HdsTrialGroup Gruppenobjekt für die Synchronisierung mit der Cloud, bevor Sie eine Testversion für Ihre Organisation starten können. Anweisungen finden Sie im Bereitstellungsleitfaden für den Cisco Directory Connector.
| 1 | Melden Sie sich bei https://admin.webex.com an und wählen Sie dann Dienste . |
| 2 | Klicken Sie unter „Hybrid-Datensicherheit“ auf „Einstellungen“ . |
| 3 | Klicken Sie im Abschnitt „Dienststatus“ auf Test starten . Der Dienststatus ändert sich in den Testmodus.
|
| 4 | Klicken Sie auf Benutzer hinzufügen und geben Sie die E-Mail-Adresse eines oder mehrerer Benutzer ein, um Ihre Hybrid-Datensicherheitsknoten für Verschlüsselungs- und Indexierungsdienste zu verwenden. (Wenn Ihre Organisation die Verzeichnissynchronisierung verwendet, verwenden Sie Active Directory, um die Testgruppe zu verwalten, |
Testen Sie Ihre Hybrid-Datensicherheitsbereitstellung
Vorbereitungen
Richten Sie Ihre Bereitstellung für Hybrid-Datensicherheit ein.
Aktivieren Sie die Testversion und fügen Sie mehrere Testbenutzer hinzu.
Stellen Sie sicher, dass Sie Zugriff auf das Syslog haben, um zu überprüfen, ob wichtige Anforderungen an Ihre Bereitstellung für die Hybrid-Datensicherheit weitergeleitet werden.
| 1 | Schlüssel für einen bestimmten Bereich werden vom Ersteller des Bereichs festgelegt. Melden Sie sich bei der Webex-App als einer der Pilotbenutzer an, erstellen Sie einen Bereich und laden Sie mindestens einen Pilotbenutzer und einen Nicht-Pilotbenutzer ein.
| ||
| 2 | Nachrichten an den neuen Bereich senden. | ||
| 3 | Überprüfen Sie die Syslog-Ausgabe, um zu überprüfen, ob die Schlüsselanforderungen an Ihre Hybrid-Datensicherheitsbereitstellung übergeben werden. |
Hybrid-Datensicherheitsstatus überwachen
| 1 | Wählen Sie in Control Hub im Menü auf der linken Seite des Bildschirms Dienste aus. |
| 2 | Suchen Sie im Abschnitt Hybrid-Dienste nach Hybrid Data Security und klicken Sie auf Einstellungen . Die Seite „Hybrid-Datensicherheitseinstellungen“ wird angezeigt.
|
| 3 | Geben Sie im Abschnitt E-Mail-Benachrichtigungen eine oder mehrere durch Kommas getrennte E-Mail-Adressen ein und drücken Sie die Eingabetaste. |
Hinzufügen oder Entfernen von Benutzern aus Ihrer Testversion
Wenn Sie einen Benutzer aus der Testversion entfernen, fordert der Client des Benutzers die Schlüssel und die Schlüsselerstellung aus dem Cloud-KMS anstelle Ihres KMS an. Wenn der Client einen Schlüssel benötigt, der auf Ihrem KMS gespeichert ist, ruft der Cloud-KMS ihn im Namen des Benutzers ab.
Wenn Ihre Organisation die Verzeichnissynchronisierung verwendet, verwenden Sie Active Directory (anstelle dieses Verfahrens), um die Testgruppe zu verwalten, HdsTrialGroup; Sie können die Gruppenmitglieder in Control Hub anzeigen, aber nicht hinzufügen oder entfernen.
| 1 | Melden Sie sich bei Control Hub an und wählen Sie dann „Dienste“ . |
| 2 | Klicken Sie unter „Hybrid-Datensicherheit“ auf „Einstellungen“ . |
| 3 | Klicken Sie im Testmodus des Dienststatusbereichs auf Benutzer hinzufügen oder klicken Sie auf Anzeigen und Bearbeiten , um Benutzer aus der Testversion zu entfernen. |
| 4 | Geben Sie die E-Mail-Adresse eines oder mehrerer Benutzer ein, die Sie hinzufügen möchten, oder klicken Sie auf das X-Zeichen neben einer Benutzer-ID, um den Benutzer aus der Testversion zu entfernen. Klicken Sie dann auf Speichern . |
Übergang von der Testversion zur Produktion
| 1 | Melden Sie sich bei Control Hub an und wählen Sie dann „Dienste“ . |
| 2 | Klicken Sie unter „Hybrid-Datensicherheit“ auf „Einstellungen“ . |
| 3 | Klicken Sie im Abschnitt „Dienststatus“ auf Zu Produktion wechseln . |
| 4 | Bestätigen Sie, dass Sie alle Benutzer in die Produktion verschieben möchten. |
Beenden Sie Ihren Test, ohne zur Produktion zu wechseln
| 1 | Melden Sie sich bei Control Hub an und wählen Sie dann „Dienste“ . |
| 2 | Klicken Sie unter „Hybrid-Datensicherheit“ auf „Einstellungen“ . |
| 3 | Klicken Sie im Abschnitt Deaktivieren auf Deaktivieren . |
| 4 | Bestätigen Sie, dass Sie den Dienst deaktivieren und den Test beenden möchten. |
Verwalten der HDS-Bereitstellung
Verwenden Sie die hier beschriebenen Aufgaben, um Ihre Bereitstellung für die Hybrid-Datensicherheit zu verwalten.
Cluster-Upgrade-Zeitplan festlegen
So legen Sie den Upgrade-Zeitplan fest:
| 1 | Melden Sie sich bei Control Hub an. |
| 2 | Wählen Sie auf der Übersichtsseite unter Hybriddienste die Option Hybrid-Datensicherheit . |
| 3 | Wählen Sie auf der Seite Hybrid-Datensicherheitsressourcen den Cluster aus. |
| 4 | Wählen Sie im Übersichtsbereich auf der rechten Seite unter Cluster-Einstellungen den Cluster-Namen aus. |
| 5 | Wählen Sie auf der Einstellungsseite unter Upgrade die Uhrzeit und die Zeitzone für den Upgrade-Zeitplan aus. Hinweis: Unter der Zeitzone wird der nächste verfügbare Zeitpunkt für ein Upgrade angezeigt. Sie können das Upgrade bei Bedarf auf den folgenden Tag verzögern, indem Sie auf Verschieben klicken. |
Knotenkonfiguration ändern
x.509-Zertifikate werden vor Ablauf oder aus anderen Gründen geändert.
Das Ändern des CN- Domänenname eines Zertifikats wird nicht unterstützt. Die Domäne muss mit der ursprünglichen Domäne übereinstimmen, die zum Registrieren des Clusters verwendet wurde.
Aktualisieren der Datenbank , um zu einer Reproduktion der PostgreSQL- oder Microsoft SQL Server- Datenbank zu wechseln.
Die Migration von Daten von PostgreSQL zu Microsoft SQL Server oder umgekehrt wird nicht unterstützt. Um die Datenbank zu wechseln, starten Sie eine neue Bereitstellung von Hybrid Data Security.
Erstellen einer neuen Konfiguration zur Vorbereitung eines neuen Rechenzentrum.
Aus Sicherheitsgründen verwendet Hybrid Data Security Dienstkonten-Passwörter, die nach 9 Monaten ablaufen. Diese Passwörter werden durch das HDS Setup Tool generiert, und Sie können sie mittels der ISO-Konfigurationsdatei für Ihre einzelnen HDS-Knoten bereitstellen. Wenn die Passwörter Ihres Unternehmens bald ablaufen, erhalten Sie vom Webex-Team einen „Hinweis zum Passwortablauf“, in dem Sie gebeten werden, das Passwort für Ihr Computerkonto zurückzusetzen. (Die E-Mail enthält den Text „Verwenden Sie die Computerkonto- API , um das Passwort zu aktualisieren“.) Wenn Ihre Passwörter noch nicht abgelaufen sind, bietet Ihnen das Tool zwei Möglichkeiten:
Weiches Zurücksetzen – Das alte und das neue Passwort sind beide bis zu 10 Tage gültig. Nutzen Sie diesen Zeitraum, um die ISO -Datei auf den Knoten schrittweise zu ersetzen.
Hard-Reset – Die alten Passwörter funktionieren sofort nicht mehr.
Wenn Ihre Passwörter ohne Zurücksetzen ablaufen, wirkt sich dies auf Ihren HDS-Dienst aus und erfordert ein sofortiges Zurücksetzen und Ersetzen der ISO -Datei auf allen Knoten.
Mit diesem Verfahren können Sie eine neue ISO -Konfigurationsdatei generieren und auf Ihren Cluster anwenden.
Vorbereitungen
Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zuzugreifen, führen Sie Docker auf diesem Computer aus. Für die Einrichtung sind die Anmeldeinformationen eines Control Hub-Kontos mit vollständigen Administratorrechten für Ihre Organisation erforderlich.
Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxyeinstellungen (Server, Port, Anmeldeinformationen) über Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in 1.e öffnen. In dieser Tabelle sind einige mögliche Umgebungsvariablen aufgeführt:
Beschreibung
Variable
HTTP-Proxy ohne Authentifizierung
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-Proxy ohne Authentifizierung
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-Proxy mit Authentifizierung
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS-Proxy mit Authentifizierung
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTUm eine neue Konfiguration zu erstellen, benötigen Sie eine Kopie der aktuellen ISO-Konfigurationsdatei. Die ISO enthält den Master-Schlüssel, der die PostgreSQL- oder Microsoft SQL Server-Datenbank verschlüsselt. Sie benötigen das ISO , wenn Sie Konfigurationsänderungen vornehmen, einschließlich Datenbank , Zertifikatsaktualisierungen oder Änderungen an der Autorisierungsrichtlinie.
| 1 | Führen Sie auf einem lokalen Computer, auf dem Docker läuft, das HDS Setup Tool aus.
| ||||||
| 2 | Wenn Sie nur einen HDS-Knoten mit ausführen, erstellen Sie eine neue -Knoten-VM und registrieren Sie sie mithilfe der neuen ISO-Konfigurationsdatei. Detaillierte Anweisungen finden Sie unter Weitere Knoten erstellen und registrieren . | ||||||
| 3 | Für vorhandene HDS-Knoten, auf denen die ältere Konfigurationsdatei ausgeführt wird, mounten Sie die ISO -Datei. Führen Sie die folgenden Schritte nacheinander auf jedem Knoten aus und aktualisieren Sie dabei jeden Knoten, bevor Sie den nächsten Knoten ausschalten: | ||||||
| 4 | Wiederholen Sie Schritt 3, um bei jedem weiteren Knoten zu ersetzen, auf dem noch die alte Konfiguration ausgeführt wird, die Konfiguration zu ersetzen. |
Blockierten externen DNS-Auflösungsmodus deaktivieren
Wenn Sie einen Knoten registrieren oder die Proxy-Konfiguration des Knotens überprüfen, testet der Prozess die DNS-Suche und die Konnektivität mit der Cisco Webex-Cloud. Wenn der DNS-Server des Knotens öffentliche DNS-Namen nicht auflösen kann, wechselt der Knoten automatisch in den Modus für die blockierte externe DNS-Auflösung.
Wenn Ihre Knoten in der Lage sind, öffentliche DNS-Namen über interne DNS-Server aufzulösen, können Sie diesen Modus deaktivieren, indem Sie den Proxy-Verbindungstest auf jedem Knoten erneut ausführen.
Vorbereitungen
| 1 | Öffnen Sie in einem Webbrowser die Schnittstelle des hybriden Datensicherheitsknotens (IP-Adresse/Einrichtung, z. B. https://192.0.2.0/setup), geben Sie die Administratoranmeldeinformationen ein, die Sie für den Knoten eingerichtet haben, und klicken Sie dann auf Anmelden . |
| 2 | Gehen Sie zu „Übersicht“ (Standardseite). Wenn aktiviert, Blockierte externe DNS Auflösung ist festgelegt auf Ja . |
| 3 | Gehen Sie zur Seite „Vertrauensspeicher und Proxy “. |
| 4 | Klicken Sie auf Proxyverbindung prüfen . Wenn eine Meldung angezeigt wird, dass die externe DNS-Auflösung nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen und bleibt in diesem Modus. Andernfalls sollte nach dem Neustart des Knotens und dem Zurückkehren zur Übersichtsseite die blockierte externe DNS-Auflösung auf „Nein“ festgelegt werden. |
Nächste Schritte
Knoten entfernen
| 1 | Verwenden Sie den VMware vSphere-Client auf Ihrem Computer, um sich beim virtuellen ESXi-Host anzumelden und die virtuelle Maschine auszuschalten. |
| 2 | Knoten entfernen: |
| 3 | Löschen Sie im vSphere-Client die VM. (Klicken Sie im linken Navigationsbereich mit der rechten Maustaste auf die VM und klicken Sie auf Löschen .) Wenn Sie die VM nicht löschen, denken Sie daran, die Konfiguration der ISO-Datei aufzuheben. Ohne die ISO-Datei können Sie die VM nicht für den Zugriff auf Ihre Sicherheitsdaten verwenden. |
Notfallwiederherstellung mit Standby-Rechenzentrum
Der wichtigste Dienst, den Ihr Hybrid-Datensicherheitscluster bietet, ist die Erstellung und Speicherung von Schlüsseln, mit denen Nachrichten und andere in der Webex-Cloud gespeicherte Inhalte verschlüsselt werden. Für jeden Benutzer innerhalb der Organisation, der der Hybrid-Datensicherheit zugewiesen ist, werden neue Anforderungen zur Schlüsselerstellung an den Cluster weitergeleitet. Der Cluster ist auch dafür verantwortlich, die Schlüssel, die er erstellt hat, an alle Benutzer zurückzugeben, die zum Abrufen autorisiert sind, z. B. Mitglieder eines Konversationsbereichs.
Da der Cluster die wichtige Funktion zur Bereitstellung dieser Schlüssel ausführt, ist es zwingend erforderlich, dass der Cluster weiterhin ausgeführt wird und die ordnungsgemäßen Backups beibehalten werden. Der Verlust der Hybrid Data Security-Datenbank oder der für das Schema verwendeten Konfigurations-ISO führt zu einem NICHT WIEDERHERSTELLBAREN VERLUST von Kundeninhalten. Die folgenden Praktiken sind obligatorisch, um einen solchen Verlust zu verhindern:
Wenn eine Katastrophe dazu führt, dass die HDS-Bereitstellung im primären Rechenzentrum nicht mehr verfügbar ist, führen Sie die folgenden Schritte aus, um ein manuelles Failover zum Standby-Rechenzentrum durchzuführen.
| 1 | Starten Sie das HDS-Setup-Tool und befolgen Sie die unter Erstellen einer Konfigurations-ISO für die HDS-Hosts genannten Schritte. | ||
| 2 | Klicken Sie nach der Konfiguration des Syslogd-Servers auf Erweiterte Einstellungen | ||
| 3 | Fügen Sie auf der Seite Erweiterte Einstellungen die folgende Konfiguration hinzu oder entfernen Sie die
| ||
| 4 | Schließen Sie den Konfigurationsvorgang ab und speichern Sie die ISO-Datei an einem leicht zu findenden Speicherort. | ||
| 5 | Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Halten Sie die Sicherungskopie sicher. Diese Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff nur auf Hybrid-Datensicherheitsadministratoren, die Konfigurationsänderungen vornehmen sollten. | ||
| 6 | Klicken Sie im linken Navigationsbereich des VMware vSphere-Clients mit der rechten Maustaste auf die VM und klicken Sie auf Einstellungen bearbeiten.. | ||
| 7 | Klicken Sie auf Einstellungen bearbeiten > CD/DVD Laufwerk 1 und wählen Sie Datastore ISO File.
| ||
| 8 | Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 15 Minuten lang keine Alarme vorhanden sind. | ||
| 9 | Wiederholen Sie den Vorgang für jeden Knoten im Standby-Rechenzentrum.
|
Nächste Schritte
(Optional) ISO nach HDS-Konfiguration entmounten
Die Standard-HDS-Konfiguration wird mit der ISO-Montierung ausgeführt. Einige Kunden ziehen es jedoch vor, ISO-Dateien nicht kontinuierlich eingehängt zu lassen. Sie können die ISO-Datei unmounten, nachdem alle HDS-Knoten die neue Konfiguration übernommen haben.
Sie verwenden weiterhin die ISO-Dateien, um Konfigurationsänderungen vorzunehmen. Wenn Sie eine neue ISO erstellen oder eine ISO über das Setup-Tool aktualisieren, müssen Sie die aktualisierte ISO auf allen HDS-Knoten mounten. Nachdem alle Ihre Knoten die Konfigurationsänderungen übernommen haben, können Sie die ISO-Datei mit diesem Verfahren erneut unmounten.
Vorbereitungen
Aktualisieren Sie alle HDS-Knoten auf Version 2021.01.22.4720 oder höher.
| 1 | Fahren Sie einen Ihrer HDS-Knoten herunter. |
| 2 | Wählen Sie in der vCenter Server Appliance den HDS-Knoten aus. |
| 3 | Wählen Sie und Deaktivieren Datastore ISO File . |
| 4 | Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 20 Minuten lang keine Alarme vorhanden sind. |
| 5 | Wiederholen Sie den Vorgang für jeden HDS-Knoten. |
Anzeigen von Warnungen und Fehlerbehebung
Eine Bereitstellung der Hybrid-Datensicherheit gilt als nicht verfügbar, wenn alle Knoten im Cluster nicht erreichbar sind oder der Cluster so langsam arbeitet, dass eine Zeitüberschreitung erforderlich ist. Wenn Benutzer Ihren Hybrid-Datensicherheitscluster nicht erreichen können, treten die folgenden Symptome auf:
Neue Bereiche können nicht erstellt werden (neue Schlüssel können nicht erstellt werden)
Nachrichten und Bereichstitel können nicht entschlüsselt werden für:
Neue Benutzer zu einem Bereich hinzugefügt (Schlüssel können nicht abgerufen werden)
Vorhandene Benutzer in einem Bereich mit einem neuen Client (Schlüssel können nicht abgerufen werden)
Vorhandene Benutzer in einem Bereich werden weiterhin erfolgreich ausgeführt, solange ihre Clients über einen Cache mit den Verschlüsselungsschlüsseln verfügen.
Es ist wichtig, dass Sie Ihren Hybrid-Datensicherheitscluster ordnungsgemäß überwachen und alle Warnungen umgehend beheben, um Dienstunterbrechungen zu vermeiden.
Alerts
Wenn bei der Einrichtung der Hybrid-Datensicherheit ein Problem auftritt, zeigt Control Hub dem Organisationsadministrator Warnungen an und sendet E-Mails an die konfigurierte E-Mail-Adresse. Die Warnungen decken viele gängige Szenarien ab.
Warnung | Aktion |
|---|---|
Fehler beim Zugriff auf die lokale Datenbank. |
Suchen Sie nach Datenbankfehlern oder lokalen Netzwerkproblemen. |
Lokaler Datenbankverbindungsfehler. |
Überprüfen Sie, ob der Datenbankserver verfügbar ist und die richtigen Dienstkonto-Anmeldeinformationen in der Knotenkonfiguration verwendet wurden. |
Fehler beim Zugriff auf den Cloud-Dienst. |
Überprüfen Sie, ob die Knoten wie unter „Externe Konnektivitätsanforderungen“ beschrieben auf die Webex-Server zugreifen können. |
Erneute Registrierung des Cloud-Dienstes. |
Die Registrierung bei Cloud-Diensten wurde aufgehoben. Die Erneuerung der Registrierung läuft. |
Registrierung des Cloud-Dienstes wurde abgebrochen. |
Die Registrierung bei Cloud-Diensten wurde beendet. Der Dienst wird heruntergefahren. |
Dienst noch nicht aktiviert. |
Aktivieren Sie eine Testversion oder schließen Sie die Übertragung der Testversion auf die Produktion ab. |
Die konfigurierte Domäne stimmt nicht mit dem Serverzertifikat überein. |
Stellen Sie sicher, dass Ihr Serverzertifikat mit der konfigurierten Serviceaktivierungsdomäne übereinstimmt. Die wahrscheinlichste Ursache ist, dass der CN des Zertifikats vor Kurzem geändert wurde und sich nun vom CN unterscheidet, der bei der Ersteinrichtung verwendet wurde. |
Authentifizierung bei Cloud-Diensten fehlgeschlagen. |
Überprüfen Sie die Genauigkeit und den möglichen Ablauf der Anmeldeinformationen für das Dienstkonto. |
Lokale Keystore-Datei konnte nicht geöffnet werden. |
Überprüfen Sie die Integrität und Passwortgenauigkeit der lokalen Keystore-Datei. |
Das lokale Serverzertifikat ist ungültig. |
Überprüfen Sie das Ablaufdatum des Serverzertifikats und bestätigen Sie, dass es von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde. |
Metriken können nicht veröffentlicht werden. |
Überprüfen Sie den lokalen Netzwerkzugriff auf externe Cloud-Dienste. |
/media/configdrive/hds Verzeichnis existiert nicht. |
Überprüfen Sie die ISO-Bereitstellungskonfiguration auf dem virtuellen Host. Stellen Sie sicher, dass die ISO-Datei vorhanden ist, dass sie für das Einhängen beim Neustart konfiguriert ist und dass sie erfolgreich eingehängt wird. |
Fehlerbehebung bei Hybrid Data Security
| 1 | Prüfen Sie Control Hub auf alle Warnungen und beheben Sie alle Elemente, die Sie dort finden. |
| 2 | Prüfen Sie die Syslog-Serverausgabe auf die Aktivität aus der Bereitstellung für Hybrid-Datensicherheit. |
| 3 | Kontaktieren Sie den Cisco Support . |
Bekannte Probleme bei der Hybrid-Datensicherheit
Wenn Sie Ihren Hybrid-Datensicherheitscluster herunterfahren (indem Sie ihn in Control Hub löschen oder alle Knoten herunterfahren), Ihre ISO-Konfigurationsdatei verlieren oder den Zugriff auf die Keystore-Datenbank verlieren, können Ihre Webex-App-Benutzer keine Bereiche mehr in ihrer Personenliste verwenden, die mit Schlüsseln aus Ihrem KMS erstellt wurden. Dies gilt sowohl für Test- als auch für Produktionsbereitstellungen. Wir haben derzeit keine Problemumgehung oder Lösung für dieses Problem und bitten Sie dringend, Ihre HDS-Dienste nicht herunterzufahren, sobald sie aktive Benutzerkonten verarbeiten.
Ein Client, der eine vorhandene ECDH-Verbindung zu einer KMS hat, hält diese Verbindung für einen bestimmten Zeitraum (wahrscheinlich eine Stunde) aufrecht. Wenn ein Benutzer Mitglied einer Testversion für Hybrid-Datensicherheit wird, verwendet der Client des Benutzers die vorhandene ECDH-Verbindung weiter, bis die Zeitüberschreitung auftritt. Alternativ kann sich der Benutzer bei der Webex-App abmelden und erneut anmelden, um den Standort zu aktualisieren, den die App für Verschlüsselungsschlüssel kontaktiert.
Dasselbe Verhalten tritt auf, wenn Sie eine Testversion für die Organisation in die Produktion verschieben. Alle Nicht-Testbenutzer mit bestehenden ECDH-Verbindungen zu den vorherigen Datensicherheitsdiensten werden diese Dienste weiterhin nutzen, bis die ECDH-Verbindung neu ausgehandelt wird (durch Zeitüberschreitung oder durch Abmelden und zurück).
Verwenden von OpenSSL zum Generieren einer PKCS12-Datei
Vorbereitungen
OpenSSL ist ein Tool, mit dem die PKCS12-Datei im richtigen Format zum Laden im HDS Setup Tool erstellt werden kann. Es gibt andere Möglichkeiten, dies zu tun, und wir unterstützen oder fördern nicht den einen Weg über den anderen.
Wenn Sie sich für OpenSSL entscheiden, stellen wir Ihnen dieses Verfahren als Richtlinie zur Verfügung, um Ihnen zu helfen, eine Datei zu erstellen, die die X.509-Zertifikatanforderungen in X.509-Zertifikatanforderungen erfüllt. Machen Sie sich mit diesen Anforderungen vertraut, bevor Sie fortfahren.
Installieren Sie OpenSSL in einer unterstützten Umgebung. Siehe https://www.openssl.org für die Software und Dokumentation.
Erstellen Sie einen privaten Schlüssel.
Starten Sie dieses Verfahren, wenn Sie das Serverzertifikat von Ihrer Certificate Authority (CA) erhalten.
| 1 | Wenn Sie das Serverzertifikat von Ihrer CA erhalten, speichern Sie es als |
| 2 | Zeigen Sie das Zertifikat als Text an und überprüfen Sie die Details.
|
| 3 | Verwenden Sie einen Texteditor, um eine Zertifikatspaket-Datei mit dem Namen
|
| 4 | Erstellen Sie die .p12-Datei mit dem freundlichen Namen
|
| 5 | Überprüfen Sie die Details des Serverzertifikats. |
Nächste Schritte
Zurück zu Vervollständigen der Voraussetzungen für Hybrid-Datensicherheit . Sie werden die hdsnode.p12 Datei und das Kennwort, das Sie dafür festgelegt haben, unter Erstellen einer Konfigurations-ISO für die HDS-Hosts .
| Sie können diese Dateien wiederverwenden, um ein neues Zertifikat anzufordern, wenn das ursprüngliche Zertifikat abläuft. |
Datenverkehr zwischen den HDS-Knoten und der Cloud
Datenverkehr bei Sammlung ausgehender Metriken
Die Hybrid-Datensicherheitsknoten senden bestimmte Metriken an die Webex-Cloud. Dazu gehören Systemmetriken für Heap max, Heap verwendet, CPU-Auslastung und Thread-Anzahl; Metriken zu synchronen und asynchronen Threads; Metriken zu Warnungen, die einen Schwellenwert für Verschlüsselungsverbindungen, Latenz oder eine Länge der Anforderungswarteschlange umfassen; Metriken zum Datenspeicher und Verschlüsselungsverbindungsmetriken. Die Knoten senden verschlüsseltes Schlüsselmaterial über einen Out-of-Band-Kanal (getrennt von der Anforderung).
Eingehender Verkehr
Die Hybrid-Datensicherheitsknoten erhalten die folgenden Arten von eingehendem Datenverkehr aus der Webex-Cloud:
Verschlüsselungsanfragen von Clients, die vom Verschlüsselungsdienst weitergeleitet werden
Upgrades auf die Knotensoftware
Squid-Proxys für Hybrid Data Security konfigurieren
Websocket kann keine Verbindung über Squid Proxy herstellen
Squid-Proxys, die HTTPS-Datenverkehr prüfen, können die Einrichtung von Websocket beeinträchtigen ( wss:) Verbindungen, die für die Hybrid-Datensicherheit erforderlich sind. In diesen Abschnitten finden Sie eine Anleitung, wie Sie verschiedene Versionen von Squid so konfigurieren, dass sie ignoriert werden. wss: Verkehr für den ordnungsgemäßen Betrieb der Dienste.
Tintenfisch 4 und 5
Fügen Sie die on_unsupported_protocol Direktive zu squid.conf:
on_unsupported_protocol tunnel allTintenfisch 3.5.27
Wir haben die Hybrid-Datensicherheit erfolgreich getestet und die folgenden Regeln hinzugefügt: squid.conf. Diese Regeln können sich bei der Entwicklung von Funktionen und der Aktualisierung der Webex-Cloud ändern.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allNeue und geänderte Informationen
Datum | Vorgenommene Änderungen | ||
|---|---|---|---|
20. Oktober 2023 |
| ||
07. August 2023 |
| ||
Dienstag, 23. Mai 2023 |
| ||
06. Dezember 2022 |
| ||
23. November 2022 |
| ||
13. Oktober 2021 | Docker Desktop muss ein Setup-Programm ausführen, bevor Sie HDS-Knoten installieren können. Siehe Docker Desktop-Anforderungen . | ||
24. Juni 2021 | Beachten Sie, dass Sie die Datei mit dem privaten Schlüssel und den CSR wiederverwenden können, um ein anderes Zertifikat anzufordern. Weitere Informationen finden Sie unter Verwenden von OpenSSL zum Generieren einer PKCS12-Datei . | ||
| 30. April 2021 | Die VM-Anforderung für lokalen Festplattenspeicher wurde auf 30 GB geändert. Weitere Informationen finden Sie unter „Anforderungen für virtuelle Gastgeber“. | ||
Mittwoch, 24. Februar 2021 | Das HDS Setup Tool kann jetzt hinter einem Proxy ausgeführt werden. Weitere Informationen finden Sie unter Erstellen einer Konfigurations-ISO für die HDS-Hosts . | ||
2. Februar 2021 | HDS kann jetzt ohne gemountete ISO-Datei ausgeführt werden. Weitere Informationen finden Sie unter (Optional) ISO nach HDS-Konfiguration abmontieren . | ||
11. Januar 2021 | Informationen zum HDS Setup-Tool und zu Proxys hinzugefügt Erstellen einer Konfigurations-ISO für die HDS-Hosts . | ||
13. Oktober 2020 | Aktualisiert Installationsdateien herunterladen . | ||
8. Oktober 2020 | Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts und Ändern Sie die Knotenkonfiguration mit Befehlen für FedRAMP-Umgebungen. | ||
Freitag, 14. August 2020 | Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts und Ändern Sie die Knotenkonfiguration mit Änderungen am Anmeldeprozess. | ||
Mittwoch, 5. August 2020 | Aktualisiert Testen Sie Ihre Hybrid-Datensicherheitsbereitstellung auf Änderungen in Protokollnachrichten. Aktualisiert Anforderungen für virtuelle Gastgeber , um die maximale Anzahl an Hosts zu entfernen. | ||
Dienstag, 16. Juni 2020 | Aktualisiert Entfernen eines Knotens für Änderungen in der Control Hub-Benutzeroberfläche. | ||
Donnerstag, 4. Juni 2020 | Aktualisiert Erstellen Sie ein Konfigurations-ISO für die HDS-Hosts für Änderungen in den erweiterten Einstellungen, die Sie möglicherweise festlegen. | ||
Freitag, 29. Mai 2020 | Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts , um anzuzeigen, dass Sie TLS auch mit SQL Server-Datenbanken, UI-Änderungen und anderen Klarstellungen verwenden können. | ||
Dienstag, 5. Mai 2020 | Aktualisiert Anforderungen für virtuelle Gastgeber um neue Anforderungen für ESXi 6.5 anzuzeigen. | ||
21. April 2020 | Aktualisiert Externe Konnektivitätsanforderungen mit neuen CI-Hosts für Amerika. | ||
1. April 2020 | Aktualisiert Externe Konnektivitätsanforderungen mit Informationen zu regionalen CI-Hosts. | ||
| 20. Februar 2020 | Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts mit Informationen zum neuen optionalen Bildschirm Erweiterte Einstellungen im HDS-Setup-Tool. | ||
| 4. Februar 2020 | Aktualisierte Anforderungen für Proxyserver . | ||
| 16. Dezember 2019 | Die Anforderung, dass der blockierte externe DNS-Auflösungsmodus unter „ Proxyserveranforderungen“ funktioniert, wurde klargestellt . | ||
| 19. November 2019 | Informationen zum blockierten externen DNS-Auflösungsmodus wurden in den folgenden Abschnitten hinzugefügt: | ||
8. November 2019 | Sie können jetzt die Netzwerkeinstellungen für einen Knoten konfigurieren, während Sie die OVA bereitstellen, und nicht erst danach. Die folgenden Abschnitte wurden entsprechend aktualisiert:
| ||
6. September 2019 | SQL Server Standard zu Datenbankserveranforderungen . | ||
| 29. August 2019 | Hinzugefügt Konfigurieren von Squid-Proxys für Hybrid Data Security Anhang mit Anleitung zum Konfigurieren von Squid-Proxys zum Ignorieren von Websocket-Datenverkehr für den ordnungsgemäßen Betrieb. | ||
| 20. August 2019 | Abschnitte hinzugefügt und aktualisiert, um die Proxy-Unterstützung für die Kommunikation von hybriden Datensicherheitsknoten mit der Webex-Cloud abzudecken. Informationen zum Zugriff auf den Inhalt der Proxy-Unterstützung für eine vorhandene Bereitstellung finden Sie im Hilfeartikel Proxy-Unterstützung für Hybrid Data Security und Webex-Videonetz . | ||
| Freitag, 13. Juni 2019 | Aktualisiert Ablauf der Testversion zur Produktionsaufgabe mit einer Erinnerung zur Synchronisierung der HdsTrialGroup gruppieren Sie ein Objekt, bevor Sie einen Test starten, wenn Ihre Organisation die Verzeichnissynchronisierung verwendet. | ||
| Freitag, 6. März 2019 |
| ||
| Dienstag, 28. Februar 2019 |
| ||
| 26. Februar 2019 |
| ||
24. Januar 2019 |
| ||
| 5. November 2018 |
| ||
| Dienstag, 19. Oktober 2018 |
| ||
31. Juli 2018 |
| ||
| 21. Mai 2018 | Terminologie geändert, um das Rebranding von Cisco Spark widerzuspiegeln:
| ||
| Dienstag, 11. April 2018 |
| ||
| 22. Februar 2018 |
| ||
| Donnerstag, 15. Februar 2018 |
| ||
| Donnerstag, 18. Januar 2018 |
| ||
2. November 2017 |
| ||
Freitag, 18. August 2017 | Erste Veröffentlichung |
Übersicht über die Hybrid-Datensicherheit
Von Anfang an stand bei der Entwicklung der Webex App die Datensicherheit im Vordergrund. Der Grundstein dieser Sicherheit ist die durchgängige Inhaltsverschlüsselung, die durch die Interaktion von Webex App-Clients mit dem Schlüsselverwaltungsdienst (KMS) ermöglicht wird. Der KMS erstellt und verwaltet die Kryptografieschlüssel, mit denen die Clients ihre Nachrichten und Dateien dynamisch ver- und entschlüsseln.
Standardmäßig erhalten alle Webex-App-Kunden eine durchgängige Verschlüsselung mit dynamischen Schlüsseln, die im Cloud-KMS im Sicherheitsbereich von Cisco gespeichert sind. Mit Hybrid Data Security werden KMS und andere Sicherheitsfunktionen in das Rechenzentrum Ihres Unternehmens verschoben, damit die Schlüssel zu ihren verschlüsselten Inhalten ausschließlich bei Ihnen liegen.
Sicherheitsbereichsarchitektur
Die Webex Cloud-Architektur trennt verschiedene Servicetypen in separate Bereiche oder Vertrauensdomänen, wie unten dargestellt.
Um die Hybrid-Datensicherheit weiter zu verstehen, werfen wir einen Blick auf diesen reinen Cloud-Fall, in dem Cisco alle Funktionen in seinen Cloud-Bereichen bereitstellt. Der Identitätsdienst, der einzige Ort, an dem Benutzer direkt mit ihren persönlichen Informationen wie E-Mail-Adresse korreliert werden können, ist logisch und physisch getrennt vom Sicherheitsbereich im Rechenzentrum B. Beide sind wiederum getrennt vom Bereich, in dem letztlich verschlüsselte Inhalte gespeichert werden, im Rechenzentrum C.
In diesem Diagramm ist der Client die Webex-App, die auf dem Laptop eines Benutzers ausgeführt wird und sich beim Identitätsdienst authentifiziert hat. Wenn der Benutzer eine Nachricht erstellt, die an einen Bereich gesendet werden soll, werden die folgenden Schritte ausgeführt:
Der Client stellt eine sichere Verbindung mit dem Schlüsselverwaltungsdienst (KMS) her und fordert dann einen Schlüssel zum Verschlüsseln der Nachricht an. Die sichere Verbindung verwendet ECDH, und das KMS verschlüsselt den Schlüssel mit einem AES-256-Master-Schlüssel.
Die Nachricht wird verschlüsselt, bevor sie den Client verlässt. Der Client sendet es an den Indexierungsdienst, der verschlüsselte Suchindizes erstellt, die bei der zukünftigen Suche nach den Inhalten helfen.
Die verschlüsselte Nachricht wird für Compliance-Prüfungen an den Compliance-Dienst gesendet.
Die verschlüsselte Nachricht wird im Speicherbereich gespeichert.
Wenn Sie Hybrid Data Security bereitstellen, verschieben Sie die Sicherheitsbereichsfunktionen (KMS, Indizierung und Compliance) in Ihr lokales Rechenzentrum. Die anderen Cloud-Dienste, aus denen Webex besteht (einschließlich Identitäts- und Inhaltsspeicher), verbleiben in den Bereichen von Cisco.
Zusammenarbeit mit anderen Organisationen
Benutzer in Ihrer Organisation verwenden möglicherweise regelmäßig die Webex-App, um mit externen Teilnehmern in anderen Organisationen zusammenzuarbeiten. Wenn einer Ihrer Benutzer einen Schlüssel für einen Bereich anfordert, der zu Ihrer Organisation gehört (da er von einem Ihrer Benutzer erstellt wurde), sendet KMS den Schlüssel über einen ECDH-sicheren Kanal an den Client. Wenn jedoch eine andere Organisation den Schlüssel für den Bereich besitzt, leitet Ihre KMS die Anforderung über einen separaten ECDH-Kanal an die Webex-Cloud weiter, um den Schlüssel von der entsprechenden KMS zu erhalten, und gibt den Schlüssel dann an Ihren Benutzer im ursprünglichen Kanal zurück.
Der auf Org A ausgeführte KMS-Dienst validiert die Verbindungen zu KMSs in anderen Organisationen mit x.509 PKI-Zertifikaten. Siehe Umgebung vorbereiten für Details zur Generierung eines x.509-Zertifikats für Ihre Hybrid-Datensicherheitsbereitstellung.
Erwartungen an die Bereitstellung der Hybrid-Datensicherheit
Eine Bereitstellung von Hybrid-Datensicherheit erfordert erhebliches Kundenengagement und ein Bewusstsein für die Risiken, die sich aus dem Besitz von Verschlüsselungscodes ergeben.
Um die Hybrid-Datensicherheit bereitzustellen, müssen Sie Folgendes bereitstellen:
Ein sicheres Rechenzentrum in einem Land, das ein unterstützter Standort für die Cisco Webex Teams-Pläne ist.
Die Geräte, Software und der Netzwerkzugriff werden unter „Umgebung vorbereiten“ beschrieben.
Der vollständige Verlust der Konfigurations-ISO, die Sie für Hybrid Data Security erstellen, oder der von Ihnen bereitgestellten Datenbank führt zum Verlust der Schlüssel. Der Schlüsselverlust verhindert, dass Benutzer Bereichsinhalte und andere verschlüsselte Daten in der Webex-App entschlüsseln. In diesem Fall können Sie eine neue Bereitstellung erstellen, aber nur neue Inhalte werden angezeigt. Um den Verlust des Zugriffs auf Daten zu vermeiden, müssen Sie:
Verwalten Sie die Sicherung und Wiederherstellung der Datenbank und der ISO-Konfiguration.
Bereiten Sie sich auf eine schnelle Notfallwiederherstellung vor, wenn eine Katastrophe auftritt, z. B. ein Datenbankfestplattenausfall oder eine Datencenter-Katastrophe.
| Es gibt keinen Mechanismus, um Schlüssel nach einer HDS-Bereitstellung zurück in die Cloud zu verschieben. |
Hochrangiger Einrichtungsprozess
Dieses Dokument behandelt die Einrichtung und Verwaltung einer Bereitstellung für Hybrid-Datensicherheit:
Hybrid-Datensicherheit einrichten – Dazu gehören die Vorbereitung der erforderlichen Infrastruktur und die Installation der Hybrid-Datensicherheitssoftware, das Testen Ihrer Bereitstellung mit einer Teilmenge von Benutzern im Testmodus und die Umstellung auf die Produktion, sobald die Tests abgeschlossen sind. Dadurch wird die gesamte Organisation konvertiert, um Ihren Hybrid-Datensicherheitscluster für Sicherheitsfunktionen zu verwenden.
Die Einrichtungs-, Test- und Produktionsphasen werden in den nächsten drei Kapiteln ausführlich behandelt.
Bereitstellen der Hybrid-Datensicherheit aufrechterhalten – Die Webex-Cloud stellt automatisch laufende Upgrades bereit. Ihre IT-Abteilung kann diese Bereitstellung mit Unterstützung der Stufe eins unterstützen und bei Bedarf den Cisco-Support einbeziehen. Sie können Benachrichtigungen auf dem Bildschirm verwenden und E-Mail-basierte Warnungen in Control Hub einrichten.
Allgemeine Warnungen, Schritte zur Fehlerbehebung und bekannte Probleme – Wenn bei der Bereitstellung oder Verwendung von Hybrid Data Security Probleme auftreten, können Sie das letzte Kapitel dieses Handbuchs und der Anhang „Bekannte Probleme“ bei der Bestimmung und Behebung des Problems helfen.
Bereitstellungsmodell für Hybrid-Datensicherheit
Im Rechenzentrum Ihres Unternehmens stellen Sie die Hybrid-Datensicherheit als ein einzelnes Cluster von Knoten auf separaten virtuellen Hosts bereit. Die Knoten kommunizieren über sichere Websockets und sicheres HTTP mit der Webex-Cloud.
Während der Installation stellen wir Ihnen die OVA-Datei zur Verfügung, um die virtuelle Appliance auf den von Ihnen bereitgestellten VMs einzurichten. Mit dem HDS-Setup-Tool können Sie eine benutzerdefinierte ISO-Datei für die Clusterkonfiguration erstellen, die Sie auf jedem Knoten mounten. Der Hybrid-Datensicherheitscluster verwendet Ihren bereitgestellten Syslogd-Server und die PostgreSQL- oder Microsoft SQL Server-Datenbank. (Sie konfigurieren die Syslogd- und Datenbankverbindungsdetails im HDS Setup Tool.)
Die Mindestanzahl an Knoten, die Sie in einem Cluster haben können, beträgt zwei. Wir empfehlen mindestens drei und Sie können bis zu fünf haben. Wenn Sie mehrere Knoten haben, wird sichergestellt, dass der Dienst während eines Software-Upgrades oder einer anderen Wartungsaktivität auf einem Knoten nicht unterbrochen wird. (Die Webex-Cloud aktualisiert nur jeweils einen Knoten.)
Alle Knoten in einem Cluster greifen auf denselben Schlüsseldatastore zu und protokollieren die Aktivität mit demselben Syslog-Server. Die Knoten selbst sind staatenlos und bearbeiten wichtige Anfragen in Round-Robin-Manier, wie von der Cloud geleitet.
Knoten werden aktiv, wenn Sie sie in Control Hub registrieren. Um einen einzelnen Knoten außer Betrieb zu nehmen, können Sie die Registrierung aufheben und ihn bei Bedarf später erneut registrieren.
Wir unterstützen nur ein einzelnes Cluster pro Organisation.
Testmodus für Hybrid-Datensicherheit
Nachdem Sie eine Bereitstellung für Hybrid-Datensicherheit eingerichtet haben, versuchen Sie es zunächst mit einer Reihe von Pilotbenutzern. Während des Testzeitraums verwenden diese Benutzer Ihre lokale Hybrid-Datensicherheitsdomäne für Verschlüsselungscodes und andere Dienste des Sicherheitsbereichs. Ihre anderen Benutzer verwenden weiterhin den Cloud-Sicherheitsbereich.
Wenn Sie die Bereitstellung während des Testzeitraums nicht fortsetzen und den Dienst deaktivieren möchten, verlieren die Pilotbenutzer und alle Benutzer, mit denen sie während des Testzeitraums interagiert haben, den Zugriff auf die Nachrichten und Inhalte. Ihnen wird in der Webex-App „Diese Nachricht kann nicht entschlüsselt werden“ angezeigt.
Wenn Sie überzeugt sind, dass Ihre Bereitstellung für die Testbenutzer gut funktioniert und Sie bereit sind, die Hybrid-Datensicherheit auf alle Ihre Benutzer auszuweiten, verschieben Sie die Bereitstellung in die Produktion. Pilotbenutzer haben weiterhin Zugriff auf die Schlüssel, die während der Testphase verwendet wurden. Sie können jedoch nicht zwischen dem Produktionsmodus und der ursprünglichen Testversion hin- und herwechseln. Wenn Sie den Dienst deaktivieren müssen, um z. B. eine Notfallwiederherstellung durchzuführen, müssen Sie bei der erneuten Aktivierung einen neuen Test starten und die Anzahl der Pilotbenutzer für den neuen Test einrichten, bevor Sie in den Produktionsmodus zurückkehren. Ob die Benutzer zu diesem Zeitpunkt weiterhin Zugriff auf Daten haben, hängt davon ab, ob Sie Backups des Schlüsseldatenspeichers und der ISO-Konfigurationsdatei für die Hybrid-Datensicherheitsknoten in Ihrem Cluster erfolgreich durchgeführt haben.
Standby-Rechenzentrum für die Notfallwiederherstellung
Während der Bereitstellung richten Sie ein sicheres Standby-Rechenzentrum ein. Im Falle eines Rechenzentrums-Desasters können Sie Ihre Bereitstellung manuell auf das Standby-Rechenzentrum umlegen.
Die Datenbanken der aktiven und Standby-Rechenzentren sind miteinander synchronisiert, wodurch die Zeit für die Durchführung des Failovers minimiert wird. Die ISO-Datei des Standby-Rechenzentrums wird mit zusätzlichen Konfigurationen aktualisiert, die sicherstellen, dass die Knoten in der Organisation registriert sind, aber keinen Datenverkehr verarbeiten. Daher bleiben die Knoten des Standby-Rechenzentrums immer auf dem neuesten Stand mit der neuesten Version der HDS-Software.
| Die aktiven Hybrid-Datensicherheitsknoten müssen sich immer im selben Rechenzentrum wie der aktive Datenbankserver befinden. |
Standby-Rechenzentrum für die Notfallwiederherstellung einrichten
Führen Sie die folgenden Schritte aus, um die ISO-Datei des Standby-Rechenzentrums zu konfigurieren:
Vorbereitungen
Das Standby-Rechenzentrum sollte die Produktionsumgebung von VMs und eine Backup-PostgreSQL- oder Microsoft SQL Server-Datenbank spiegeln. Wenn die Produktion beispielsweise über 3 VMs verfügt, auf denen HDS-Knoten ausgeführt werden, sollte die Backup-Umgebung über 3 VMs verfügen. (Siehe Standby Data Center for Disaster Recovery für eine Übersicht über dieses Failover-Modell.)
Stellen Sie sicher, dass die Datenbanksynchronisierung zwischen der Datenbank aktiver und passiver Cluster-Knoten aktiviert ist.
| 1 | Starten Sie das HDS-Setup-Tool und befolgen Sie die unter Erstellen einer Konfigurations-ISO für die HDS-Hosts genannten Schritte.
| ||
| 2 | Klicken Sie nach der Konfiguration des Syslogd-Servers auf Erweiterte Einstellungen | ||
| 3 | Fügen Sie auf der Seite Erweiterte Einstellungen unten die Konfiguration hinzu, um den Knoten im passiven Modus zu platzieren. In diesem Modus wird der Knoten in der Organisation registriert und mit der Cloud verbunden, verarbeitet jedoch keinen Datenverkehr.
| ||
| 4 | Schließen Sie den Konfigurationsvorgang ab und speichern Sie die ISO-Datei an einem leicht zu findenden Speicherort. | ||
| 5 | Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Halten Sie die Sicherungskopie sicher. Diese Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff nur auf Hybrid-Datensicherheitsadministratoren, die Konfigurationsänderungen vornehmen sollten. | ||
| 6 | Klicken Sie im linken Navigationsbereich des VMware vSphere-Clients mit der rechten Maustaste auf die VM und klicken Sie auf Einstellungen bearbeiten.. | ||
| 7 | Klicken Sie auf Einstellungen bearbeiten > CD/DVD Laufwerk 1 und wählen Sie Datastore ISO File.
| ||
| 8 | Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 15 Minuten lang keine Alarme vorhanden sind. | ||
| 9 | Wiederholen Sie den Vorgang für jeden Knoten im Standby-Rechenzentrum.
|
Nächste Schritte
Nach der Konfiguration passiveMode in der ISO-Datei zu speichern, können Sie eine andere Kopie der ISO-Datei ohne die passiveMode konfigurieren und an einem sicheren Speicherort speichern. Diese Kopie der ISO-Datei ohne passiveMode konfiguriert kann bei einem schnellen Failover-Prozess während der Notfallwiederherstellung helfen. Siehe Notfallwiederherstellung mit Standby-Rechenzentrum für das detaillierte Failover-Verfahren.
Proxy-Unterstützung
Hybrid Data Security unterstützt explizite, transparente Inspektion und Nicht-Inspektion von Proxys. Sie können diese Proxys mit Ihrer Bereitstellung verknüpfen, sodass Sie den Datenverkehr vom Unternehmen in die Cloud absichern und überwachen können. Sie können eine Plattform-Admin-Oberfläche auf den Knoten für die Zertifikatsverwaltung und zum Überprüfen des allgemeinen Verbindungsstatus verwenden, nachdem Sie den Proxy auf den Knoten eingerichtet haben.
Die Hybrid-Datensicherheitsknoten unterstützen die folgenden Proxy-Optionen:
Kein Proxy – Der Standard, wenn Sie nicht die HDS-Knoteneinrichtung Trust Store- und Proxy-Konfiguration verwenden, um einen Proxy zu integrieren. Es ist keine Zertifikataktualisierung erforderlich.
Transparenter Proxy ohne Prüfung – Die Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert und erfordern keine Änderungen, damit sie mit einem Proxy ohne Prüfung funktionieren. Es ist keine Zertifikataktualisierung erforderlich.
Transparentes Tunneln oder Prüfen des Proxy – Die Knoten sind nicht so konfiguriert, dass sie eine bestimmte Proxyserver-Adresse verwenden. Auf den Knoten sind keine HTTP- oder HTTPS-Konfigurationsänderungen erforderlich. Die Knoten benötigen jedoch ein Stammzertifikat, damit sie dem Proxy vertrauen können. In der Regel werden Proxys von der IT verwendet, um Richtlinien durchzusetzen, auf denen Websites besucht werden können und welche Arten von Inhalten nicht zulässig sind. Dieser Proxy-Typ entschlüsselt Ihren gesamten Datenverkehr (auch HTTPS).
Expliziter Proxy – Mit explizitem Proxy teilen Sie den HDS-Knoten mit, welchen Proxyserver und welches Authentifizierungsschema verwendet werden soll. Um einen expliziten Proxy zu konfigurieren, müssen Sie auf jedem Knoten die folgenden Informationen eingeben:
Proxy-IP/FQDN : Adresse, die zum Erreichen der Proxymaschine verwendet werden kann.
Proxy-Port : Eine Portnummer, die der Proxy für die Überwachung des Proxyverkehrs verwendet.
Proxy-Protokoll : Je nachdem, was Ihr Proxy-Server unterstützt, wählen Sie zwischen den folgenden Protokollen:
HTTP – Zeigt alle vom Client gesendeten Anfragen an und steuert sie.
HTTPS: Stellt dem Server einen Kanal zur Verfügung. Der Client empfängt und validiert das Zertifikat des Servers.
Authentifizierungstyp : Wählen Sie einen der folgenden Authentifizierungstypen aus:
Keine: Es ist keine weitere Authentifizierung erforderlich.
Verfügbar, wenn Sie HTTP oder HTTPS als Proxy-Protokoll auswählen.
Basic – Wird für einen HTTP-Benutzeragenten verwendet, um bei einer Anforderung einen Benutzernamen und ein Kennwort anzugeben. Verwendet Base64-Codierung.
Verfügbar, wenn Sie HTTP oder HTTPS als Proxy-Protokoll auswählen.
Erfordert die Eingabe des Benutzernamens und des Kennworts auf den einzelnen Knoten.
Ziffer : Wird verwendet, um das Konto zu bestätigen, bevor sensible Informationen gesendet werden. Wendet eine Hash-Funktion auf den Benutzernamen und das Kennwort an, bevor sie über das Netzwerk gesendet werden.
Nur verfügbar, wenn Sie HTTPS als Proxy-Protokoll auswählen.
Erfordert die Eingabe des Benutzernamens und des Kennworts auf den einzelnen Knoten.
Beispiel für hybride Datensicherheitsknoten und Proxy
Dieses Diagramm zeigt eine Beispielverbindung zwischen der Hybrid-Datensicherheit, dem Netzwerk und einem Proxy. Für die transparenten Inspektions- und HTTPS-Optionen zur expliziten Inspektion von Proxy muss dasselbe Stammzertifikat auf dem Proxy und auf den Hybrid-Datensicherheitsknoten installiert sein.
Blockierter externer DNS-Auflösungsmodus (Explizite Proxykonfigurationen)
Wenn Sie einen Knoten registrieren oder die Proxy-Konfiguration des Knotens überprüfen, testet der Prozess die DNS-Suche und die Konnektivität mit der Cisco Webex-Cloud. In Bereitstellungen mit expliziten Proxy-Konfigurationen, die keine externe DNS-Auflösung für interne Clients zulassen, wechselt der Knoten automatisch in den Modus für blockierte externe DNS-Auflösung, wenn er die DNS-Server nicht abfragen kann. In diesem Modus können die Knotenregistrierung und andere Proxy-Verbindungstests fortgesetzt werden.
Anforderungen an die Hybrid-Datensicherheit
Cisco Webex-Lizenzanforderungen
So stellen Sie die Hybrid-Datensicherheit bereit:
Sie müssen über Pro Pack für Cisco Webex Control Hub verfügen. (Siehe https://www.cisco.com/go/pro-pack.)
Docker Desktop-Anforderungen
Bevor Sie Ihre HDS-Knoten installieren, benötigen Sie Docker Desktop, um ein Setup-Programm auszuführen. Docker hat kürzlich sein Lizenzierungsmodell aktualisiert. Ihre Organisation benötigt möglicherweise ein kostenpflichtiges Abonnement für Docker Desktop. Weitere Informationen finden Sie im Docker-Blog „ Docker aktualisiert und erweitert unsere Produktabonnements ".
X.509-Zertifikatanforderungen
Die Zertifikatskette muss die folgenden Anforderungen erfüllen:
Anforderung | Details |
|---|---|
| Standardmäßig vertrauen wir den CAs in der Mozilla-Liste (mit Ausnahme von WoSign und StartCom) auf https://wiki.mozilla.org/CA:IncludedCAs. |
| Der CN muss nicht erreichbar sein oder ein Live-Host sein. Wir empfehlen Ihnen beispielsweise, einen Namen zu verwenden, der Ihre Organisation widerspiegelt. Der CN darf kein * (Platzhalter) enthalten. Der CN wird verwendet, um die Hybrid-Datensicherheitsknoten für Webex-App-Clients zu verifizieren. Alle Hybrid-Datensicherheitsknoten in Ihrem Cluster verwenden dasselbe Zertifikat. Ihr KMS identifiziert sich mit der CN-Domäne, nicht mit einer Domäne, die in den SAN-Feldern x.509v3 definiert ist. Sobald Sie einen Knoten mit diesem Zertifikat registriert haben, wird das Ändern des CN-Domänennamens nicht unterstützt. Wählen Sie eine Domäne aus, die sowohl für Test- als auch für Produktionsbereitstellungen gelten kann. |
| Die KMS-Software unterstützt keine SHA1-Signaturen für die Überprüfung von Verbindungen zu KMSs anderer Organisationen. |
| Sie können einen Konverter wie OpenSSL verwenden, um das Format Ihres Zertifikats zu ändern. Sie müssen das Kennwort eingeben, wenn Sie das HDS-Setup-Tool ausführen. |
Die KMS-Software erzwingt keine Schlüsselnutzung oder erweiterte Schlüsselnutzungsbeschränkungen. Einige Zertifizierungsstellen verlangen, dass für jedes Zertifikat erweiterte Nutzungsbeschränkungen gelten, z. B. Serverauthentifizierung. Es ist in Ordnung, die Server-Authentifizierung oder andere Einstellungen zu verwenden.
Anforderungen an virtuelle Gastgeber
Die virtuellen Hosts, die Sie als Hybrid-Datensicherheitsknoten in Ihrem Cluster einrichten, haben die folgenden Anforderungen:
Mindestens zwei separate Hosts (3 empfohlen) in demselben sicheren Rechenzentrum
VMware ESXi 6.5 (oder höher) installiert und ausgeführt.
Sie müssen ein Upgrade durchführen, wenn Sie über eine frühere ESXi-Version verfügen.
Mindestens 4 vCPUs, 8 GB Hauptspeicher, 30 GB lokaler Festplattenspeicher pro Server
Anforderungen des Datenbankservers
| Erstellen Sie eine neue Datenbank für den Schlüsselspeicher. Verwenden Sie nicht die Standarddatenbank. Wenn die HDS-Anwendungen installiert sind, erstellen Sie das Datenbankschema. |
Es gibt zwei Optionen für den Datenbankserver. Die Anforderungen für die einzelnen sind wie folgt:
PostgreSQL | Microsoft SQL-Server | ||
|---|---|---|---|
|
| ||
Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichender Festplattenspeicher und Überwachung, um sicherzustellen, dass er nicht überschritten wird (2 TB empfohlen, wenn Sie die Datenbank für längere Zeit ausführen möchten, ohne den Speicher erhöhen zu müssen) | Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichender Festplattenspeicher und Überwachung, um sicherzustellen, dass er nicht überschritten wird (2 TB empfohlen, wenn Sie die Datenbank für längere Zeit ausführen möchten, ohne den Speicher erhöhen zu müssen) |
Die HDS-Software installiert derzeit folgende Treiberversionen für die Kommunikation mit dem Datenbankserver:
PostgreSQL | Microsoft SQL-Server |
|---|---|
Postgres JDBC-Treiber 42.2.5 | SQL Server JDBC-Treiber 4.6 Diese Treiberversion unterstützt SQL Server Always On ( Always On Failover Cluster Instances und Always On Availability Groups ). |
Zusätzliche Anforderungen für die Windows-Authentifizierung gegen Microsoft SQL Server
Wenn Sie möchten, dass HDS-Knoten die Windows-Authentifizierung verwenden, um Zugriff auf Ihre Keystore-Datenbank auf Microsoft SQL Server zu erhalten, benötigen Sie die folgende Konfiguration in Ihrer Umgebung:
Die HDS-Knoten, die Active Directory-Infrastruktur und der MS SQL Server müssen mit NTP synchronisiert werden.
Das Windows-Konto, das Sie HDS-Knoten zur Verfügung stellen, muss Lese-/Schreibzugriff auf die Datenbank haben.
Die DNS-Server, die Sie den HDS-Knoten bereitstellen, müssen Ihr Key Distribution Center (KDC) auflösen können.
Sie können die HDS-Datenbankinstanz auf Ihrem Microsoft SQL Server als Service Principal Name (SPN) in Ihrem Active Directory registrieren. Siehe Einen Service Principal Name für Kerberos Connections registrieren .
Das HDS-Setup-Tool, der HDS-Launcher und lokale KMS müssen alle die Windows-Authentifizierung verwenden, um auf die Keystore-Datenbank zuzugreifen. Sie verwenden die Details aus Ihrer ISO-Konfiguration, um den SPN zu konstruieren, wenn sie den Zugriff mit Kerberos-Authentifizierung anfordern.
Anforderungen an externe Konnektivität
Konfigurieren Sie Ihre Firewall so, dass die folgende Konnektivität für die HDS-Anwendungen zulässig ist:
Anwendung | Protokoll | Port | Richtung aus der App | Ziel |
|---|---|---|---|---|
Hybrid-Datensicherheitsknoten | TCP | 443 | Ausgehende HTTPS und WSS |
|
HDS-Setup-Tool | TCP | 443 | Ausgehende HTTPS |
|
| Die Hybrid-Datensicherheitsknoten funktionieren mit NAT (Network Access Translation) oder hinter einer Firewall, sofern die NAT oder Firewall die erforderlichen ausgehenden Verbindungen zu den Domänenzielen in der vorangehenden Tabelle zulässt. Bei eingehenden Verbindungen zu den Hybrid-Datensicherheitsknoten sollten keine Ports aus dem Internet sichtbar sein. Innerhalb Ihres Rechenzentrums benötigen Clients für administrative Zwecke Zugriff auf die Hybrid-Datensicherheitsknoten an den TCP-Ports 443 und 22. |
Die URLs für die Common Identity (CI)-Hosts sind regionsspezifisch. Dies sind die aktuellen CI-Hosts:
Region | Gastgeber-URLs der gemeinsamen Benutzeridentität |
|---|---|
Nord- und Südamerika |
|
Europäische Union |
|
Kanada |
|
Proxyserver-Anforderungen
Wir unterstützen offiziell die folgenden Proxy-Lösungen, die in Ihre hybriden Datensicherheitsknoten integriert werden können.
Transparenter Proxy: Cisco Web Security Appliance (WSA).
Expliziter Proxy: Squid.
Squid-Proxys, die HTTPS-Datenverkehr prüfen, können die Einrichtung von Websocket beeinträchtigen (wss:) Verbindungen. Informationen zur Behebung dieses Problems finden Sie unter Konfigurieren von Squid-Proxys für Hybrid Data Security .
Wir unterstützen die folgenden Authentifizierungstyp-Kombinationen für explizite Proxys:
Keine Authentifizierung mit HTTP oder HTTPS
Basisauthentifizierung mit HTTP oder HTTPS
Digest-Authentifizierung nur mit HTTPS
Für einen transparenten Prüfproxy oder einen expliziten HTTPS-Proxy müssen Sie über eine Kopie des Stammzertifikats des Proxys verfügen. In den Bereitstellungsanweisungen in diesem Handbuch erfahren Sie, wie Sie die Kopie in die Vertrauensspeicher der Hybrid-Datensicherheitsknoten hochladen.
Das Netzwerk, das die HDS-Knoten hostet, muss so konfiguriert werden, dass ausgehender TCP-Datenverkehr auf Port 443 zur Weiterleitung durch den Proxy erzwungen wird.
Proxys, die den Web-Datenverkehr überprüfen, können Web-Socket-Verbindungen stören. Wenn dieses Problem auftritt, den Datenverkehr umgehen (nicht kontrollieren) zu
wbx2.comundciscospark.comwird das Problem lösen.
Vervollständigen der Voraussetzungen für die Hybrid-Datensicherheit
| 1 | Stellen Sie sicher, dass Ihre Webex-Organisation für Pro Pack für Cisco Webex Control Hub aktiviert ist, und erhalten Sie die Anmeldeinformationen eines Kontos mit vollständigen Administratorrechten für die Organisation. Wenden Sie sich an Ihren Cisco-Partner oder Account Manager, um Hilfe bei diesem Vorgang zu erhalten. | ||
| 2 | Wählen Sie einen Domänennamen für Ihre HDS-Bereitstellung (z. B. | ||
| 3 | Bereiten Sie identische virtuelle Hosts vor, die Sie als Hybrid-Datensicherheitsknoten in Ihrem Cluster einrichten. Sie benötigen mindestens zwei separate Hosts (3 empfohlen) in demselben sicheren Rechenzentrum, die die Anforderungen unter „Anforderungen an virtuelle Hosts“ erfüllen. | ||
| 4 | Bereiten Sie den Datenbankserver vor, der als Schlüsseldatenspeicher für den Cluster fungieren wird, gemäß den Anforderungen des Datenbankservers . Der Datenbankserver muss im sicheren Rechenzentrum mit den virtuellen Hosts verbunden sein. | ||
| 5 | Richten Sie für eine schnelle Notfallwiederherstellung eine Sicherungsumgebung in einem anderen Rechenzentrum ein. Die Backup-Umgebung spiegelt die Produktionsumgebung von VMs und einem Backup-Datenbankserver wider. Wenn die Produktion beispielsweise über 3 VMs verfügt, auf denen HDS-Knoten ausgeführt werden, sollte die Sicherungsumgebung über 3 VMs verfügen. | ||
| 6 | Richten Sie einen Syslog-Host ein, um Protokolle von den Knoten im Cluster zu erfassen. Erfassen Sie die Netzwerkadresse und den Syslog-Port (standardmäßig UDP 514). | ||
| 7 | Erstellen Sie eine sichere Sicherungsrichtlinie für die Hybrid-Datensicherheitsknoten, den Datenbankserver und den Syslog-Host. Um nicht wiederherstellbaren Datenverlust zu vermeiden, müssen Sie mindestens die Datenbank und die KonfigurationsISO-Datei sichern, die für die Hybrid-Datensicherheitsknoten generiert wurde.
Webex-App-Clients speichern ihre Schlüssel im Cache, sodass ein Ausfall nicht sofort erkennbar ist, sich aber im Laufe der Zeit bemerkbar macht. Während vorübergehende Ausfälle nicht zu verhindern sind, sind sie wiedergutzumachen. Der vollständige Verlust (keine Backups verfügbar) der Datenbank oder der ISO-Konfigurationsdatei führt jedoch zu nicht wiederherstellbaren Kundendaten. Von den Betreibern der Hybrid-Datensicherheitsknoten wird erwartet, dass sie häufige Backups der Datenbank und der ISO-Konfigurationsdatei führen und bereit sind, das Hybrid-Datensicherheitsrechenzentrum bei einem katastrophalen Ausfall neu zu erstellen. | ||
| 8 | Stellen Sie sicher, dass Ihre Firewall-Konfiguration Verbindungen für Ihre Hybrid-Datensicherheitsknoten zulässt, wie unter „Externe Verbindungsanforderungen“ beschrieben. | ||
| 9 | Installieren Sie Docker ( https://www.docker.com) auf jedem lokalen Computer mit einem unterstützten Betriebssystem (Microsoft Windows 10 Professional oder Enterprise 64-Bit oder Mac OSX Yosemite 10.10.3 oder höher) mit einem Webbrowser, der auf ihn zugreifen kann unter http://127.0.0.1:8080. Sie verwenden die Docker-Instanz, um das HDS-Setup-Tool herunterzuladen und auszuführen, das die lokalen Konfigurationsinformationen für alle Hybrid-Datensicherheitsknoten erstellt. Möglicherweise benötigt Ihre Organisation eine Docker Desktop-Lizenz. Weitere Informationen finden Sie unter Docker Desktop-Anforderungen . Um das HDS Setup Tool zu installieren und auszuführen, muss die lokale Maschine über die unter „Externe Verbindungsanforderungen“ beschriebene Konnektivität verfügen. | ||
| 10 | Wenn Sie einen Proxy in Hybrid Data Security integrieren, stellen Sie sicher, dass er die Proxyserveranforderungen erfüllt. | ||
| 11 | Wenn Ihre Organisation die Verzeichnissynchronisierung verwendet, erstellen Sie eine Gruppe im Active Directory mit dem Namen
|
Ablauf der Bereitstellungsaufgabe für Hybrid-Datensicherheit
Vorbereitungen
| 1 | Installationsdateien herunterladen Laden Sie die OVA-Datei für eine spätere Verwendung auf Ihren lokalen Computer herunter. | ||
| 2 | Erstellen einer Konfigurations-ISO für die HDS-Hosts Verwenden Sie das HDS-Setup-Tool, um eine ISO-Konfigurationsdatei für die Hybrid-Datensicherheitsknoten zu erstellen. | ||
| 3 |
Erstellen Sie eine virtuelle Maschine aus der OVA-Datei und führen Sie die Erstkonfiguration durch, z. B. Netzwerkeinstellungen.
| ||
| 4 | Einrichten der Hybrid-DatensicherheitsVM Melden Sie sich bei der VM-Konsole an und legen Sie die Anmeldeinformationen fest. Konfigurieren Sie die Netzwerkeinstellungen für den Knoten, wenn Sie sie zum Zeitpunkt der OVA-Bereitstellung nicht konfiguriert haben. | ||
| 5 | Hochladen und Einhängen der HDS-KonfigurationsISO Konfigurieren Sie die VM über die ISO-Konfigurationsdatei, die Sie mit dem HDS Setup Tool erstellt haben. | ||
| 6 | Konfigurieren des HDS-Knotens für die Proxyintegration Wenn die Netzwerkumgebung eine Proxy-Konfiguration erfordert, geben Sie den Proxy-Typ an, den Sie für den Knoten verwenden möchten, und fügen Sie das Proxy-Zertifikat bei Bedarf dem Vertrauensspeicher hinzu. | ||
| 7 | Registrieren des ersten Knotens im Cluster Registrieren Sie die VM mit der Cisco Webex-Cloud als Hybrid-Datensicherheitsknoten. | ||
| 8 | Weitere Knoten erstellen und registrieren Schließen Sie die Cluster-Einrichtung ab. | ||
| 9 | Ausführen einer Testversion und Verschieben in Produktion (nächstes Kapitel) Bis Sie einen Test starten, erzeugen Ihre Knoten einen Alarm, der angibt, dass Ihr Dienst noch nicht aktiviert ist. |
Installationsdateien herunterladen
| 1 | Melden Sie sich bei https://admin.webex.com an und klicken Sie dann auf Services . | ||||
| 2 | Suchen Sie im Abschnitt Hybrid-Dienste nach der Hybrid-Datensicherheitskarte und klicken Sie auf Einrichten . Wenn die Karte deaktiviert ist oder Sie sie nicht sehen, wenden Sie sich an Ihr Kontoteam oder Ihre Partnerorganisation. Geben Sie ihnen Ihre Kontonummer und bitten Sie sie, Ihre Organisation für Hybrid-Datensicherheit zu aktivieren. Um die Kontonummer zu finden, klicken Sie oben rechts neben dem Namen Ihrer Organisation auf das Zahnrad.
| ||||
| 3 | Wählen Sie No aus, um anzugeben, dass Sie den Knoten noch nicht eingerichtet haben, und klicken Sie dann auf Next . Die OVA-Datei wird automatisch heruntergeladen. Speichern Sie die Datei an einem Speicherort auf Ihrem Computer.
| ||||
| 4 | Klicken Sie optional auf Bereitstellungsleitfaden öffnen , um zu überprüfen, ob eine neuere Version dieses Leitfadens verfügbar ist. |
Erstellen einer Konfigurations-ISO für die HDS-Hosts
Der Einrichtungsprozess für die Hybrid-Datensicherheit erstellt eine ISO-Datei. Anschließend verwenden Sie ISO, um Ihren Hybrid-Datensicherheitshost zu konfigurieren.
Vorbereitungen
Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zuzugreifen, führen Sie Docker auf diesem Computer aus. Für die Einrichtung sind die Anmeldeinformationen eines Control Hub-Kontos mit vollständigen Administratorrechten für Ihre Organisation erforderlich.
Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxyeinstellungen (Server, Port, Anmeldeinformationen) über Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in Schritt 5 öffnen. In dieser Tabelle sind einige mögliche Umgebungsvariablen aufgeführt:
Beschreibung
Variable
HTTP-Proxy ohne Authentifizierung
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-Proxy ohne Authentifizierung
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-Proxy mit Authentifizierung
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS-Proxy mit Authentifizierung
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTDie von Ihnen generierte ISO-Konfigurationsdatei enthält den Master-Schlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die neueste Kopie dieser Datei, wenn Sie Konfigurationsänderungen vornehmen, z. B.:
Datenbankanmeldeinformationen
Zertifikatsaktualisierungen
Änderungen an Autorisierungsrichtlinie
Wenn Sie Datenbankverbindungen verschlüsseln möchten, richten Sie Ihre PostgreSQL- oder SQL Server-Bereitstellung für TLS ein.
| 1 | Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein: In normalen Umgebungen: In FedRAMP-Umgebungen:
| ||||||||||||
| 2 | Geben Sie Folgendes ein, um sich bei der Docker-Image-Registrierung anzumelden: | ||||||||||||
| 3 | Geben Sie bei der Passworteingabe diesen Hashwert ein: | ||||||||||||
| 4 | Laden Sie das neueste stabile Image für Ihre Umgebung herunter: In normalen Umgebungen: In FedRAMP-Umgebungen: | ||||||||||||
| 5 | Geben Sie nach Abschluss des Pull-Vorgangs den entsprechenden Befehl für Ihre Umgebung ein:
Wenn der Container ausgeführt wird, wird „Express-Server überwacht Port 8080“ angezeigt. | ||||||||||||
| 6 |
Navigieren Sie über einen Webbrowser zum Localhost, Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto festzulegen. Das Tool zeigt dann die Standardanmeldeaufforderung an. | ||||||||||||
| 7 | Wenn Sie dazu aufgefordert werden, geben Sie die Anmeldeinformationen für den Control Hub-Kundenadministrator ein und klicken Sie dann auf Anmelden , um den Zugriff auf die für die Hybrid-Datensicherheit erforderlichen Dienste zu ermöglichen. | ||||||||||||
| 8 | Klicken Sie auf der Setup-Tool-Übersichtsseite auf Erste Schritte . | ||||||||||||
| 9 | Auf der Seite ISO Import stehen Ihnen folgende Optionen zur Verfügung:
| ||||||||||||
| 10 | Überprüfen Sie, ob Ihr X.509-Zertifikat die Anforderungen unter X.509-Zertifikatanforderungen erfüllt.
| ||||||||||||
| 11 | Geben Sie die Datenbankadresse und das Konto für HDS ein, um auf Ihren wichtigen Datenspeicher zuzugreifen: | ||||||||||||
| 12 | Wählen Sie einen TLS-Datenbankverbindungsmodus :
Wenn Sie das Stammzertifikat hochladen (falls erforderlich) und auf Weiter klicken, testet das HDS-Setup-Tool die TLS-Verbindung zum Datenbankserver. Das Tool überprüft auch den Unterzeichner des Zertifikats und den Host-Name, falls zutreffend. Wenn ein Test fehlschlägt, zeigt das Tool eine Fehlermeldung an, in der das Problem beschrieben wird. Sie können auswählen, ob Sie den Fehler ignorieren und mit der Einrichtung fortfahren möchten. (Aufgrund von Konnektivitätsunterschieden können die HDS-Knoten möglicherweise die TLS-Verbindung herstellen, auch wenn die HDS Setup Tool-Maschine sie nicht erfolgreich testen kann.) | ||||||||||||
| 13 | Konfigurieren Sie auf der Seite "Systemprotokolle" Ihren Syslogd-Server: | ||||||||||||
| 14 | (Optional) Sie können den Standardwert für einige Datenbankverbindungsparameter unter „Erweiterte Einstellungen“ ändern. Im Allgemeinen ist dieser Parameter der einzige, den Sie ändern möchten: | ||||||||||||
| 15 | Klicken Sie auf „Weiter“ im Bildschirm „Dienstkonten-Passwort zurücksetzen “. Passwörter für Dienstkonten haben eine Lebensdauer von neun Monaten. Verwenden Sie diesen Bildschirm, wenn Ihre Passwörter bald ablaufen oder Sie sie zurücksetzen möchten, um frühere ISO-Dateien ungültig zu machen. | ||||||||||||
| 16 | Klicken Sie auf ISO-Datei herunterladen . Speichern Sie die Datei an einem leicht auffindbaren Speicherort. | ||||||||||||
| 17 | Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Halten Sie die Sicherungskopie sicher. Diese Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff nur auf Hybrid-Datensicherheitsadministratoren, die Konfigurationsänderungen vornehmen sollten. | ||||||||||||
| 18 | Geben Sie zum Herunterfahren des Setup-Tools |
Nächste Schritte
Sichern Sie die ISO-Konfigurationsdatei. Sie benötigen sie, um weitere Knoten für die Wiederherstellung zu erstellen oder Konfigurationsänderungen vorzunehmen. Wenn Sie alle Kopien der ISO-Datei verlieren, haben Sie auch den Master-Schlüssel verloren. Das Wiederherstellen der Schlüssel aus Ihrer PostgreSQL- oder Microsoft SQL Server-Datenbank ist nicht möglich.
| Wir haben nie eine Kopie dieses Schlüssels und können nicht helfen, wenn Sie ihn verlieren. |
Installieren der HDS-Host-OVA
| 1 | Melden Sie sich mit dem VMware vSphere-Client auf Ihrem Computer beim virtuellen ESXi-Host an. | ||||||
| 2 | Wählen Sie Datei > OVF-Vorlage bereitstellen aus. | ||||||
| 3 | Geben Sie im Assistenten den Speicherort der OVA-Datei an, die Sie zuvor heruntergeladen haben, und klicken Sie dann auf Weiter . | ||||||
| 4 | Auf der Wählen Sie einen Namen und Ordner aus Seite, geben Sie einen Name der virtuellen Maschine Wählen Sie für den Knoten (z. B. „HDS _ N ode_ 1“) einen Standort aus, an dem sich die Bereitstellung des Knotens der virtuellen Maschine befinden kann, und klicken Sie dann auf Weiter . | ||||||
| 5 | Auf der Berechnungsressource auswählen Seite, wählen Sie die Zielberechnungsressource aus, und klicken Sie dann auf Weiter . Eine Validierungsprüfung wird durchgeführt. Nach dem Abschluss werden die Vorlagendetails angezeigt. | ||||||
| 6 | Überprüfen Sie die Vorlagendetails und klicken Sie dann auf Weiter . | ||||||
| 7 | Wenn Sie aufgefordert werden, die Ressourcenkonfiguration auf dem Konfiguration Seite, klicken Sie auf <UNK> 4 CPU <UNK> und klicken Sie dann auf Weiter . | ||||||
| 8 | Auf der Speicher auswählen Seite, klicken Sie auf Weiter um das Standard-Festplattenformat und die VM-Speicherrichtlinie zu akzeptieren. | ||||||
| 9 | Auf der Netzwerke auswählen wählen Sie die Netzwerkoption aus der Liste der Einträge aus, um die gewünschte Konnektivität für die VM bereitzustellen. | ||||||
| 10 | Konfigurieren Sie auf der Seite Vorlage anpassen die folgenden Netzwerkeinstellungen:
Falls bevorzugt, können Sie die Konfiguration der Netzwerkeinstellungen überspringen und die Schritte unter Einrichten der Hybrid Data Security VM ausführen, um die Einstellungen über die Knotenkonsole zu konfigurieren.
| ||||||
| 11 | Klicken Sie mit der rechten Maustaste auf die Knoten-VM, und wählen Sie . Die Hybrid Data Security-Software wird als Gast auf dem VM-Host installiert. Sie können sich jetzt bei der Konsole anmelden und den Knoten konfigurieren. Tipps zur Fehlerbehebung Es kann zu einer Verzögerung von einigen Minuten kommen, bis die Knotencontainer angezeigt werden. Beim erstmaligen Start wird eine Bridge-Firewall-Nachricht angezeigt, während der Sie sich anmelden können. |
Einrichten der Hybrid-DatensicherheitsVM
Mit diesem Verfahren können Sie sich zum ersten Mal bei der VM-Konsole des Hybrid-Datensicherheitsknotens anmelden und die Anmeldeinformationen festlegen. Sie können auch die Konsole verwenden, um die Netzwerkeinstellungen für den Knoten zu konfigurieren, wenn Sie sie zum Zeitpunkt der OVA-Bereitstellung nicht konfiguriert haben.
| 1 | Wählen Sie im VMware vSphere-Client Ihre VM mit Hybrid-Datensicherheitsknoten und anschließend die Registerkarte Konsole aus. Die VM wird gestartet und eine Anmeldeaufforderung wird angezeigt. Drücken Sie die Eingabetaste, falls der Anmeldebildschirm nicht angezeigt wird.
|
| 2 | Verwenden Sie die folgenden Standard-Anmeldedaten und das Passwort, um sich anzumelden und die Anmeldedaten zu ändern: Da Sie sich zum ersten Mal bei Ihrer VM anmelden, müssen Sie das Administratorpasswort ändern. |
| 3 | Wenn Sie die Netzwerkeinstellungen bereits unter Installieren Sie die HDS-Host-OVA konfiguriert haben, überspringen Sie den Rest dieses Verfahrens. Andernfalls wählen Sie im Hauptmenü die Option Konfiguration bearbeiten aus. |
| 4 | Richten Sie eine statische Konfiguration mit IP-Adresse, Maske, Gateway- und DNS-Informationen ein. Ihr Knoten sollte eine interne IP-Adresse und einen DNS-Namen haben. DHCP wird nicht unterstützt. |
| 5 | (Optional) Ändern Sie bei Bedarf den Hostnamen, die Domäne oder die NTP-Server, um sie mit Ihrer Netzwerkrichtlinie abzugleichen. Sie müssen die Domäne nicht mit der Domäne übereinstimmen, mit der Sie das X.509-Zertifikat erhalten haben. |
| 6 | Speichern Sie die Netzwerkkonfiguration und starten Sie die VM neu, damit die Änderungen wirksam werden. |
Hochladen und Einhängen der HDS-KonfigurationsISO
Vorbereitungen
Da die ISO-Datei den Master-Schlüssel enthält, sollte sie nur auf der Basis des "Need-to-know"-Zugangs durch die Hybrid Data Security VMs und alle Administratoren, die Änderungen vornehmen müssen, offengelegt werden. Stellen Sie sicher, dass nur diese Administratoren auf den Datenspeicher zugreifen können.
| 1 | Laden Sie die ISO-Datei von Ihrem Computer hoch: |
| 2 | Binden Sie die ISO-Datei ein: |
Nächste Schritte
Wenn Ihre IT-Richtlinie es erfordert, können Sie die ISO-Datei optional unmounten, nachdem alle Knoten die Konfigurationsänderungen übernommen haben. Weitere Informationen finden Sie unter (Optional) ISO nach HDS-Konfiguration abmontieren .
Konfigurieren des HDS-Knotens für die Proxyintegration
Wenn die Netzwerkumgebung einen Proxy erfordert, verwenden Sie dieses Verfahren, um den Proxytyp anzugeben, den Sie in die Hybrid-Datensicherheit integrieren möchten. Wenn Sie einen transparenten Prüfproxy oder einen expliziten HTTPS-Proxy auswählen, können Sie die Schnittstelle des Knotens verwenden, um das Stammzertifikat hochzuladen und zu installieren. Sie können auch die Proxy-Verbindung über die Schnittstelle überprüfen und potenzielle Probleme beheben.
Vorbereitungen
Eine Übersicht der unterstützten Proxy-Optionen finden Sie unter Proxy-Unterstützung.
| 1 | HDS-Knoten-Setup-URL eingeben |
| 2 | Gehen Sie zu Vertrauensspeicher und Proxy und wählen Sie eine Option aus:
Führen Sie die nächsten Schritte für einen transparenten Prüfproxy, einen HTTP-Proxy mit einfacher Authentifizierung oder einen HTTPS-Proxy aus. |
| 3 | Klicken Sie auf Stammzertifikat hochladen oder Entitätszertifikat beenden , und navigieren Sie dann zu einem Stammzertifikat für den Proxy. Das Zertifikat ist hochgeladen, aber noch nicht installiert, da Sie den Knoten neu starten müssen, um das Zertifikat zu installieren. Klicken Sie auf den chevron-Pfeil nach dem Namen des Zertifikatsausstellers, um weitere Details zu erhalten, oder klicken Sie auf Löschen , wenn Sie einen Fehler gemacht haben und die Datei erneut hochladen möchten. |
| 4 | Klicken Sie auf Proxyverbindung prüfen , um die Netzwerkkonnektivität zwischen dem Knoten und dem Proxy zu testen. Wenn der Verbindungstest fehlschlägt, wird eine Fehlermeldung mit dem Grund und wie Sie das Problem beheben können angezeigt. Wenn eine Meldung angezeigt wird, dass die externe DNS-Auflösung nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen. Diese Bedingung wird in vielen expliziten Proxy-Konfigurationen erwartet. Sie können mit der Einrichtung fortfahren, und der Knoten funktioniert im Blockierten externen DNS-Auflösungsmodus. Wenn Sie der Meinung sind, dass es sich um einen Fehler handelt, führen Sie die folgenden Schritte aus, und lesen Sie anschließend Deaktivieren Sie den blockierten externen DNS-Auflösungsmodus . |
| 5 | Wenn der Verbindungstest bestanden hat und der explizite Proxy auf „Nur https“ festgelegt ist, aktivieren Sie den Umschalter auf „ Alle Port 443/444-https-Anfragen von diesem Knoten über den expliziten Proxy weiterleiten“ . Diese Einstellung benötigt 15 Sekunden, um wirksam zu werden. |
| 6 | Klicken Sie auf Installieren Sie alle Zertifikate in den Vertrauensspeicher (wird für einen expliziten HTTPS-Proxy oder einen transparenten Prüfproxy angezeigt) oder Reboot (wird für einen expliziten HTTP-Proxy angezeigt), lesen Sie die Eingabeaufforderung und klicken Sie anschließend auf Installieren , wenn Sie bereit sind. Der Knoten wird innerhalb weniger Minuten neu gestartet. |
| 7 | Nachdem der Knoten neu gestartet wurde, melden Sie sich bei Bedarf erneut an und öffnen Sie die Seite „Übersicht“ , um die Konnektivitätsprüfungen zu überprüfen, um sicherzustellen, dass alle im grünen Status sind. Die Proxy-Verbindungsprüfung testet nur eine Unterdomäne von webex.com. Wenn Verbindungsprobleme auftreten, besteht ein häufiges Problem darin, dass einige der in den Installationsanweisungen aufgeführten Cloud-Domänen am Proxy blockiert werden. |
Registrieren des ersten Knotens im Cluster
Bei der Registrierung Ihres ersten Knotens erstellen Sie ein Cluster, zu dem der Knoten zugewiesen wird. Ein Cluster enthält einen oder mehrere Knoten, die für Redundanz bereitgestellt werden.
Vorbereitungen
Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.
Stellen Sie sicher, dass alle Popupblocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.
| 1 | Melden Sie sich bei https://admin.webex.com an. |
| 2 | Wählen Sie im Menü auf der linken Seite die Option Dienste aus. |
| 3 | Suchen Sie im Abschnitt Hybrid-Dienste nach Hybrid-Datensicherheit und klicken Sie auf Einrichten . Die Seite „Hybrid-Datensicherheitsknoten registrieren“ wird angezeigt.
|
| 4 | Wählen Sie Ja aus, um anzugeben, dass Sie den Knoten eingerichtet haben und bereit sind, ihn zu registrieren, und klicken Sie dann auf Weiter . |
| 5 | Geben Sie im ersten Feld einen Namen für das Cluster ein, dem Sie Ihren Hybrid-Datensicherheitsknoten zuweisen möchten. Benennen Sie Ihre Cluster nach Möglichkeit nach dem geografischen Standort der Clusterknoten. Beispiele: "San Francisco" oder "New York" oder "Dallas" |
| 6 | Geben Sie im zweiten Feld die interne IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) Ihres Knotens ein und klicken Sie auf Weiter . Diese IP-Adresse oder FQDN sollte mit der IP-Adresse oder dem Host-Namen und der Domäne übereinstimmen, die Sie bei „Einrichten der Hybrid-Datensicherheits-VM“ verwendet haben. Es wird eine Meldung angezeigt, die angibt, dass Sie Ihren Knoten in Webex registrieren können.
|
| 7 | Klicken Sie auf Zum Knoten wechseln. |
| 8 | Klicken Sie in der Warnmeldung auf Weiter. Nach einigen Augenblicken werden Sie zu den Knotenverbindungstests für Webex-Dienste umgeleitet. Wenn alle Tests erfolgreich sind, wird die Seite „Zugriff auf Hybrid-Datensicherheitsknoten zulassen“ angezeigt. Dort bestätigen Sie, dass Sie Ihrer Webex-Organisation Berechtigungen für den Zugriff auf Ihren Knoten erteilen möchten.
|
| 9 | Aktivieren Sie das Kontrollkästchen Zugriff auf Ihren Hybrid-Datensicherheitsknoten zulassen und klicken Sie dann auf Weiter . Ihr Konto wird überprüft, und die Meldung „Registrierung abgeschlossen“ zeigt an, dass Ihr Knoten jetzt in der Webex-Cloud registriert ist.
|
| 10 | Klicken Sie auf den Link oder schließen Sie die Registerkarte, um zur Seite „Control Hub Hybrid-Datensicherheit“ zurückzukehren. Auf der Seite Hybrid-Datensicherheit wird das neue Cluster mit dem registrierten Knoten angezeigt. Der Knoten lädt die neueste Software automatisch aus der Cloud herunter.
|
Weitere Knoten erstellen und registrieren
| Zu diesem Zeitpunkt sind die Backup-VMs, die Sie unter Erfüllen der Voraussetzungen für Hybrid Data Security erstellt haben, Standby-Hosts, die nur im Falle einer Notfallwiederherstellung verwendet werden; sie sind bis dahin nicht beim System registriert. Weitere Informationen finden Sie unter Notfallwiederherstellung mit dem Standby-Rechenzentrum . |
Vorbereitungen
Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.
Stellen Sie sicher, dass alle Popupblocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.
| 1 | Erstellen Sie eine neue virtuelle Maschine aus der OVA und wiederholen Sie die Schritte unter Installieren Sie die HDS-Host-OVA . |
| 2 | Richten Sie die Erstkonfiguration auf der neuen VM ein und wiederholen Sie die Schritte unter Richten Sie die Hybrid Data Security VM ein. |
| 3 | Wiederholen Sie auf der neuen VM die Schritte unter Hochladen und Einhängen der HDS-Konfiguration ISO . |
| 4 | Wenn Sie einen Proxy für Ihre Bereitstellung einrichten, wiederholen Sie die Schritte unter Konfigurieren des HDS-Knotens für die Proxy-Integration nach Bedarf für den neuen Knoten. |
| 5 | Registrieren Sie den Knoten. Ihr Knoten ist registriert. Beachten Sie, dass Ihre Knoten bis zum Starten einer Testversion einen Alarm generieren, der angibt, dass Ihr Dienst noch nicht aktiviert ist.
|
Nächste Schritte
Ablauf der Testversion der Produktionsaufgabe
Nachdem Sie einen Hybrid-Datensicherheitscluster eingerichtet haben, können Sie einen Pilotversuch starten, Benutzer hinzufügen und damit beginnen, Ihre Bereitstellung zu testen und zu überprüfen, um auf die Produktion vorzubereiten.
Vorbereitungen
| 1 | Synchronisieren Sie ggf. die Wenn Ihre Organisation die Verzeichnissynchronisierung für Benutzer verwendet, müssen Sie die |
| 2 |
Starten Sie eine Testversion. Bis Sie diese Aufgabe ausführen, generieren Ihre Knoten einen Alarm, der angibt, dass der Dienst noch nicht aktiviert ist. |
| 3 | Testen Sie Ihre Hybrid-Datensicherheitsbereitstellung Überprüfen Sie, ob wichtige Anforderungen an Ihre Hybrid-Datensicherheitsbereitstellung übergeben werden. |
| 4 | Hybrid-Datensicherheitsstatus überwachen Überprüfen Sie den Status und richten Sie E-Mail-Benachrichtigungen für Alarme ein. |
| 5 | Hinzufügen oder Entfernen von Benutzern aus Ihrer Testversion |
| 6 | Schließen Sie die Testphase mit einer der folgenden Aktionen ab: |
Testversion aktivieren
Vorbereitungen
Wenn Ihre Organisation die Verzeichnissynchronisierung für Benutzer verwendet, müssen Sie die HdsTrialGroup Gruppenobjekt für die Synchronisierung mit der Cloud, bevor Sie eine Testversion für Ihre Organisation starten können. Anweisungen finden Sie im Bereitstellungsleitfaden für den Cisco Directory Connector.
| 1 | Melden Sie sich bei https://admin.webex.com an und wählen Sie dann Dienste . |
| 2 | Klicken Sie unter „Hybrid-Datensicherheit“ auf „Einstellungen“ . |
| 3 | Klicken Sie im Abschnitt „Dienststatus“ auf Test starten . Der Dienststatus ändert sich in den Testmodus.
|
| 4 | Klicken Sie auf Benutzer hinzufügen und geben Sie die E-Mail-Adresse eines oder mehrerer Benutzer ein, um Ihre Hybrid-Datensicherheitsknoten für Verschlüsselungs- und Indexierungsdienste zu verwenden. (Wenn Ihre Organisation die Verzeichnissynchronisierung verwendet, verwenden Sie Active Directory, um die Testgruppe zu verwalten, |
Testen Sie Ihre Hybrid-Datensicherheitsbereitstellung
Vorbereitungen
Richten Sie Ihre Bereitstellung für Hybrid-Datensicherheit ein.
Aktivieren Sie die Testversion und fügen Sie mehrere Testbenutzer hinzu.
Stellen Sie sicher, dass Sie Zugriff auf das Syslog haben, um zu überprüfen, ob wichtige Anforderungen an Ihre Bereitstellung für die Hybrid-Datensicherheit weitergeleitet werden.
| 1 | Schlüssel für einen bestimmten Bereich werden vom Ersteller des Bereichs festgelegt. Melden Sie sich bei der Webex-App als einer der Pilotbenutzer an, erstellen Sie einen Bereich und laden Sie mindestens einen Pilotbenutzer und einen Nicht-Pilotbenutzer ein.
| ||
| 2 | Nachrichten an den neuen Bereich senden. | ||
| 3 | Überprüfen Sie die Syslog-Ausgabe, um zu überprüfen, ob die Schlüsselanforderungen an Ihre Hybrid-Datensicherheitsbereitstellung übergeben werden. |
Hybrid-Datensicherheitsstatus überwachen
| 1 | Wählen Sie in Control Hub im Menü auf der linken Seite des Bildschirms Dienste aus. |
| 2 | Suchen Sie im Abschnitt Hybrid-Dienste nach Hybrid Data Security und klicken Sie auf Einstellungen . Die Seite „Hybrid-Datensicherheitseinstellungen“ wird angezeigt.
|
| 3 | Geben Sie im Abschnitt E-Mail-Benachrichtigungen eine oder mehrere durch Kommas getrennte E-Mail-Adressen ein und drücken Sie die Eingabetaste. |
Hinzufügen oder Entfernen von Benutzern aus Ihrer Testversion
Wenn Sie einen Benutzer aus der Testversion entfernen, fordert der Client des Benutzers die Schlüssel und die Schlüsselerstellung aus dem Cloud-KMS anstelle Ihres KMS an. Wenn der Client einen Schlüssel benötigt, der auf Ihrem KMS gespeichert ist, ruft der Cloud-KMS ihn im Namen des Benutzers ab.
Wenn Ihre Organisation die Verzeichnissynchronisierung verwendet, verwenden Sie Active Directory (anstelle dieses Verfahrens), um die Testgruppe zu verwalten, HdsTrialGroup; Sie können die Gruppenmitglieder in Control Hub anzeigen, aber nicht hinzufügen oder entfernen.
| 1 | Melden Sie sich bei Control Hub an und wählen Sie dann „Dienste“ . |
| 2 | Klicken Sie unter „Hybrid-Datensicherheit“ auf „Einstellungen“ . |
| 3 | Klicken Sie im Testmodus des Dienststatusbereichs auf Benutzer hinzufügen oder klicken Sie auf Anzeigen und Bearbeiten , um Benutzer aus der Testversion zu entfernen. |
| 4 | Geben Sie die E-Mail-Adresse eines oder mehrerer Benutzer ein, die Sie hinzufügen möchten, oder klicken Sie auf das X-Zeichen neben einer Benutzer-ID, um den Benutzer aus der Testversion zu entfernen. Klicken Sie dann auf Speichern . |
Übergang von der Testversion zur Produktion
| 1 | Melden Sie sich bei Control Hub an und wählen Sie dann „Dienste“ . |
| 2 | Klicken Sie unter „Hybrid-Datensicherheit“ auf „Einstellungen“ . |
| 3 | Klicken Sie im Abschnitt „Dienststatus“ auf Zu Produktion wechseln . |
| 4 | Bestätigen Sie, dass Sie alle Benutzer in die Produktion verschieben möchten. |
Beenden Sie Ihren Test, ohne zur Produktion zu wechseln
| 1 | Melden Sie sich bei Control Hub an und wählen Sie dann „Dienste“ . |
| 2 | Klicken Sie unter „Hybrid-Datensicherheit“ auf „Einstellungen“ . |
| 3 | Klicken Sie im Abschnitt Deaktivieren auf Deaktivieren . |
| 4 | Bestätigen Sie, dass Sie den Dienst deaktivieren und den Test beenden möchten. |
Verwalten der HDS-Bereitstellung
Verwenden Sie die hier beschriebenen Aufgaben, um Ihre Bereitstellung für die Hybrid-Datensicherheit zu verwalten.
Cluster-Upgrade-Zeitplan festlegen
So legen Sie den Upgrade-Zeitplan fest:
| 1 | Melden Sie sich bei Control Hub an. |
| 2 | Wählen Sie auf der Übersichtsseite unter Hybriddienste die Option Hybrid-Datensicherheit . |
| 3 | Wählen Sie auf der Seite Hybrid-Datensicherheitsressourcen den Cluster aus. |
| 4 | Wählen Sie im Übersichtsbereich auf der rechten Seite unter Cluster-Einstellungen den Cluster-Namen aus. |
| 5 | Wählen Sie auf der Einstellungsseite unter Upgrade die Uhrzeit und die Zeitzone für den Upgrade-Zeitplan aus. Hinweis: Unter der Zeitzone wird der nächste verfügbare Zeitpunkt für ein Upgrade angezeigt. Sie können das Upgrade bei Bedarf auf den folgenden Tag verzögern, indem Sie auf Verschieben klicken. |
Knotenkonfiguration ändern
x.509-Zertifikate werden vor Ablauf oder aus anderen Gründen geändert.
Das Ändern des CN- Domänenname eines Zertifikats wird nicht unterstützt. Die Domäne muss mit der ursprünglichen Domäne übereinstimmen, die zum Registrieren des Clusters verwendet wurde.
Aktualisieren der Datenbank , um zu einer Reproduktion der PostgreSQL- oder Microsoft SQL Server- Datenbank zu wechseln.
Die Migration von Daten von PostgreSQL zu Microsoft SQL Server oder umgekehrt wird nicht unterstützt. Um die Datenbank zu wechseln, starten Sie eine neue Bereitstellung von Hybrid Data Security.
Erstellen einer neuen Konfiguration zur Vorbereitung eines neuen Rechenzentrum.
Aus Sicherheitsgründen verwendet Hybrid Data Security Dienstkonten-Passwörter, die nach 9 Monaten ablaufen. Diese Passwörter werden durch das HDS Setup Tool generiert, und Sie können sie mittels der ISO-Konfigurationsdatei für Ihre einzelnen HDS-Knoten bereitstellen. Wenn die Passwörter Ihres Unternehmens bald ablaufen, erhalten Sie vom Webex-Team einen „Hinweis zum Passwortablauf“, in dem Sie gebeten werden, das Passwort für Ihr Computerkonto zurückzusetzen. (Die E-Mail enthält den Text „Verwenden Sie die Computerkonto- API , um das Passwort zu aktualisieren“.) Wenn Ihre Passwörter noch nicht abgelaufen sind, bietet Ihnen das Tool zwei Möglichkeiten:
Weiches Zurücksetzen – Das alte und das neue Passwort sind beide bis zu 10 Tage gültig. Nutzen Sie diesen Zeitraum, um die ISO -Datei auf den Knoten schrittweise zu ersetzen.
Hard-Reset – Die alten Passwörter funktionieren sofort nicht mehr.
Wenn Ihre Passwörter ohne Zurücksetzen ablaufen, wirkt sich dies auf Ihren HDS-Dienst aus und erfordert ein sofortiges Zurücksetzen und Ersetzen der ISO -Datei auf allen Knoten.
Mit diesem Verfahren können Sie eine neue ISO -Konfigurationsdatei generieren und auf Ihren Cluster anwenden.
Vorbereitungen
Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zuzugreifen, führen Sie Docker auf diesem Computer aus. Für die Einrichtung sind die Anmeldeinformationen eines Control Hub-Kontos mit vollständigen Administratorrechten für Ihre Organisation erforderlich.
Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxyeinstellungen (Server, Port, Anmeldeinformationen) über Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in 1.e öffnen. In dieser Tabelle sind einige mögliche Umgebungsvariablen aufgeführt:
Beschreibung
Variable
HTTP-Proxy ohne Authentifizierung
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-Proxy ohne Authentifizierung
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-Proxy mit Authentifizierung
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS-Proxy mit Authentifizierung
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTUm eine neue Konfiguration zu erstellen, benötigen Sie eine Kopie der aktuellen ISO-Konfigurationsdatei. Die ISO enthält den Master-Schlüssel, der die PostgreSQL- oder Microsoft SQL Server-Datenbank verschlüsselt. Sie benötigen das ISO , wenn Sie Konfigurationsänderungen vornehmen, einschließlich Datenbank , Zertifikatsaktualisierungen oder Änderungen an der Autorisierungsrichtlinie.
| 1 | Führen Sie auf einem lokalen Computer, auf dem Docker läuft, das HDS Setup Tool aus.
| ||||||
| 2 | Wenn Sie nur einen HDS-Knoten mit ausführen, erstellen Sie eine neue -Knoten-VM und registrieren Sie sie mithilfe der neuen ISO-Konfigurationsdatei. Detaillierte Anweisungen finden Sie unter Weitere Knoten erstellen und registrieren . | ||||||
| 3 | Für vorhandene HDS-Knoten, auf denen die ältere Konfigurationsdatei ausgeführt wird, mounten Sie die ISO -Datei. Führen Sie die folgenden Schritte nacheinander auf jedem Knoten aus und aktualisieren Sie dabei jeden Knoten, bevor Sie den nächsten Knoten ausschalten: | ||||||
| 4 | Wiederholen Sie Schritt 3, um bei jedem weiteren Knoten zu ersetzen, auf dem noch die alte Konfiguration ausgeführt wird, die Konfiguration zu ersetzen. |
Blockierten externen DNS-Auflösungsmodus deaktivieren
Wenn Sie einen Knoten registrieren oder die Proxy-Konfiguration des Knotens überprüfen, testet der Prozess die DNS-Suche und die Konnektivität mit der Cisco Webex-Cloud. Wenn der DNS-Server des Knotens öffentliche DNS-Namen nicht auflösen kann, wechselt der Knoten automatisch in den Modus für die blockierte externe DNS-Auflösung.
Wenn Ihre Knoten in der Lage sind, öffentliche DNS-Namen über interne DNS-Server aufzulösen, können Sie diesen Modus deaktivieren, indem Sie den Proxy-Verbindungstest auf jedem Knoten erneut ausführen.
Vorbereitungen
| 1 | Öffnen Sie in einem Webbrowser die Schnittstelle des hybriden Datensicherheitsknotens (IP-Adresse/Einrichtung, z. B. https://192.0.2.0/setup), geben Sie die Administratoranmeldeinformationen ein, die Sie für den Knoten eingerichtet haben, und klicken Sie dann auf Anmelden . |
| 2 | Gehen Sie zu „Übersicht“ (Standardseite). Wenn aktiviert, Blockierte externe DNS Auflösung ist festgelegt auf Ja . |
| 3 | Gehen Sie zur Seite „Vertrauensspeicher und Proxy “. |
| 4 | Klicken Sie auf Proxyverbindung prüfen . Wenn eine Meldung angezeigt wird, dass die externe DNS-Auflösung nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen und bleibt in diesem Modus. Andernfalls sollte nach dem Neustart des Knotens und dem Zurückkehren zur Übersichtsseite die blockierte externe DNS-Auflösung auf „Nein“ festgelegt werden. |
Nächste Schritte
Knoten entfernen
| 1 | Verwenden Sie den VMware vSphere-Client auf Ihrem Computer, um sich beim virtuellen ESXi-Host anzumelden und die virtuelle Maschine auszuschalten. |
| 2 | Knoten entfernen: |
| 3 | Löschen Sie im vSphere-Client die VM. (Klicken Sie im linken Navigationsbereich mit der rechten Maustaste auf die VM und klicken Sie auf Löschen .) Wenn Sie die VM nicht löschen, denken Sie daran, die Konfiguration der ISO-Datei aufzuheben. Ohne die ISO-Datei können Sie die VM nicht für den Zugriff auf Ihre Sicherheitsdaten verwenden. |
Notfallwiederherstellung mit Standby-Rechenzentrum
Der wichtigste Dienst, den Ihr Hybrid-Datensicherheitscluster bietet, ist die Erstellung und Speicherung von Schlüsseln, mit denen Nachrichten und andere in der Webex-Cloud gespeicherte Inhalte verschlüsselt werden. Für jeden Benutzer innerhalb der Organisation, der der Hybrid-Datensicherheit zugewiesen ist, werden neue Anforderungen zur Schlüsselerstellung an den Cluster weitergeleitet. Der Cluster ist auch dafür verantwortlich, die Schlüssel, die er erstellt hat, an alle Benutzer zurückzugeben, die zum Abrufen autorisiert sind, z. B. Mitglieder eines Konversationsbereichs.
Da der Cluster die wichtige Funktion zur Bereitstellung dieser Schlüssel ausführt, ist es zwingend erforderlich, dass der Cluster weiterhin ausgeführt wird und die ordnungsgemäßen Backups beibehalten werden. Der Verlust der Hybrid Data Security-Datenbank oder der für das Schema verwendeten Konfigurations-ISO führt zu einem NICHT WIEDERHERSTELLBAREN VERLUST von Kundeninhalten. Die folgenden Praktiken sind obligatorisch, um einen solchen Verlust zu verhindern:
Wenn eine Katastrophe dazu führt, dass die HDS-Bereitstellung im primären Rechenzentrum nicht mehr verfügbar ist, führen Sie die folgenden Schritte aus, um ein manuelles Failover zum Standby-Rechenzentrum durchzuführen.
| 1 | Starten Sie das HDS-Setup-Tool und befolgen Sie die unter Erstellen einer Konfigurations-ISO für die HDS-Hosts genannten Schritte. | ||
| 2 | Klicken Sie nach der Konfiguration des Syslogd-Servers auf Erweiterte Einstellungen | ||
| 3 | Fügen Sie auf der Seite Erweiterte Einstellungen die folgende Konfiguration hinzu oder entfernen Sie die
| ||
| 4 | Schließen Sie den Konfigurationsvorgang ab und speichern Sie die ISO-Datei an einem leicht zu findenden Speicherort. | ||
| 5 | Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Halten Sie die Sicherungskopie sicher. Diese Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff nur auf Hybrid-Datensicherheitsadministratoren, die Konfigurationsänderungen vornehmen sollten. | ||
| 6 | Klicken Sie im linken Navigationsbereich des VMware vSphere-Clients mit der rechten Maustaste auf die VM und klicken Sie auf Einstellungen bearbeiten.. | ||
| 7 | Klicken Sie auf Einstellungen bearbeiten > CD/DVD Laufwerk 1 und wählen Sie Datastore ISO File.
| ||
| 8 | Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 15 Minuten lang keine Alarme vorhanden sind. | ||
| 9 | Wiederholen Sie den Vorgang für jeden Knoten im Standby-Rechenzentrum.
|
Nächste Schritte
(Optional) ISO nach HDS-Konfiguration entmounten
Die Standard-HDS-Konfiguration wird mit der ISO-Montierung ausgeführt. Einige Kunden ziehen es jedoch vor, ISO-Dateien nicht kontinuierlich eingehängt zu lassen. Sie können die ISO-Datei unmounten, nachdem alle HDS-Knoten die neue Konfiguration übernommen haben.
Sie verwenden weiterhin die ISO-Dateien, um Konfigurationsänderungen vorzunehmen. Wenn Sie eine neue ISO erstellen oder eine ISO über das Setup-Tool aktualisieren, müssen Sie die aktualisierte ISO auf allen HDS-Knoten mounten. Nachdem alle Ihre Knoten die Konfigurationsänderungen übernommen haben, können Sie die ISO-Datei mit diesem Verfahren erneut unmounten.
Vorbereitungen
Aktualisieren Sie alle HDS-Knoten auf Version 2021.01.22.4720 oder höher.
| 1 | Fahren Sie einen Ihrer HDS-Knoten herunter. |
| 2 | Wählen Sie in der vCenter Server Appliance den HDS-Knoten aus. |
| 3 | Wählen Sie und Deaktivieren Datastore ISO File . |
| 4 | Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 20 Minuten lang keine Alarme vorhanden sind. |
| 5 | Wiederholen Sie den Vorgang für jeden HDS-Knoten. |
Anzeigen von Warnungen und Fehlerbehebung
Eine Bereitstellung der Hybrid-Datensicherheit gilt als nicht verfügbar, wenn alle Knoten im Cluster nicht erreichbar sind oder der Cluster so langsam arbeitet, dass eine Zeitüberschreitung erforderlich ist. Wenn Benutzer Ihren Hybrid-Datensicherheitscluster nicht erreichen können, treten die folgenden Symptome auf:
Neue Bereiche können nicht erstellt werden (neue Schlüssel können nicht erstellt werden)
Nachrichten und Bereichstitel können nicht entschlüsselt werden für:
Neue Benutzer zu einem Bereich hinzugefügt (Schlüssel können nicht abgerufen werden)
Vorhandene Benutzer in einem Bereich mit einem neuen Client (Schlüssel können nicht abgerufen werden)
Vorhandene Benutzer in einem Bereich werden weiterhin erfolgreich ausgeführt, solange ihre Clients über einen Cache mit den Verschlüsselungsschlüsseln verfügen.
Es ist wichtig, dass Sie Ihren Hybrid-Datensicherheitscluster ordnungsgemäß überwachen und alle Warnungen umgehend beheben, um Dienstunterbrechungen zu vermeiden.
Alerts
Wenn bei der Einrichtung der Hybrid-Datensicherheit ein Problem auftritt, zeigt Control Hub dem Organisationsadministrator Warnungen an und sendet E-Mails an die konfigurierte E-Mail-Adresse. Die Warnungen decken viele gängige Szenarien ab.
Warnung | Aktion |
|---|---|
Fehler beim Zugriff auf die lokale Datenbank. |
Suchen Sie nach Datenbankfehlern oder lokalen Netzwerkproblemen. |
Lokaler Datenbankverbindungsfehler. |
Überprüfen Sie, ob der Datenbankserver verfügbar ist und die richtigen Dienstkonto-Anmeldeinformationen in der Knotenkonfiguration verwendet wurden. |
Fehler beim Zugriff auf den Cloud-Dienst. |
Überprüfen Sie, ob die Knoten wie unter „Externe Konnektivitätsanforderungen“ beschrieben auf die Webex-Server zugreifen können. |
Erneute Registrierung des Cloud-Dienstes. |
Die Registrierung bei Cloud-Diensten wurde aufgehoben. Die Erneuerung der Registrierung läuft. |
Registrierung des Cloud-Dienstes wurde abgebrochen. |
Die Registrierung bei Cloud-Diensten wurde beendet. Der Dienst wird heruntergefahren. |
Dienst noch nicht aktiviert. |
Aktivieren Sie eine Testversion oder schließen Sie die Übertragung der Testversion auf die Produktion ab. |
Die konfigurierte Domäne stimmt nicht mit dem Serverzertifikat überein. |
Stellen Sie sicher, dass Ihr Serverzertifikat mit der konfigurierten Serviceaktivierungsdomäne übereinstimmt. Die wahrscheinlichste Ursache ist, dass der CN des Zertifikats vor Kurzem geändert wurde und sich nun vom CN unterscheidet, der bei der Ersteinrichtung verwendet wurde. |
Authentifizierung bei Cloud-Diensten fehlgeschlagen. |
Überprüfen Sie die Genauigkeit und den möglichen Ablauf der Anmeldeinformationen für das Dienstkonto. |
Lokale Keystore-Datei konnte nicht geöffnet werden. |
Überprüfen Sie die Integrität und Passwortgenauigkeit der lokalen Keystore-Datei. |
Das lokale Serverzertifikat ist ungültig. |
Überprüfen Sie das Ablaufdatum des Serverzertifikats und bestätigen Sie, dass es von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde. |
Metriken können nicht veröffentlicht werden. |
Überprüfen Sie den lokalen Netzwerkzugriff auf externe Cloud-Dienste. |
/media/configdrive/hds Verzeichnis existiert nicht. |
Überprüfen Sie die ISO-Bereitstellungskonfiguration auf dem virtuellen Host. Stellen Sie sicher, dass die ISO-Datei vorhanden ist, dass sie für das Einhängen beim Neustart konfiguriert ist und dass sie erfolgreich eingehängt wird. |
Fehlerbehebung bei Hybrid Data Security
| 1 | Prüfen Sie Control Hub auf alle Warnungen und beheben Sie alle Elemente, die Sie dort finden. |
| 2 | Prüfen Sie die Syslog-Serverausgabe auf die Aktivität aus der Bereitstellung für Hybrid-Datensicherheit. |
| 3 | Kontaktieren Sie den Cisco Support . |
Bekannte Probleme bei der Hybrid-Datensicherheit
Wenn Sie Ihren Hybrid-Datensicherheitscluster herunterfahren (indem Sie ihn in Control Hub löschen oder alle Knoten herunterfahren), Ihre ISO-Konfigurationsdatei verlieren oder den Zugriff auf die Keystore-Datenbank verlieren, können Ihre Webex-App-Benutzer keine Bereiche mehr in ihrer Personenliste verwenden, die mit Schlüsseln aus Ihrem KMS erstellt wurden. Dies gilt sowohl für Test- als auch für Produktionsbereitstellungen. Wir haben derzeit keine Problemumgehung oder Lösung für dieses Problem und bitten Sie dringend, Ihre HDS-Dienste nicht herunterzufahren, sobald sie aktive Benutzerkonten verarbeiten.
Ein Client, der eine vorhandene ECDH-Verbindung zu einer KMS hat, hält diese Verbindung für einen bestimmten Zeitraum (wahrscheinlich eine Stunde) aufrecht. Wenn ein Benutzer Mitglied einer Testversion für Hybrid-Datensicherheit wird, verwendet der Client des Benutzers die vorhandene ECDH-Verbindung weiter, bis die Zeitüberschreitung auftritt. Alternativ kann sich der Benutzer bei der Webex-App abmelden und erneut anmelden, um den Standort zu aktualisieren, den die App für Verschlüsselungsschlüssel kontaktiert.
Dasselbe Verhalten tritt auf, wenn Sie eine Testversion für die Organisation in die Produktion verschieben. Alle Nicht-Testbenutzer mit bestehenden ECDH-Verbindungen zu den vorherigen Datensicherheitsdiensten werden diese Dienste weiterhin nutzen, bis die ECDH-Verbindung neu ausgehandelt wird (durch Zeitüberschreitung oder durch Abmelden und zurück).
Verwenden von OpenSSL zum Generieren einer PKCS12-Datei
Vorbereitungen
OpenSSL ist ein Tool, mit dem die PKCS12-Datei im richtigen Format zum Laden im HDS Setup Tool erstellt werden kann. Es gibt andere Möglichkeiten, dies zu tun, und wir unterstützen oder fördern nicht den einen Weg über den anderen.
Wenn Sie sich für OpenSSL entscheiden, stellen wir Ihnen dieses Verfahren als Richtlinie zur Verfügung, um Ihnen zu helfen, eine Datei zu erstellen, die die X.509-Zertifikatanforderungen in X.509-Zertifikatanforderungen erfüllt. Machen Sie sich mit diesen Anforderungen vertraut, bevor Sie fortfahren.
Installieren Sie OpenSSL in einer unterstützten Umgebung. Siehe https://www.openssl.org für die Software und Dokumentation.
Erstellen Sie einen privaten Schlüssel.
Starten Sie dieses Verfahren, wenn Sie das Serverzertifikat von Ihrer Certificate Authority (CA) erhalten.
| 1 | Wenn Sie das Serverzertifikat von Ihrer CA erhalten, speichern Sie es als |
| 2 | Zeigen Sie das Zertifikat als Text an und überprüfen Sie die Details.
|
| 3 | Verwenden Sie einen Texteditor, um eine Zertifikatspaket-Datei mit dem Namen
|
| 4 | Erstellen Sie die .p12-Datei mit dem freundlichen Namen
|
| 5 | Überprüfen Sie die Details des Serverzertifikats. |
Nächste Schritte
Zurück zu Vervollständigen der Voraussetzungen für Hybrid-Datensicherheit . Sie werden die hdsnode.p12 Datei und das Kennwort, das Sie dafür festgelegt haben, unter Erstellen einer Konfigurations-ISO für die HDS-Hosts .
| Sie können diese Dateien wiederverwenden, um ein neues Zertifikat anzufordern, wenn das ursprüngliche Zertifikat abläuft. |
Datenverkehr zwischen den HDS-Knoten und der Cloud
Datenverkehr bei Sammlung ausgehender Metriken
Die Hybrid-Datensicherheitsknoten senden bestimmte Metriken an die Webex-Cloud. Dazu gehören Systemmetriken für Heap max, Heap verwendet, CPU-Auslastung und Thread-Anzahl; Metriken zu synchronen und asynchronen Threads; Metriken zu Warnungen, die einen Schwellenwert für Verschlüsselungsverbindungen, Latenz oder eine Länge der Anforderungswarteschlange umfassen; Metriken zum Datenspeicher und Verschlüsselungsverbindungsmetriken. Die Knoten senden verschlüsseltes Schlüsselmaterial über einen Out-of-Band-Kanal (getrennt von der Anforderung).
Eingehender Verkehr
Die Hybrid-Datensicherheitsknoten erhalten die folgenden Arten von eingehendem Datenverkehr aus der Webex-Cloud:
Verschlüsselungsanfragen von Clients, die vom Verschlüsselungsdienst weitergeleitet werden
Upgrades auf die Knotensoftware
Squid-Proxys für Hybrid Data Security konfigurieren
Websocket kann keine Verbindung über Squid Proxy herstellen
Squid-Proxys, die HTTPS-Datenverkehr prüfen, können die Einrichtung von Websocket beeinträchtigen ( wss:) Verbindungen, die für die Hybrid-Datensicherheit erforderlich sind. In diesen Abschnitten finden Sie eine Anleitung, wie Sie verschiedene Versionen von Squid so konfigurieren, dass sie ignoriert werden. wss: Verkehr für den ordnungsgemäßen Betrieb der Dienste.
Tintenfisch 4 und 5
Fügen Sie die on_unsupported_protocol Direktive zu squid.conf:
on_unsupported_protocol tunnel allTintenfisch 3.5.27
Wir haben die Hybrid-Datensicherheit erfolgreich getestet und die folgenden Regeln hinzugefügt: squid.conf. Diese Regeln können sich bei der Entwicklung von Funktionen und der Aktualisierung der Webex-Cloud ändern.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allNeue und geänderte Informationen
Datum | Vorgenommene Änderungen | ||
|---|---|---|---|
20. Oktober 2023 |
| ||
07. August 2023 |
| ||
Dienstag, 23. Mai 2023 |
| ||
06. Dezember 2022 |
| ||
23. November 2022 |
| ||
Freitag, 13. Oktober 2021 | Docker Desktop muss ein Setup-Programm ausführen, bevor Sie HDS-Knoten installieren können. Siehe Docker Desktop-Anforderungen . | ||
Freitag, 24. Juni 2021 | Beachten Sie, dass Sie die Datei mit dem privaten Schlüssel und den CSR wiederverwenden können, um ein anderes Zertifikat anzufordern. Weitere Informationen finden Sie unter Verwenden von OpenSSL zum Generieren einer PKCS12-Datei . | ||
| 30. April 2021 | Die VM-Anforderung für lokalen Festplattenspeicher wurde auf 30 GB geändert. Weitere Informationen finden Sie unter „Anforderungen für virtuelle Gastgeber“. | ||
Mittwoch, 24. Februar 2021 | Das HDS Setup Tool kann jetzt hinter einem Proxy ausgeführt werden. Weitere Informationen finden Sie unter Erstellen einer Konfigurations-ISO für die HDS-Hosts . | ||
2. Februar 2021 | HDS kann jetzt ohne gemountete ISO-Datei ausgeführt werden. Weitere Informationen finden Sie unter (Optional) ISO nach HDS-Konfiguration abmontieren . | ||
11. Januar 2021 | Informationen zum HDS Setup-Tool und zu Proxys hinzugefügt Erstellen einer Konfigurations-ISO für die HDS-Hosts . | ||
Freitag, 13. Oktober 2020 | Aktualisiert Installationsdateien herunterladen . | ||
8. Oktober 2020 | Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts und Ändern Sie die Knotenkonfiguration mit Befehlen für FedRAMP-Umgebungen. | ||
Freitag, 14. August 2020 | Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts und Ändern Sie die Knotenkonfiguration mit Änderungen am Anmeldeprozess. | ||
Mittwoch, 5. August 2020 | Aktualisiert Testen Sie Ihre Hybrid-Datensicherheitsbereitstellung auf Änderungen in Protokollnachrichten. Aktualisiert Anforderungen für virtuelle Gastgeber , um die maximale Anzahl an Hosts zu entfernen. | ||
Dienstag, 16. Juni 2020 | Aktualisiert Entfernen eines Knotens für Änderungen in der Control Hub-Benutzeroberfläche. | ||
Donnerstag, 4. Juni 2020 | Aktualisiert Erstellen Sie ein Konfigurations-ISO für die HDS-Hosts für Änderungen in den erweiterten Einstellungen, die Sie möglicherweise festlegen. | ||
Freitag, 29. Mai 2020 | Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts , um anzuzeigen, dass Sie TLS auch mit SQL Server-Datenbanken, UI-Änderungen und anderen Klarstellungen verwenden können. | ||
Dienstag, 5. Mai 2020 | Aktualisiert Anforderungen für virtuelle Gastgeber um neue Anforderungen für ESXi 6.5 anzuzeigen. | ||
21. April 2020 | Aktualisiert Externe Konnektivitätsanforderungen mit neuen CI-Hosts für Amerika. | ||
1. April 2020 | Aktualisiert Externe Konnektivitätsanforderungen mit Informationen zu regionalen CI-Hosts. | ||
| 20. Februar 2020 | Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts mit Informationen zum neuen optionalen Bildschirm Erweiterte Einstellungen im HDS-Setup-Tool. | ||
| 4. Februar 2020 | Aktualisierte Anforderungen für Proxyserver . | ||
| 16. Dezember 2019 | Die Anforderung, dass der blockierte externe DNS-Auflösungsmodus unter „ Proxyserveranforderungen“ funktioniert, wurde klargestellt . | ||
| Dienstag, 19. November 2019 | Informationen zum blockierten externen DNS-Auflösungsmodus wurden in den folgenden Abschnitten hinzugefügt: | ||
Dienstag, 8. November 2019 | Sie können jetzt die Netzwerkeinstellungen für einen Knoten konfigurieren, während Sie die OVA bereitstellen, und nicht erst danach. Die folgenden Abschnitte wurden entsprechend aktualisiert:
| ||
6. September 2019 | SQL Server Standard zu Datenbankserveranforderungen . | ||
| 29. August 2019 | Hinzugefügt Konfigurieren von Squid-Proxys für Hybrid Data Security Anhang mit Anleitung zum Konfigurieren von Squid-Proxys zum Ignorieren von Websocket-Datenverkehr für den ordnungsgemäßen Betrieb. | ||
| Donnerstag, 20. August 2019 | Abschnitte hinzugefügt und aktualisiert, um die Proxy-Unterstützung für die Kommunikation von hybriden Datensicherheitsknoten mit der Webex-Cloud abzudecken. Informationen zum Zugriff auf den Inhalt der Proxy-Unterstützung für eine vorhandene Bereitstellung finden Sie im Hilfeartikel Proxy-Unterstützung für Hybrid Data Security und Webex-Videonetz . | ||
| Freitag, 13. Juni 2019 | Aktualisiert Ablauf der Testversion zur Produktionsaufgabe mit einer Erinnerung zur Synchronisierung der HdsTrialGroup gruppieren Sie ein Objekt, bevor Sie einen Test starten, wenn Ihre Organisation die Verzeichnissynchronisierung verwendet. | ||
| Freitag, 6. März 2019 |
| ||
| Dienstag, 28. Februar 2019 |
| ||
| 26. Februar 2019 |
| ||
24. Januar 2019 |
| ||
| 5. November 2018 |
| ||
| Dienstag, 19. Oktober 2018 |
| ||
31. Juli 2018 |
| ||
| 21. Mai 2018 | Terminologie geändert, um das Rebranding von Cisco Spark widerzuspiegeln:
| ||
| Dienstag, 11. April 2018 |
| ||
| 22. Februar 2018 |
| ||
| Donnerstag, 15. Februar 2018 |
| ||
| Donnerstag, 18. Januar 2018 |
| ||
2. November 2017 |
| ||
Freitag, 18. August 2017 | Erste Veröffentlichung |
Übersicht über die Hybrid-Datensicherheit
Von Anfang an stand bei der Entwicklung der Webex App die Datensicherheit im Vordergrund. Eckpfeiler dieser Sicherheit ist die durchgängige Verschlüsselung von Inhalten, die durch Webex-App-Clients ermöglicht wird, die mit dem Schlüsselverwaltungsdienst (KMS) interagieren. Der KMS erstellt und verwaltet die Kryptografieschlüssel, mit denen die Clients ihre Nachrichten und Dateien dynamisch ver- und entschlüsseln.
Standardmäßig erhalten alle Webex-App-Kunden eine durchgängige Verschlüsselung mit dynamischen Schlüsseln, die im Cloud-KMS im Sicherheitsbereich von Cisco gespeichert sind. Mit Hybrid Data Security werden KMS und andere Sicherheitsfunktionen in das Rechenzentrum Ihres Unternehmens verschoben, damit die Schlüssel zu ihren verschlüsselten Inhalten ausschließlich bei Ihnen liegen.
Sicherheitsbereichsarchitektur
Die Webex Cloud-Architektur trennt verschiedene Servicetypen in separate Bereiche oder Vertrauensdomänen, wie unten dargestellt.
Um die Hybrid-Datensicherheit weiter zu verstehen, werfen wir einen Blick auf diesen reinen Cloud-Fall, in dem Cisco alle Funktionen in seinen Cloud-Bereichen bereitstellt. Der Identitätsdienst, der einzige Ort, an dem Benutzer direkt mit ihren persönlichen Informationen wie E-Mail-Adresse korreliert werden können, ist logisch und physisch getrennt vom Sicherheitsbereich im Rechenzentrum B. Beide sind wiederum getrennt vom Bereich, in dem letztlich verschlüsselte Inhalte gespeichert werden, im Rechenzentrum C.
In diesem Diagramm ist der Client die Webex-App, die auf dem Laptop eines Benutzers ausgeführt wird und sich beim Identitätsdienst authentifiziert hat. Wenn der Benutzer eine Nachricht erstellt, die an einen Bereich gesendet werden soll, werden die folgenden Schritte ausgeführt:
Der Client stellt eine sichere Verbindung mit dem Schlüsselverwaltungsdienst (KMS) her und fordert dann einen Schlüssel zum Verschlüsseln der Nachricht an. Die sichere Verbindung verwendet ECDH, und das KMS verschlüsselt den Schlüssel mit einem AES-256-Master-Schlüssel.
Die Nachricht wird verschlüsselt, bevor sie den Client verlässt. Der Client sendet es an den Indexierungsdienst, der verschlüsselte Suchindizes erstellt, die bei der zukünftigen Suche nach den Inhalten helfen.
Die verschlüsselte Nachricht wird für Compliance-Prüfungen an den Compliance-Dienst gesendet.
Die verschlüsselte Nachricht wird im Speicherbereich gespeichert.
Wenn Sie Hybrid Data Security bereitstellen, verschieben Sie die Sicherheitsbereichsfunktionen (KMS, Indizierung und Compliance) in Ihr lokales Rechenzentrum. Die anderen Cloud-Dienste, aus denen Webex besteht (einschließlich Identitäts- und Inhaltsspeicher), verbleiben in den Bereichen von Cisco.
Zusammenarbeit mit anderen Organisationen
Benutzer in Ihrer Organisation verwenden möglicherweise regelmäßig die Webex-App, um mit externen Teilnehmern in anderen Organisationen zusammenzuarbeiten. Wenn einer Ihrer Benutzer einen Schlüssel für einen Bereich anfordert, der zu Ihrer Organisation gehört (da er von einem Ihrer Benutzer erstellt wurde), sendet KMS den Schlüssel über einen ECDH-sicheren Kanal an den Client. Wenn jedoch eine andere Organisation den Schlüssel für den Bereich besitzt, leitet Ihre KMS die Anforderung über einen separaten ECDH-Kanal an die Webex-Cloud weiter, um den Schlüssel von der entsprechenden KMS zu erhalten, und gibt den Schlüssel dann an Ihren Benutzer im ursprünglichen Kanal zurück.
Der auf Org A ausgeführte KMS-Dienst validiert die Verbindungen zu KMSs in anderen Organisationen mit x.509 PKI-Zertifikaten. Siehe Umgebung vorbereiten für Details zur Generierung eines x.509-Zertifikats für Ihre Hybrid-Datensicherheitsbereitstellung.
Erwartungen an die Bereitstellung der Hybrid-Datensicherheit
Eine Bereitstellung von Hybrid-Datensicherheit erfordert erhebliches Kundenengagement und ein Bewusstsein für die Risiken, die sich aus dem Besitz von Verschlüsselungscodes ergeben.
Um die Hybrid-Datensicherheit bereitzustellen, müssen Sie Folgendes bereitstellen:
Ein sicheres Rechenzentrum in einem Land, das ein unterstützter Standort für die Cisco Webex Teams-Pläne ist.
Die Geräte, Software und der Netzwerkzugriff werden unter „Umgebung vorbereiten“ beschrieben.
Der vollständige Verlust der Konfigurations-ISO, die Sie für Hybrid Data Security erstellen, oder der von Ihnen bereitgestellten Datenbank führt zum Verlust der Schlüssel. Der Schlüsselverlust verhindert, dass Benutzer Bereichsinhalte und andere verschlüsselte Daten in der Webex-App entschlüsseln. In diesem Fall können Sie eine neue Bereitstellung erstellen, aber nur neue Inhalte werden angezeigt. Um den Verlust des Zugriffs auf Daten zu vermeiden, müssen Sie:
Verwalten Sie die Sicherung und Wiederherstellung der Datenbank und der ISO-Konfiguration.
Bereiten Sie sich auf eine schnelle Notfallwiederherstellung vor, wenn eine Katastrophe auftritt, z. B. ein Datenbankfestplattenausfall oder eine Datencenter-Katastrophe.
| Es gibt keinen Mechanismus, um Schlüssel nach einer HDS-Bereitstellung zurück in die Cloud zu verschieben. |
Hochrangiger Einrichtungsprozess
Dieses Dokument behandelt die Einrichtung und Verwaltung einer Bereitstellung für Hybrid-Datensicherheit:
Hybrid-Datensicherheit einrichten – Dazu gehören die Vorbereitung der erforderlichen Infrastruktur und die Installation der Hybrid-Datensicherheitssoftware, das Testen Ihrer Bereitstellung mit einer Teilmenge von Benutzern im Testmodus und die Umstellung auf die Produktion, sobald die Tests abgeschlossen sind. Dadurch wird die gesamte Organisation konvertiert, um Ihren Hybrid-Datensicherheitscluster für Sicherheitsfunktionen zu verwenden.
Die Einrichtungs-, Test- und Produktionsphasen werden in den nächsten drei Kapiteln ausführlich behandelt.
Bereitstellen der Hybrid-Datensicherheit aufrechterhalten – Die Webex-Cloud stellt automatisch laufende Upgrades bereit. Ihre IT-Abteilung kann diese Bereitstellung mit Unterstützung der Stufe eins unterstützen und bei Bedarf den Cisco-Support einbeziehen. Sie können Benachrichtigungen auf dem Bildschirm verwenden und E-Mail-basierte Warnungen in Control Hub einrichten.
Allgemeine Warnungen, Schritte zur Fehlerbehebung und bekannte Probleme – Wenn bei der Bereitstellung oder Verwendung von Hybrid Data Security Probleme auftreten, können Sie das letzte Kapitel dieses Handbuchs und der Anhang „Bekannte Probleme“ bei der Bestimmung und Behebung des Problems helfen.
Bereitstellungsmodell für Hybrid-Datensicherheit
Im Rechenzentrum Ihres Unternehmens stellen Sie die Hybrid-Datensicherheit als ein einzelnes Cluster von Knoten auf separaten virtuellen Hosts bereit. Die Knoten kommunizieren über sichere Websockets und sicheres HTTP mit der Webex-Cloud.
Während der Installation stellen wir Ihnen die OVA-Datei zur Verfügung, um die virtuelle Appliance auf den von Ihnen bereitgestellten VMs einzurichten. Mit dem HDS-Setup-Tool können Sie eine benutzerdefinierte ISO-Datei für die Clusterkonfiguration erstellen, die Sie auf jedem Knoten mounten. Der Hybrid-Datensicherheitscluster verwendet Ihren bereitgestellten Syslogd-Server und die PostgreSQL- oder Microsoft SQL Server-Datenbank. (Sie konfigurieren die Syslogd- und Datenbankverbindungsdetails im HDS Setup Tool.)
Die Mindestanzahl an Knoten, die Sie in einem Cluster haben können, beträgt zwei. Wir empfehlen mindestens drei und Sie können bis zu fünf haben. Wenn Sie mehrere Knoten haben, wird sichergestellt, dass der Dienst während eines Software-Upgrades oder einer anderen Wartungsaktivität auf einem Knoten nicht unterbrochen wird. (Die Webex-Cloud aktualisiert nur jeweils einen Knoten.)
Alle Knoten in einem Cluster greifen auf denselben Schlüsseldatastore zu und protokollieren die Aktivität mit demselben Syslog-Server. Die Knoten selbst sind staatenlos und bearbeiten wichtige Anfragen in Round-Robin-Manier, wie von der Cloud geleitet.
Knoten werden aktiv, wenn Sie sie in Control Hub registrieren. Um einen einzelnen Knoten außer Betrieb zu nehmen, können Sie die Registrierung aufheben und ihn bei Bedarf später erneut registrieren.
Wir unterstützen nur ein einzelnes Cluster pro Organisation.
Testmodus für Hybrid-Datensicherheit
Nachdem Sie eine Bereitstellung für Hybrid-Datensicherheit eingerichtet haben, versuchen Sie es zunächst mit einer Reihe von Pilotbenutzern. Während des Testzeitraums verwenden diese Benutzer Ihre lokale Hybrid-Datensicherheitsdomäne für Verschlüsselungscodes und andere Dienste des Sicherheitsbereichs. Ihre anderen Benutzer verwenden weiterhin den Cloud-Sicherheitsbereich.
Wenn Sie die Bereitstellung während des Testzeitraums nicht fortsetzen und den Dienst deaktivieren möchten, verlieren die Pilotbenutzer und alle Benutzer, mit denen sie während des Testzeitraums interagiert haben, den Zugriff auf die Nachrichten und Inhalte. Ihnen wird in der Webex-App „Diese Nachricht kann nicht entschlüsselt werden“ angezeigt.
Wenn Sie überzeugt sind, dass Ihre Bereitstellung für die Testbenutzer gut funktioniert und Sie bereit sind, die Hybrid-Datensicherheit auf alle Ihre Benutzer auszuweiten, verschieben Sie die Bereitstellung in die Produktion. Pilotbenutzer haben weiterhin Zugriff auf die Schlüssel, die während der Testphase verwendet wurden. Sie können jedoch nicht zwischen dem Produktionsmodus und der ursprünglichen Testversion hin- und herwechseln. Wenn Sie den Dienst deaktivieren müssen, um z. B. eine Notfallwiederherstellung durchzuführen, müssen Sie bei der erneuten Aktivierung einen neuen Test starten und die Anzahl der Pilotbenutzer für den neuen Test einrichten, bevor Sie in den Produktionsmodus zurückkehren. Ob die Benutzer zu diesem Zeitpunkt weiterhin Zugriff auf Daten haben, hängt davon ab, ob Sie Backups des Schlüsseldatenspeichers und der ISO-Konfigurationsdatei für die Hybrid-Datensicherheitsknoten in Ihrem Cluster erfolgreich durchgeführt haben.
Standby-Rechenzentrum für die Notfallwiederherstellung
Während der Bereitstellung richten Sie ein sicheres Standby-Rechenzentrum ein. Im Falle eines Rechenzentrums-Desasters können Sie Ihre Bereitstellung manuell auf das Standby-Rechenzentrum umlegen.
Die Datenbanken der aktiven und Standby-Rechenzentren sind miteinander synchronisiert, wodurch die Zeit für die Durchführung des Failovers minimiert wird. Die ISO-Datei des Standby-Rechenzentrums wird mit zusätzlichen Konfigurationen aktualisiert, die sicherstellen, dass die Knoten in der Organisation registriert sind, aber keinen Datenverkehr verarbeiten. Daher bleiben die Knoten des Standby-Rechenzentrums immer auf dem neuesten Stand mit der neuesten Version der HDS-Software.
| Die aktiven Hybrid-Datensicherheitsknoten müssen sich immer im selben Rechenzentrum wie der aktive Datenbankserver befinden. |
Standby-Rechenzentrum für die Notfallwiederherstellung einrichten
Führen Sie die folgenden Schritte aus, um die ISO-Datei des Standby-Rechenzentrums zu konfigurieren:
Vorbereitungen
Das Standby-Rechenzentrum sollte die Produktionsumgebung von VMs und eine Backup-PostgreSQL- oder Microsoft SQL Server-Datenbank spiegeln. Wenn die Produktion beispielsweise über 3 VMs verfügt, auf denen HDS-Knoten ausgeführt werden, sollte die Backup-Umgebung über 3 VMs verfügen. (Siehe Standby Data Center for Disaster Recovery für eine Übersicht über dieses Failover-Modell.)
Stellen Sie sicher, dass die Datenbanksynchronisierung zwischen der Datenbank aktiver und passiver Cluster-Knoten aktiviert ist.
| 1 | Starten Sie das HDS-Setup-Tool und befolgen Sie die unter Erstellen einer Konfigurations-ISO für die HDS-Hosts genannten Schritte.
| ||
| 2 | Klicken Sie nach der Konfiguration des Syslogd-Servers auf Erweiterte Einstellungen | ||
| 3 | Fügen Sie auf der Seite Erweiterte Einstellungen unten die Konfiguration hinzu, um den Knoten im passiven Modus zu platzieren. In diesem Modus wird der Knoten in der Organisation registriert und mit der Cloud verbunden, verarbeitet jedoch keinen Datenverkehr.
| ||
| 4 | Schließen Sie den Konfigurationsvorgang ab und speichern Sie die ISO-Datei an einem leicht zu findenden Speicherort. | ||
| 5 | Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Halten Sie die Sicherungskopie sicher. Diese Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff nur auf Hybrid-Datensicherheitsadministratoren, die Konfigurationsänderungen vornehmen sollten. | ||
| 6 | Klicken Sie im linken Navigationsbereich des VMware vSphere-Clients mit der rechten Maustaste auf die VM und klicken Sie auf Einstellungen bearbeiten.. | ||
| 7 | Klicken Sie auf Einstellungen bearbeiten > CD/DVD Laufwerk 1 und wählen Sie Datastore ISO File.
| ||
| 8 | Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 15 Minuten lang keine Alarme vorhanden sind. | ||
| 9 | Wiederholen Sie den Vorgang für jeden Knoten im Standby-Rechenzentrum.
|
Nächste Schritte
Nach der Konfiguration passiveMode in der ISO-Datei zu speichern, können Sie eine andere Kopie der ISO-Datei ohne die passiveMode konfigurieren und an einem sicheren Speicherort speichern. Diese Kopie der ISO-Datei ohne passiveMode konfiguriert kann bei einem schnellen Failover-Prozess während der Notfallwiederherstellung helfen. Siehe Notfallwiederherstellung mit Standby-Rechenzentrum für das detaillierte Failover-Verfahren.
Proxyunterstützung
Hybrid Data Security unterstützt explizite, transparente Inspektion und Nicht-Inspektion von Proxys. Sie können diese Proxys mit Ihrer Bereitstellung verknüpfen, sodass Sie den Datenverkehr vom Unternehmen in die Cloud absichern und überwachen können. Sie können eine Plattform-Administrationsoberfläche auf den Knoten für die Zertifikatverwaltung und zum Überprüfen des Gesamtverbindungsstatus verwenden, nachdem Sie den Proxy auf den Knoten eingerichtet haben.
Die Hybrid-Datensicherheitsknoten unterstützen die folgenden Proxy-Optionen:
Kein Proxy – Der Standard, wenn Sie nicht die HDS-Knoteneinrichtung Trust Store- und Proxy-Konfiguration verwenden, um einen Proxy zu integrieren. Es ist keine Zertifikataktualisierung erforderlich.
Transparenter Proxy ohne Prüfung – Die Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert und erfordern keine Änderungen, damit sie mit einem Proxy ohne Prüfung funktionieren. Es ist keine Zertifikataktualisierung erforderlich.
Transparentes Tunneln oder Prüfen des Proxy – Die Knoten sind nicht so konfiguriert, dass sie eine bestimmte Proxyserver-Adresse verwenden. Auf den Knoten sind keine HTTP- oder HTTPS-Konfigurationsänderungen erforderlich. Die Knoten benötigen jedoch ein Stammzertifikat, damit sie dem Proxy vertrauen können. In der Regel werden Proxys von der IT verwendet, um Richtlinien durchzusetzen, auf denen Websites besucht werden können und welche Arten von Inhalten nicht zulässig sind. Dieser Proxy-Typ entschlüsselt Ihren gesamten Datenverkehr (auch HTTPS).
Expliziter Proxy – Mit explizitem Proxy teilen Sie den HDS-Knoten mit, welchen Proxyserver und welches Authentifizierungsschema verwendet werden soll. Um einen expliziten Proxy zu konfigurieren, müssen Sie auf jedem Knoten die folgenden Informationen eingeben:
Proxy-IP/FQDN : Adresse, die zum Erreichen der Proxymaschine verwendet werden kann.
Proxy-Port : Eine Portnummer, die der Proxy für die Überwachung des Proxyverkehrs verwendet.
Proxy-Protokoll : Je nachdem, was Ihr Proxy-Server unterstützt, wählen Sie zwischen den folgenden Protokollen:
HTTP – Zeigt alle vom Client gesendeten Anfragen an und steuert sie.
HTTPS: Stellt dem Server einen Kanal zur Verfügung. Der Client empfängt und validiert das Zertifikat des Servers.
Authentifizierungstyp : Wählen Sie einen der folgenden Authentifizierungstypen aus:
Keine : Es ist keine weitere Authentifizierung erforderlich.
Verfügbar, wenn Sie HTTP oder HTTPS als Proxy-Protokoll auswählen.
Basic – Wird für einen HTTP-Benutzeragenten verwendet, um bei einer Anforderung einen Benutzernamen und ein Kennwort anzugeben. Verwendet Base64-Codierung.
Verfügbar, wenn Sie HTTP oder HTTPS als Proxy-Protokoll auswählen.
Erfordert die Eingabe des Benutzernamens und des Kennworts auf den einzelnen Knoten.
Ziffer : Wird verwendet, um das Konto zu bestätigen, bevor sensible Informationen gesendet werden. Wendet eine Hash-Funktion auf den Benutzernamen und das Kennwort an, bevor sie über das Netzwerk gesendet werden.
Nur verfügbar, wenn Sie HTTPS als Proxy-Protokoll auswählen.
Erfordert die Eingabe des Benutzernamens und des Kennworts auf den einzelnen Knoten.
Beispiel für hybride Datensicherheitsknoten und Proxy
Dieses Diagramm zeigt eine Beispielverbindung zwischen der Hybrid-Datensicherheit, dem Netzwerk und einem Proxy. Für die transparenten Inspektions- und HTTPS-Optionen zur expliziten Inspektion von Proxy muss dasselbe Stammzertifikat auf dem Proxy und auf den Hybrid-Datensicherheitsknoten installiert sein.
Blockierter externer DNS-Auflösungsmodus (Explizite Proxykonfigurationen)
Wenn Sie einen Knoten registrieren oder die Proxy-Konfiguration des Knotens überprüfen, testet der Prozess die DNS-Suche und die Konnektivität mit der Cisco Webex-Cloud. In Bereitstellungen mit expliziten Proxy-Konfigurationen, die keine externe DNS-Auflösung für interne Clients zulassen, wechselt der Knoten automatisch in den Modus für blockierte externe DNS-Auflösung, wenn er die DNS-Server nicht abfragen kann. In diesem Modus können die Knotenregistrierung und andere Proxy-Verbindungstests fortgesetzt werden.
Anforderungen an die Hybrid-Datensicherheit
Cisco Webex-Lizenzanforderungen
So stellen Sie die Hybrid-Datensicherheit bereit:
Sie müssen über Pro Pack für Cisco Webex Control Hub verfügen. (Siehe https://www.cisco.com/go/pro-pack.)
Docker Desktop-Anforderungen
Bevor Sie Ihre HDS-Knoten installieren, benötigen Sie Docker Desktop, um ein Setup-Programm auszuführen. Docker hat kürzlich sein Lizenzierungsmodell aktualisiert. Möglicherweise benötigt Ihre Organisation ein kostenpflichtiges Abonnement für Docker Desktop. Weitere Informationen finden Sie im Docker-Blogbeitrag " Docker aktualisiert und erweitert unsere Produktabonnements ".
X.509-Zertifikatanforderungen
Die Zertifikatskette muss die folgenden Anforderungen erfüllen:
Anforderung | Details |
|---|---|
| Standardmäßig vertrauen wir den CAs in der Mozilla-Liste (mit Ausnahme von WoSign und StartCom) auf https://wiki.mozilla.org/CA:IncludedCAs. |
| Der CN muss nicht erreichbar sein oder ein Live-Host sein. Wir empfehlen Ihnen beispielsweise, einen Namen zu verwenden, der Ihre Organisation widerspiegelt. Der CN darf kein * (Platzhalter) enthalten. Der CN wird verwendet, um die Hybrid-Datensicherheitsknoten für Webex-App-Clients zu verifizieren. Alle Hybrid-Datensicherheitsknoten in Ihrem Cluster verwenden dasselbe Zertifikat. Ihr KMS identifiziert sich mit der CN-Domäne, nicht mit einer Domäne, die in den SAN-Feldern x.509v3 definiert ist. Sobald Sie einen Knoten mit diesem Zertifikat registriert haben, wird das Ändern des CN-Domänennamens nicht unterstützt. Wählen Sie eine Domäne aus, die sowohl für Test- als auch für Produktionsbereitstellungen gelten kann. |
| Die KMS-Software unterstützt keine SHA1-Signaturen für die Überprüfung von Verbindungen zu KMSs anderer Organisationen. |
| Sie können einen Konverter wie OpenSSL verwenden, um das Format Ihres Zertifikats zu ändern. Sie müssen das Kennwort eingeben, wenn Sie das HDS-Setup-Tool ausführen. |
Die KMS-Software erzwingt keine Schlüsselnutzung oder erweiterte Schlüsselnutzungsbeschränkungen. Einige Zertifizierungsstellen verlangen, dass für jedes Zertifikat erweiterte Nutzungsbeschränkungen gelten, z. B. Serverauthentifizierung. Es ist in Ordnung, die Server-Authentifizierung oder andere Einstellungen zu verwenden.
Anforderungen an virtuelle Gastgeber
Die virtuellen Hosts, die Sie als Hybrid-Datensicherheitsknoten in Ihrem Cluster einrichten, haben die folgenden Anforderungen:
Mindestens zwei separate Hosts (3 empfohlen) in demselben sicheren Rechenzentrum
VMware ESXi 6.5 (oder höher) installiert und ausgeführt.
Sie müssen ein Upgrade durchführen, wenn Sie über eine frühere ESXi-Version verfügen.
Mindestens 4 vCPUs, 8 GB Hauptspeicher, 30 GB lokaler Festplattenspeicher pro Server
Anforderungen des Datenbankservers
| Erstellen Sie eine neue Datenbank für den Schlüsselspeicher. Verwenden Sie nicht die Standarddatenbank. Wenn die HDS-Anwendungen installiert sind, erstellen Sie das Datenbankschema. |
Es gibt zwei Optionen für den Datenbankserver. Die Anforderungen für die einzelnen sind wie folgt:
PostgreSQL | Microsoft SQL-Server | ||
|---|---|---|---|
|
| ||
Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichender Festplattenspeicher und Überwachung, um sicherzustellen, dass er nicht überschritten wird (2 TB empfohlen, wenn Sie die Datenbank für längere Zeit ausführen möchten, ohne den Speicher erhöhen zu müssen) | Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichender Festplattenspeicher und Überwachung, um sicherzustellen, dass er nicht überschritten wird (2 TB empfohlen, wenn Sie die Datenbank für längere Zeit ausführen möchten, ohne den Speicher erhöhen zu müssen) |
Die HDS-Software installiert derzeit folgende Treiberversionen für die Kommunikation mit dem Datenbankserver:
PostgreSQL | Microsoft SQL-Server |
|---|---|
Postgres JDBC-Treiber 42.2.5 | SQL Server JDBC-Treiber 4.6 Diese Treiberversion unterstützt SQL Server Always On ( Always On Failover Cluster Instances und Always On Availability Groups ). |
Zusätzliche Anforderungen für die Windows-Authentifizierung gegen Microsoft SQL Server
Wenn Sie möchten, dass HDS-Knoten die Windows-Authentifizierung verwenden, um Zugriff auf Ihre Keystore-Datenbank auf Microsoft SQL Server zu erhalten, benötigen Sie die folgende Konfiguration in Ihrer Umgebung:
Die HDS-Knoten, die Active Directory-Infrastruktur und der MS SQL Server müssen mit NTP synchronisiert werden.
Das Windows-Konto, das Sie HDS-Knoten zur Verfügung stellen, muss Lese-/Schreibzugriff auf die Datenbank haben.
Die DNS-Server, die Sie den HDS-Knoten bereitstellen, müssen Ihr Key Distribution Center (KDC) auflösen können.
Sie können die HDS-Datenbankinstanz auf Ihrem Microsoft SQL Server als Service Principal Name (SPN) in Ihrem Active Directory registrieren. Siehe Einen Service Principal Name für Kerberos Connections registrieren .
Das HDS-Setup-Tool, der HDS-Launcher und lokale KMS müssen alle die Windows-Authentifizierung verwenden, um auf die Keystore-Datenbank zuzugreifen. Sie verwenden die Details aus Ihrer ISO-Konfiguration, um den SPN zu konstruieren, wenn sie den Zugriff mit Kerberos-Authentifizierung anfordern.
Anforderungen an externe Konnektivität
Konfigurieren Sie Ihre Firewall so, dass die folgende Konnektivität für die HDS-Anwendungen zulässig ist:
Anwendung | Protokoll | Port | Richtung aus der App | Ziel |
|---|---|---|---|---|
Hybrid-Datensicherheitsknoten | TCP | 443 | Ausgehende HTTPS und WSS |
|
HDS-Setup-Tool | TCP | 443 | Ausgehende HTTPS |
|
| Die Hybrid-Datensicherheitsknoten funktionieren mit NAT (Network Access Translation) oder hinter einer Firewall, sofern die NAT oder Firewall die erforderlichen ausgehenden Verbindungen zu den Domänenzielen in der vorangehenden Tabelle zulässt. Bei eingehenden Verbindungen zu den Hybrid-Datensicherheitsknoten sollten keine Ports aus dem Internet sichtbar sein. Innerhalb Ihres Rechenzentrums benötigen Clients für administrative Zwecke Zugriff auf die Hybrid-Datensicherheitsknoten an den TCP-Ports 443 und 22. |
Die URLs für die Common Identity (CI)-Hosts sind regionsspezifisch. Dies sind die aktuellen CI-Hosts:
Region | Gastgeber-URLs der gemeinsamen Benutzeridentität |
|---|---|
Nord- und Südamerika |
|
Europäische Union |
|
Kanada |
|
Proxyserver-Anforderungen
Wir unterstützen offiziell die folgenden Proxy-Lösungen, die in Ihre hybriden Datensicherheitsknoten integriert werden können.
Transparenter Proxy: Cisco Web Security Appliance (WSA).
Expliziter Proxy: Squid.
Squid-Proxys, die HTTPS-Datenverkehr prüfen, können die Einrichtung von Websocket beeinträchtigen (wss:) Verbindungen. Informationen zur Behebung dieses Problems finden Sie unter Konfigurieren von Squid-Proxys für Hybrid Data Security .
Wir unterstützen die folgenden Authentifizierungstyp-Kombinationen für explizite Proxys:
Keine Authentifizierung mit HTTP oder HTTPS
Basisauthentifizierung mit HTTP oder HTTPS
Digest-Authentifizierung nur mit HTTPS
Für einen transparenten Prüfproxy oder einen expliziten HTTPS-Proxy müssen Sie über eine Kopie des Stammzertifikats des Proxys verfügen. In den Bereitstellungsanweisungen in diesem Handbuch erfahren Sie, wie Sie die Kopie in die Vertrauensspeicher der Hybrid-Datensicherheitsknoten hochladen.
Das Netzwerk, das die HDS-Knoten hostet, muss so konfiguriert werden, dass ausgehender TCP-Datenverkehr auf Port 443 zur Weiterleitung durch den Proxy erzwungen wird.
Proxys, die den Webdatenverkehr prüfen, können Websocket-Verbindungen beeinträchtigen. Wenn dieses Problem auftritt, den Datenverkehr umgehen (nicht kontrollieren) zu
wbx2.comundciscospark.comwird das Problem lösen.
Vervollständigen der Voraussetzungen für die Hybrid-Datensicherheit
| 1 | Stellen Sie sicher, dass Ihre Webex-Organisation für Pro Pack für Cisco Webex Control Hub aktiviert ist, und erhalten Sie die Anmeldeinformationen eines Kontos mit vollständigen Administratorrechten für die Organisation. Wenden Sie sich an Ihren Cisco-Partner oder Account Manager, um Hilfe bei diesem Vorgang zu erhalten. | ||
| 2 | Wählen Sie einen Domänennamen für Ihre HDS-Bereitstellung (z. B. | ||
| 3 | Bereiten Sie identische virtuelle Hosts vor, die Sie als Hybrid-Datensicherheitsknoten in Ihrem Cluster einrichten. Sie benötigen mindestens zwei separate Hosts (3 empfohlen) in demselben sicheren Rechenzentrum, die die Anforderungen unter „Anforderungen an virtuelle Hosts“ erfüllen. | ||
| 4 | Bereiten Sie den Datenbankserver vor, der als Schlüsseldatenspeicher für den Cluster fungieren wird, gemäß den Anforderungen des Datenbankservers . Der Datenbankserver muss im sicheren Rechenzentrum mit den virtuellen Hosts verbunden sein. | ||
| 5 | Richten Sie für eine schnelle Notfallwiederherstellung eine Sicherungsumgebung in einem anderen Rechenzentrum ein. Die Backup-Umgebung spiegelt die Produktionsumgebung von VMs und einem Backup-Datenbankserver wider. Wenn die Produktion beispielsweise über 3 VMs verfügt, auf denen HDS-Knoten ausgeführt werden, sollte die Sicherungsumgebung über 3 VMs verfügen. | ||
| 6 | Richten Sie einen Syslog-Host ein, um Protokolle von den Knoten im Cluster zu erfassen. Erfassen Sie die Netzwerkadresse und den Syslog-Port (standardmäßig UDP 514). | ||
| 7 | Erstellen Sie eine sichere Sicherungsrichtlinie für die Hybrid-Datensicherheitsknoten, den Datenbankserver und den Syslog-Host. Um nicht wiederherstellbaren Datenverlust zu vermeiden, müssen Sie mindestens die Datenbank und die KonfigurationsISO-Datei sichern, die für die Hybrid-Datensicherheitsknoten generiert wurde.
Webex-App-Clients speichern ihre Schlüssel im Cache, sodass ein Ausfall nicht sofort erkennbar ist, sich aber im Laufe der Zeit bemerkbar macht. Während vorübergehende Ausfälle nicht zu verhindern sind, sind sie wiedergutzumachen. Der vollständige Verlust (keine Backups verfügbar) der Datenbank oder der ISO-Konfigurationsdatei führt jedoch zu nicht wiederherstellbaren Kundendaten. Von den Betreibern der Hybrid-Datensicherheitsknoten wird erwartet, dass sie häufige Backups der Datenbank und der ISO-Konfigurationsdatei führen und bereit sind, das Hybrid-Datensicherheitsrechenzentrum bei einem katastrophalen Ausfall neu zu erstellen. | ||
| 8 | Stellen Sie sicher, dass Ihre Firewall-Konfiguration Verbindungen für Ihre Hybrid-Datensicherheitsknoten zulässt, wie unter „Externe Verbindungsanforderungen“ beschrieben. | ||
| 9 | Installieren Sie Docker ( https://www.docker.com) auf jedem lokalen Computer mit einem unterstützten Betriebssystem (Microsoft Windows 10 Professional oder Enterprise 64-Bit oder Mac OSX Yosemite 10.10.3 oder höher) mit einem Webbrowser, der auf ihn zugreifen kann unter http://127.0.0.1:8080. Sie verwenden die Docker-Instanz, um das HDS-Setup-Tool herunterzuladen und auszuführen, das die lokalen Konfigurationsinformationen für alle Hybrid-Datensicherheitsknoten erstellt. Möglicherweise benötigt Ihre Organisation eine Docker Desktop-Lizenz. Weitere Informationen finden Sie unter Docker Desktop-Anforderungen . Um das HDS Setup Tool zu installieren und auszuführen, muss die lokale Maschine über die unter „Externe Verbindungsanforderungen“ beschriebene Konnektivität verfügen. | ||
| 10 | Wenn Sie einen Proxy in Hybrid Data Security integrieren, stellen Sie sicher, dass er die Proxyserveranforderungen erfüllt. | ||
| 11 | Wenn Ihre Organisation die Verzeichnissynchronisierung verwendet, erstellen Sie eine Gruppe im Active Directory mit dem Namen
|
Ablauf der Bereitstellungsaufgabe für Hybrid-Datensicherheit
Vorbereitungen
| 1 | Installationsdateien herunterladen Laden Sie die OVA-Datei für eine spätere Verwendung auf Ihren lokalen Computer herunter. | ||
| 2 | Erstellen einer Konfigurations-ISO für die HDS-Hosts Verwenden Sie das HDS-Setup-Tool, um eine ISO-Konfigurationsdatei für die Hybrid-Datensicherheitsknoten zu erstellen. | ||
| 3 |
Erstellen Sie eine virtuelle Maschine aus der OVA-Datei und führen Sie die Erstkonfiguration durch, z. B. Netzwerkeinstellungen.
| ||
| 4 | Einrichten der Hybrid-DatensicherheitsVM Melden Sie sich bei der VM-Konsole an und legen Sie die Anmeldeinformationen fest. Konfigurieren Sie die Netzwerkeinstellungen für den Knoten, wenn Sie sie zum Zeitpunkt der OVA-Bereitstellung nicht konfiguriert haben. | ||
| 5 | Hochladen und Einhängen der HDS-KonfigurationsISO Konfigurieren Sie die VM über die ISO-Konfigurationsdatei, die Sie mit dem HDS Setup Tool erstellt haben. | ||
| 6 | Konfigurieren des HDS-Knotens für die Proxyintegration Wenn die Netzwerkumgebung eine Proxy-Konfiguration erfordert, geben Sie den Proxy-Typ an, den Sie für den Knoten verwenden möchten, und fügen Sie das Proxy-Zertifikat bei Bedarf dem Vertrauensspeicher hinzu. | ||
| 7 | Registrieren des ersten Knotens im Cluster Registrieren Sie die VM mit der Cisco Webex-Cloud als Hybrid-Datensicherheitsknoten. | ||
| 8 | Weitere Knoten erstellen und registrieren Schließen Sie die Cluster-Einrichtung ab. | ||
| 9 | Ausführen einer Testversion und Verschieben in Produktion (nächstes Kapitel) Bis Sie einen Test starten, erzeugen Ihre Knoten einen Alarm, der angibt, dass Ihr Dienst noch nicht aktiviert ist. |
Installationsdateien herunterladen
| 1 | Melden Sie sich bei https://admin.webex.com an und klicken Sie dann auf Services . | ||||
| 2 | Suchen Sie im Abschnitt Hybrid-Dienste nach der Hybrid-Datensicherheitskarte und klicken Sie auf Einrichten . Wenn die Karte deaktiviert ist oder Sie sie nicht sehen, wenden Sie sich an Ihr Kontoteam oder Ihre Partnerorganisation. Geben Sie ihnen Ihre Kontonummer und bitten Sie sie, Ihre Organisation für Hybrid-Datensicherheit zu aktivieren. Um die Kontonummer zu finden, klicken Sie oben rechts neben dem Namen Ihrer Organisation auf das Zahnrad.
| ||||
| 3 | Wählen Sie No aus, um anzugeben, dass Sie den Knoten noch nicht eingerichtet haben, und klicken Sie dann auf Next . Die OVA-Datei wird automatisch heruntergeladen. Speichern Sie die Datei an einem Speicherort auf Ihrem Computer.
| ||||
| 4 | Klicken Sie optional auf Bereitstellungsleitfaden öffnen , um zu überprüfen, ob eine neuere Version dieses Leitfadens verfügbar ist. |
Erstellen einer Konfigurations-ISO für die HDS-Hosts
Der Einrichtungsprozess für die Hybrid-Datensicherheit erstellt eine ISO-Datei. Anschließend verwenden Sie ISO, um Ihren Hybrid-Datensicherheitshost zu konfigurieren.
Vorbereitungen
Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zuzugreifen, führen Sie Docker auf diesem Computer aus. Der Einrichtungsprozess erfordert die Anmeldeinformationen eines Control Hub-Kontos mit vollen Administratorrechten für Ihre Organisation.
Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxyeinstellungen (Server, Port, Anmeldeinformationen) über Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in Schritt 5 öffnen. Diese Tabelle enthält einige mögliche Umgebungsvariablen:
Beschreibung
Variable
HTTP-Proxy ohne Authentifizierung
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-Proxy ohne Authentifizierung
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-Proxy mit Authentifizierung
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS-Proxy mit Authentifizierung
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTDie von Ihnen generierte ISO-Konfigurationsdatei enthält den Master-Schlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die neueste Kopie dieser Datei, wenn Sie Konfigurationsänderungen vornehmen, z. B.:
Datenbankanmeldeinformationen
Zertifikatsaktualisierungen
Änderungen an Autorisierungsrichtlinie
Wenn Sie Datenbankverbindungen verschlüsseln möchten, richten Sie Ihre PostgreSQL- oder SQL Server-Bereitstellung für TLS ein.
| 1 | Geben Sie in der Befehlszeile Ihrer Maschine den entsprechenden Befehl für Ihre Umgebung ein: In regulären Umgebungen: In FedRAMP-Umgebungen:
| ||||||||||||
| 2 | Um sich bei der Docker Image-Registrierung anzumelden, geben Sie Folgendes ein: | ||||||||||||
| 3 | Geben Sie diesen Hash bei Aufforderung zum Eingeben des Passworts ein: | ||||||||||||
| 4 | Laden Sie das neueste stabile Image für Ihre Umgebung herunter: In regulären Umgebungen: In FedRAMP-Umgebungen: | ||||||||||||
| 5 | Geben Sie nach Abschluss des Pull-Vorgangs den entsprechenden Befehl für Ihre Umgebung ein:
Wenn der Container ausgeführt wird, wird „Express-Serverüberwachung auf Port 8080“ angezeigt. | ||||||||||||
| 6 |
Navigieren Sie über einen Webbrowser zum Localhost, Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto festzulegen. Das Tool zeigt dann die Standardanmeldeaufforderung an. | ||||||||||||
| 7 | Wenn Sie dazu aufgefordert werden, geben Sie die Anmeldeinformationen für den Control Hub-Kundenadministrator ein und klicken Sie dann auf Anmelden , um den Zugriff auf die für die Hybrid-Datensicherheit erforderlichen Dienste zu ermöglichen. | ||||||||||||
| 8 | Klicken Sie auf der Setup-Tool-Übersichtsseite auf Erste Schritte . | ||||||||||||
| 9 | Auf der Seite ISO Import stehen Ihnen folgende Optionen zur Verfügung:
| ||||||||||||
| 10 | Überprüfen Sie, ob Ihr X.509-Zertifikat die Anforderungen unter X.509-Zertifikatanforderungen erfüllt.
| ||||||||||||
| 11 | Geben Sie die Datenbankadresse und das Konto für HDS ein, um auf Ihren wichtigen Datenspeicher zuzugreifen: | ||||||||||||
| 12 | Wählen Sie einen TLS-Datenbankverbindungsmodus :
Wenn Sie das Stammzertifikat hochladen (falls erforderlich) und auf Weiter klicken, testet das HDS-Setup-Tool die TLS-Verbindung zum Datenbankserver. Das Tool überprüft ggf. auch den Zertifikatszeichner und den Host-Namen. Wenn ein Test fehlschlägt, zeigt das Tool eine Fehlermeldung an, in der das Problem beschrieben wird. Sie können auswählen, ob Sie den Fehler ignorieren und mit der Einrichtung fortfahren möchten. (Aufgrund von Konnektivitätsunterschieden können die HDS-Knoten möglicherweise die TLS-Verbindung herstellen, auch wenn die HDS Setup Tool-Maschine sie nicht erfolgreich testen kann.) | ||||||||||||
| 13 | Konfigurieren Sie auf der Seite "Systemprotokolle" Ihren Syslogd-Server: | ||||||||||||
| 14 | (Optional) Sie können den Standardwert für einige Datenbankverbindungsparameter unter „Erweiterte Einstellungen“ ändern. Im Allgemeinen ist dieser Parameter der einzige, den Sie ändern möchten: | ||||||||||||
| 15 | Klicken Sie auf „Weiter“ im Bildschirm „Dienstkonten-Passwort zurücksetzen “. Passwörter für Dienstkonten haben eine Lebensdauer von neun Monaten. Verwenden Sie diesen Bildschirm, wenn Ihre Passwörter bald ablaufen oder Sie sie zurücksetzen möchten, um frühere ISO-Dateien ungültig zu machen. | ||||||||||||
| 16 | Klicken Sie auf ISO-Datei herunterladen . Speichern Sie die Datei an einem leicht auffindbaren Speicherort. | ||||||||||||
| 17 | Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Halten Sie die Sicherungskopie sicher. Diese Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff nur auf Hybrid-Datensicherheitsadministratoren, die Konfigurationsänderungen vornehmen sollten. | ||||||||||||
| 18 | Um das Setup-Tool zu schließen, geben Sie |
Nächste Schritte
Sichern Sie die ISO-Konfigurationsdatei. Sie benötigen sie, um weitere Knoten für die Wiederherstellung zu erstellen oder Konfigurationsänderungen vorzunehmen. Wenn Sie alle Kopien der ISO-Datei verlieren, haben Sie auch den Master-Schlüssel verloren. Das Wiederherstellen der Schlüssel aus Ihrer PostgreSQL- oder Microsoft SQL Server-Datenbank ist nicht möglich.
| Wir haben nie eine Kopie dieses Schlüssels und können nicht helfen, wenn Sie ihn verlieren. |
Installieren der HDS-Host-OVA
| 1 | Melden Sie sich mit dem VMware vSphere-Client auf Ihrem Computer beim virtuellen ESXi-Host an. | ||||||
| 2 | Wählen Sie Datei > OVF-Vorlage bereitstellen aus. | ||||||
| 3 | Geben Sie im Assistenten den Speicherort der OVA-Datei an, die Sie zuvor heruntergeladen haben, und klicken Sie dann auf Weiter . | ||||||
| 4 | Auf der Wählen Sie einen Namen und Ordner aus Seite, geben Sie einen Name der virtuellen Maschine Wählen Sie für den Knoten (z. B. „HDS _ N ode_ 1“) einen Standort aus, an dem sich die Bereitstellung des Knotens der virtuellen Maschine befinden kann, und klicken Sie dann auf Weiter . | ||||||
| 5 | Auf der Berechnungsressource auswählen Seite, wählen Sie die Zielberechnungsressource aus, und klicken Sie dann auf Weiter . Eine Validierungsprüfung wird durchgeführt. Nach dem Abschluss werden die Vorlagendetails angezeigt. | ||||||
| 6 | Überprüfen Sie die Vorlagendetails und klicken Sie dann auf Weiter . | ||||||
| 7 | Wenn Sie aufgefordert werden, die Ressourcenkonfiguration auf dem Konfiguration Seite, klicken Sie auf <UNK> 4 CPU <UNK> und klicken Sie dann auf Weiter . | ||||||
| 8 | Auf der Speicher auswählen Seite, klicken Sie auf Weiter um das Standard-Festplattenformat und die VM-Speicherrichtlinie zu akzeptieren. | ||||||
| 9 | Auf der Netzwerke auswählen wählen Sie die Netzwerkoption aus der Liste der Einträge aus, um die gewünschte Konnektivität für die VM bereitzustellen. | ||||||
| 10 | Konfigurieren Sie auf der Seite Vorlage anpassen die folgenden Netzwerkeinstellungen:
Falls bevorzugt, können Sie die Konfiguration der Netzwerkeinstellungen überspringen und die Schritte unter Einrichten der Hybrid Data Security VM ausführen, um die Einstellungen über die Knotenkonsole zu konfigurieren.
| ||||||
| 11 | Klicken Sie mit der rechten Maustaste auf die Knoten-VM, und wählen Sie . Die Hybrid Data Security-Software wird als Gast auf dem VM-Host installiert. Sie können sich jetzt bei der Konsole anmelden und den Knoten konfigurieren. Tipps zur Fehlerbehebung Es kann zu einer Verzögerung von einigen Minuten kommen, bis die Knotencontainer angezeigt werden. Beim erstmaligen Start wird eine Bridge-Firewall-Nachricht angezeigt, während der Sie sich anmelden können. |
Einrichten der Hybrid-DatensicherheitsVM
Mit diesem Verfahren können Sie sich zum ersten Mal bei der VM-Konsole des Hybrid-Datensicherheitsknotens anmelden und die Anmeldeinformationen festlegen. Sie können auch die Konsole verwenden, um die Netzwerkeinstellungen für den Knoten zu konfigurieren, wenn Sie sie zum Zeitpunkt der OVA-Bereitstellung nicht konfiguriert haben.
| 1 | Wählen Sie im VMware vSphere-Client Ihre VM mit Hybrid-Datensicherheitsknoten und anschließend die Registerkarte Konsole aus. Die VM wird gestartet und eine Anmeldeaufforderung wird angezeigt. Drücken Sie die Eingabetaste, falls der Anmeldebildschirm nicht angezeigt wird.
|
| 2 | Verwenden Sie die folgenden Standard-Anmeldedaten und das Passwort, um sich anzumelden und die Anmeldedaten zu ändern: Da Sie sich zum ersten Mal bei Ihrer VM anmelden, müssen Sie das Administratorpasswort ändern. |
| 3 | Wenn Sie die Netzwerkeinstellungen bereits unter Installieren Sie die HDS-Host-OVA konfiguriert haben, überspringen Sie den Rest dieses Verfahrens. Andernfalls wählen Sie im Hauptmenü die Option Konfiguration bearbeiten aus. |
| 4 | Richten Sie eine statische Konfiguration mit IP-Adresse, Maske, Gateway- und DNS-Informationen ein. Ihr Knoten sollte eine interne IP-Adresse und einen DNS-Namen haben. DHCP wird nicht unterstützt. |
| 5 | (Optional) Ändern Sie bei Bedarf den Hostnamen, die Domäne oder die NTP-Server, um sie mit Ihrer Netzwerkrichtlinie abzugleichen. Sie müssen die Domäne nicht mit der Domäne übereinstimmen, mit der Sie das X.509-Zertifikat erhalten haben. |
| 6 | Speichern Sie die Netzwerkkonfiguration und starten Sie die VM neu, damit die Änderungen wirksam werden. |
Hochladen und Einhängen der HDS-KonfigurationsISO
Vorbereitungen
Da die ISO-Datei den Master-Schlüssel enthält, sollte sie nur auf der Basis des "Need-to-know"-Zugangs durch die Hybrid Data Security VMs und alle Administratoren, die Änderungen vornehmen müssen, offengelegt werden. Stellen Sie sicher, dass nur diese Administratoren auf den Datenspeicher zugreifen können.
| 1 | Laden Sie die ISO-Datei von Ihrem Computer hoch: |
| 2 | Binden Sie die ISO-Datei ein: |
Nächste Schritte
Wenn Ihre IT-Richtlinie es erfordert, können Sie die ISO-Datei optional unmounten, nachdem alle Knoten die Konfigurationsänderungen übernommen haben. Weitere Informationen finden Sie unter (Optional) ISO nach HDS-Konfiguration abmontieren .
Konfigurieren des HDS-Knotens für die Proxyintegration
Wenn die Netzwerkumgebung einen Proxy erfordert, verwenden Sie dieses Verfahren, um den Proxytyp anzugeben, den Sie in die Hybrid-Datensicherheit integrieren möchten. Wenn Sie einen transparenten Prüfproxy oder einen expliziten HTTPS-Proxy auswählen, können Sie die Schnittstelle des Knotens verwenden, um das Stammzertifikat hochzuladen und zu installieren. Sie können auch die Proxy-Verbindung über die Schnittstelle überprüfen und potenzielle Probleme beheben.
Vorbereitungen
Eine Übersicht der unterstützten Proxy-Optionen finden Sie unter Proxy-Unterstützung .
| 1 | HDS-Knoten-Setup-URL eingeben |
| 2 | Gehen Sie zu Vertrauensspeicher und Proxy und wählen Sie eine Option aus:
Führen Sie die nächsten Schritte für einen transparenten Prüfproxy, einen HTTP-Proxy mit einfacher Authentifizierung oder einen HTTPS-Proxy aus. |
| 3 | Klicken Sie auf Stammzertifikat hochladen oder Entitätszertifikat beenden , und navigieren Sie dann zu einem Stammzertifikat für den Proxy. Das Zertifikat ist hochgeladen, aber noch nicht installiert, da Sie den Knoten neu starten müssen, um das Zertifikat zu installieren. Klicken Sie auf den chevron-Pfeil nach dem Namen des Zertifikatsausstellers, um weitere Details zu erhalten, oder klicken Sie auf Löschen , wenn Sie einen Fehler gemacht haben und die Datei erneut hochladen möchten. |
| 4 | Klicken Sie auf Proxyverbindung prüfen , um die Netzwerkkonnektivität zwischen dem Knoten und dem Proxy zu testen. Wenn der Verbindungstest fehlschlägt, wird eine Fehlermeldung mit dem Grund und wie Sie das Problem beheben können angezeigt. Wenn eine Meldung angezeigt wird, dass die externe DNS-Auflösung nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen. Diese Bedingung wird in vielen expliziten Proxy-Konfigurationen erwartet. Sie können mit der Einrichtung fortfahren, und der Knoten funktioniert im Blockierten externen DNS-Auflösungsmodus. Wenn Sie der Meinung sind, dass es sich um einen Fehler handelt, führen Sie die folgenden Schritte aus, und lesen Sie anschließend Deaktivieren Sie den blockierten externen DNS-Auflösungsmodus . |
| 5 | Wenn der Verbindungstest bestanden hat und der explizite Proxy auf „Nur https“ festgelegt ist, aktivieren Sie den Umschalter auf „ Alle Port 443/444-https-Anfragen von diesem Knoten über den expliziten Proxy weiterleiten“ . Diese Einstellung benötigt 15 Sekunden, um wirksam zu werden. |
| 6 | Klicken Sie auf Installieren Sie alle Zertifikate in den Vertrauensspeicher (wird für einen expliziten HTTPS-Proxy oder einen transparenten Prüfproxy angezeigt) oder Reboot (wird für einen expliziten HTTP-Proxy angezeigt), lesen Sie die Eingabeaufforderung und klicken Sie anschließend auf Installieren , wenn Sie bereit sind. Der Knoten wird innerhalb weniger Minuten neu gestartet. |
| 7 | Nachdem der Knoten neu gestartet wurde, melden Sie sich bei Bedarf erneut an und öffnen Sie die Seite „Übersicht“ , um die Konnektivitätsprüfungen zu überprüfen, um sicherzustellen, dass alle im grünen Status sind. Die Proxy-Verbindungsprüfung testet nur eine Unterdomäne von webex.com. Wenn Verbindungsprobleme auftreten, besteht ein häufiges Problem darin, dass einige der in den Installationsanweisungen aufgeführten Cloud-Domänen am Proxy blockiert werden. |
Registrieren des ersten Knotens im Cluster
Bei der Registrierung Ihres ersten Knotens erstellen Sie ein Cluster, zu dem der Knoten zugewiesen wird. Ein Cluster enthält einen oder mehrere Knoten, die für Redundanz bereitgestellt werden.
Vorbereitungen
Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.
Stellen Sie sicher, dass alle Popupblocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.
| 1 | Melden Sie sich bei https://admin.webex.com an. |
| 2 | Wählen Sie im Menü auf der linken Seite die Option Dienste aus. |
| 3 | Suchen Sie im Abschnitt Hybrid-Dienste nach Hybrid-Datensicherheit und klicken Sie auf Einrichten . Die Seite „Hybrid-Datensicherheitsknoten registrieren“ wird angezeigt.
|
| 4 | Wählen Sie Ja aus, um anzugeben, dass Sie den Knoten eingerichtet haben und bereit sind, ihn zu registrieren, und klicken Sie dann auf Weiter . |
| 5 | Geben Sie im ersten Feld einen Namen für das Cluster ein, dem Sie Ihren Hybrid-Datensicherheitsknoten zuweisen möchten. Benennen Sie Ihre Cluster nach Möglichkeit nach dem geografischen Standort der Clusterknoten. Beispiele: "San Francisco" oder "New York" oder "Dallas" |
| 6 | Geben Sie im zweiten Feld die interne IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) Ihres Knotens ein und klicken Sie auf Weiter . Diese IP-Adresse oder FQDN sollte mit der IP-Adresse oder dem Host-Namen und der Domäne übereinstimmen, die Sie bei „Einrichten der Hybrid-Datensicherheits-VM“ verwendet haben. Es wird eine Meldung angezeigt, die angibt, dass Sie Ihren Knoten in Webex registrieren können.
|
| 7 | Klicken Sie auf Zum Knoten wechseln. |
| 8 | Klicken Sie in der Warnmeldung auf Weiter. Nach einigen Augenblicken werden Sie zu den Knotenverbindungstests für Webex-Dienste umgeleitet. Wenn alle Tests erfolgreich sind, wird die Seite „Zugriff auf Hybrid-Datensicherheitsknoten zulassen“ angezeigt. Dort bestätigen Sie, dass Sie Ihrer Webex-Organisation Berechtigungen für den Zugriff auf Ihren Knoten erteilen möchten.
|
| 9 | Aktivieren Sie das Kontrollkästchen Zugriff auf Ihren Hybrid-Datensicherheitsknoten zulassen und klicken Sie dann auf Weiter . Ihr Konto wird überprüft, und die Meldung „Registrierung abgeschlossen“ zeigt an, dass Ihr Knoten jetzt in der Webex-Cloud registriert ist.
|
| 10 | Klicken Sie auf den Link oder schließen Sie die Registerkarte, um zur Seite „Control Hub Hybrid-Datensicherheit“ zurückzukehren. Auf der Seite Hybrid-Datensicherheit wird das neue Cluster mit dem registrierten Knoten angezeigt. Der Knoten lädt die neueste Software automatisch aus der Cloud herunter.
|
Weitere Knoten erstellen und registrieren
| Zu diesem Zeitpunkt sind die Backup-VMs, die Sie unter Erfüllen der Voraussetzungen für Hybrid Data Security erstellt haben, Standby-Hosts, die nur im Falle einer Notfallwiederherstellung verwendet werden; sie sind bis dahin nicht beim System registriert. Weitere Informationen finden Sie unter Notfallwiederherstellung mit dem Standby-Rechenzentrum . |
Vorbereitungen
Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.
Stellen Sie sicher, dass alle Popupblocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.
| 1 | Erstellen Sie eine neue virtuelle Maschine aus der OVA und wiederholen Sie die Schritte unter Installieren Sie die HDS-Host-OVA . |
| 2 | Richten Sie die Erstkonfiguration auf der neuen VM ein und wiederholen Sie die Schritte unter Richten Sie die Hybrid Data Security VM ein. |
| 3 | Wiederholen Sie auf der neuen VM die Schritte unter Hochladen und Einhängen der HDS-Konfiguration ISO . |
| 4 | Wenn Sie einen Proxy für Ihre Bereitstellung einrichten, wiederholen Sie die Schritte unter Konfigurieren des HDS-Knotens für die Proxy-Integration nach Bedarf für den neuen Knoten. |
| 5 | Registrieren Sie den Knoten. Ihr Knoten ist registriert. Beachten Sie, dass Ihre Knoten bis zum Starten einer Testversion einen Alarm generieren, der angibt, dass Ihr Dienst noch nicht aktiviert ist.
|
Nächste Schritte
Ablauf der Testversion der Produktionsaufgabe
Nachdem Sie einen Hybrid-Datensicherheitscluster eingerichtet haben, können Sie einen Pilotversuch starten, Benutzer hinzufügen und damit beginnen, Ihre Bereitstellung zu testen und zu überprüfen, um auf die Produktion vorzubereiten.
Vorbereitungen
| 1 | Synchronisieren Sie ggf. die Wenn Ihre Organisation die Verzeichnissynchronisierung für Benutzer verwendet, müssen Sie die |
| 2 |
Starten Sie eine Testversion. Bis Sie diese Aufgabe ausführen, generieren Ihre Knoten einen Alarm, der angibt, dass der Dienst noch nicht aktiviert ist. |
| 3 | Testen Sie Ihre Hybrid-Datensicherheitsbereitstellung Überprüfen Sie, ob wichtige Anforderungen an Ihre Hybrid-Datensicherheitsbereitstellung übergeben werden. |
| 4 | Hybrid-Datensicherheitsstatus überwachen Überprüfen Sie den Status und richten Sie E-Mail-Benachrichtigungen für Alarme ein. |
| 5 | Hinzufügen oder Entfernen von Benutzern aus Ihrer Testversion |
| 6 | Schließen Sie die Testphase mit einer der folgenden Aktionen ab: |
Testversion aktivieren
Vorbereitungen
Wenn Ihre Organisation die Verzeichnissynchronisierung für Benutzer verwendet, müssen Sie die HdsTrialGroup Gruppenobjekt für die Synchronisierung mit der Cloud, bevor Sie eine Testversion für Ihre Organisation starten können. Anweisungen finden Sie im Bereitstellungsleitfaden für den Cisco Directory Connector.
| 1 | Melden Sie sich bei https://admin.webex.com an und wählen Sie dann Dienste . |
| 2 | Klicken Sie unter „Hybrid-Datensicherheit“ auf „Einstellungen“ . |
| 3 | Klicken Sie im Abschnitt „Dienststatus“ auf Test starten . Der Dienststatus ändert sich in den Testmodus.
|
| 4 | Klicken Sie auf Benutzer hinzufügen und geben Sie die E-Mail-Adresse eines oder mehrerer Benutzer ein, um Ihre Hybrid-Datensicherheitsknoten für Verschlüsselungs- und Indexierungsdienste zu verwenden. (Wenn Ihre Organisation die Verzeichnissynchronisierung verwendet, verwenden Sie Active Directory, um die Testgruppe zu verwalten, |
Testen Sie Ihre Hybrid-Datensicherheitsbereitstellung
Vorbereitungen
Richten Sie Ihre Bereitstellung für Hybrid-Datensicherheit ein.
Aktivieren Sie die Testversion und fügen Sie mehrere Testbenutzer hinzu.
Stellen Sie sicher, dass Sie Zugriff auf das Syslog haben, um zu überprüfen, ob wichtige Anforderungen an Ihre Bereitstellung für die Hybrid-Datensicherheit weitergeleitet werden.
| 1 | Schlüssel für einen bestimmten Bereich werden vom Ersteller des Bereichs festgelegt. Melden Sie sich bei der Webex-App als einer der Pilotbenutzer an, erstellen Sie einen Bereich und laden Sie mindestens einen Pilotbenutzer und einen Nicht-Pilotbenutzer ein.
| ||
| 2 | Nachrichten an den neuen Bereich senden. | ||
| 3 | Überprüfen Sie die Syslog-Ausgabe, um zu überprüfen, ob die Schlüsselanforderungen an Ihre Hybrid-Datensicherheitsbereitstellung übergeben werden. |
Hybrid-Datensicherheitsstatus überwachen
| 1 | Wählen Sie in Control Hub im Menü auf der linken Seite des Bildschirms Dienste aus. |
| 2 | Suchen Sie im Abschnitt Hybrid-Dienste nach Hybrid Data Security und klicken Sie auf Einstellungen . Die Seite „Hybrid-Datensicherheitseinstellungen“ wird angezeigt.
|
| 3 | Geben Sie im Abschnitt E-Mail-Benachrichtigungen eine oder mehrere durch Kommas getrennte E-Mail-Adressen ein und drücken Sie die Eingabetaste. |
Hinzufügen oder Entfernen von Benutzern aus Ihrer Testversion
Wenn Sie einen Benutzer aus der Testversion entfernen, fordert der Client des Benutzers die Schlüssel und die Schlüsselerstellung aus dem Cloud-KMS anstelle Ihres KMS an. Wenn der Client einen Schlüssel benötigt, der auf Ihrem KMS gespeichert ist, ruft der Cloud-KMS ihn im Namen des Benutzers ab.
Wenn Ihre Organisation die Verzeichnissynchronisierung verwendet, verwenden Sie Active Directory (anstelle dieses Verfahrens), um die Testgruppe zu verwalten, HdsTrialGroup; Sie können die Gruppenmitglieder in Control Hub anzeigen, aber nicht hinzufügen oder entfernen.
| 1 | Melden Sie sich bei Control Hub an und wählen Sie dann „Dienste“ . |
| 2 | Klicken Sie unter „Hybrid-Datensicherheit“ auf „Einstellungen“ . |
| 3 | Klicken Sie im Testmodus des Dienststatusbereichs auf Benutzer hinzufügen oder klicken Sie auf Anzeigen und Bearbeiten , um Benutzer aus der Testversion zu entfernen. |
| 4 | Geben Sie die E-Mail-Adresse eines oder mehrerer Benutzer ein, die Sie hinzufügen möchten, oder klicken Sie auf das X-Zeichen neben einer Benutzer-ID, um den Benutzer aus der Testversion zu entfernen. Klicken Sie dann auf „Speichern“ . |
Übergang von der Testversion zur Produktion
| 1 | Melden Sie sich bei Control Hub an und wählen Sie dann „Dienste“ . |
| 2 | Klicken Sie unter „Hybrid-Datensicherheit“ auf „Einstellungen“ . |
| 3 | Klicken Sie im Abschnitt „Dienststatus“ auf Zu Produktion wechseln . |
| 4 | Bestätigen Sie, dass Sie alle Benutzer in die Produktion verschieben möchten. |
Beenden Sie Ihren Test, ohne zur Produktion zu wechseln
| 1 | Melden Sie sich bei Control Hub an und wählen Sie dann „Dienste“ . |
| 2 | Klicken Sie unter „Hybrid-Datensicherheit“ auf „Einstellungen“ . |
| 3 | Klicken Sie im Abschnitt Deaktivieren auf Deaktivieren . |
| 4 | Bestätigen Sie, dass Sie den Dienst deaktivieren und den Test beenden möchten. |
Verwalten der HDS-Bereitstellung
Verwenden Sie die hier beschriebenen Aufgaben, um Ihre Bereitstellung für die Hybrid-Datensicherheit zu verwalten.
Cluster-Upgrade-Zeitplan festlegen
So legen Sie den Upgrade-Zeitplan fest:
| 1 | Melden Sie sich bei Control Hub an. |
| 2 | Wählen Sie auf der Übersichtsseite unter Hybriddienste die Option Hybrid-Datensicherheit . |
| 3 | Wählen Sie auf der Seite Hybrid-Datensicherheitsressourcen den Cluster aus. |
| 4 | Wählen Sie im Übersichtsbereich auf der rechten Seite unter Cluster-Einstellungen den Cluster-Namen aus. |
| 5 | Wählen Sie auf der Einstellungsseite unter Upgrade die Uhrzeit und die Zeitzone für den Upgrade-Zeitplan aus. Hinweis: Unter der Zeitzone wird der nächste verfügbare Zeitpunkt für ein Upgrade angezeigt. Sie können das Upgrade bei Bedarf auf den folgenden Tag verzögern, indem Sie auf Verschieben klicken. |
Knotenkonfiguration ändern
X.509-Zertifikate werden aufgrund eines Ablaufs oder aus anderen Gründen geändert.
Das Ändern des CN-Domänennamens eines Zertifikats wird nicht unterstützt. Die Domäne muss mit der ursprünglichen Domäne übereinstimmen, die zum Registrieren des Clusters verwendet wurde.
Aktualisieren der Datenbankeinstellungen, um eine Replik der PostgreSQL- oder Microsoft SQL Server-Datenbank zu erstellen.
Wir unterstützen keine Migration von Daten von PostgreSQL zu Microsoft SQL Server oder umgekehrt. Um die Datenbankumgebung zu wechseln, starten Sie eine neue Bereitstellung der Hybrid-Datensicherheit.
Erstellen einer neuen Konfiguration zur Vorbereitung eines neuen Rechenzentrums.
Aus Sicherheitsgründen verwendet Hybrid Data Security außerdem Dienstkonto-Passwörter mit einer Lebensdauer von neun Monaten. Nachdem das HDS Setup-Tool diese Passwörter generiert hat, stellen Sie sie auf jedem Ihrer HDS-Knoten in der ISO-Konfigurationsdatei bereit. Wenn die Passwörter Ihrer Organisation bald ablaufen, erhalten Sie vom Webex-Team eine Benachrichtigung zum Zurücksetzen des Passworts für Ihr Computerkonto. (Die E-Mail enthält den Text „Verwenden Sie die Computerkonto-API, um das Passwort zu aktualisieren.“) Wenn Ihre Passwörter noch nicht abgelaufen sind, bietet Ihnen das Tool zwei Optionen:
Weiches Zurücksetzen: Die alten und neuen Passwörter funktionieren beide bis zu 10 Tage lang. Verwenden Sie diesen Zeitraum, um die ISO-Datei auf den Knoten schrittweise zu ersetzen.
Hartes Zurücksetzen: Die alten Passwörter funktionieren nicht mehr sofort.
Wenn Ihre Passwörter ohne Zurücksetzen ablaufen, wirkt sich dies auf Ihren HDS-Dienst aus und erfordert ein sofortiges Zurücksetzen auf die Festplatte und den Austausch der ISO-Datei auf allen Knoten.
Verwenden Sie dieses Verfahren, um eine neue ISO-Konfigurationsdatei zu generieren und auf Ihren Cluster anzuwenden.
Vorbereitungen
Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zuzugreifen, führen Sie Docker auf diesem Computer aus. Der Einrichtungsprozess erfordert die Anmeldeinformationen eines Control Hub-Kontos mit vollen Administratorrechten für Ihre Organisation.
Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxyeinstellungen (Server, Port, Anmeldeinformationen) über Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in 1.e öffnen. Diese Tabelle enthält einige mögliche Umgebungsvariablen:
Beschreibung
Variable
HTTP-Proxy ohne Authentifizierung
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-Proxy ohne Authentifizierung
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-Proxy mit Authentifizierung
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS-Proxy mit Authentifizierung
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTUm eine neue Konfiguration zu erstellen, benötigen Sie eine Kopie der aktuellen ISO-Konfigurationsdatei. Die ISO enthält den Master-Schlüssel, der die PostgreSQL- oder Microsoft SQL Server-Datenbank verschlüsselt. Sie benötigen die ISO, wenn Sie Konfigurationsänderungen vornehmen, einschließlich Datenbank-Anmeldeinformationen, Zertifikatsaktualisierungen oder Änderungen an der Autorisierungsrichtlinie.
| 1 | Führen Sie auf einem lokalen Computer, auf dem Docker läuft, das HDS Setup Tool aus.
| ||||||
| 2 | Wenn Sie nur einen HDS-Knoten mit ausführen, erstellen Sie eine neue VM mit Hybrid-Datensicherheitsknoten und registrieren Sie sie mit der neuen ISO-Konfigurationsdatei. Detaillierte Anweisungen finden Sie unter Weitere Knoten erstellen und registrieren . | ||||||
| 3 | Bei vorhandenen HDS-Knoten, auf denen die ältere Konfigurationsdatei ausgeführt wird, mounten Sie die ISO-Datei. Führen Sie die folgenden Schritte für jeden Knoten der Reihe nach aus, indem Sie jeden Knoten aktualisieren, bevor Sie den nächsten Knoten deaktivieren: | ||||||
| 4 | Wiederholen Sie Schritt 3, um bei jedem weiteren Knoten zu ersetzen, auf dem noch die alte Konfiguration ausgeführt wird, die Konfiguration zu ersetzen. |
Blockierten externen DNS-Auflösungsmodus deaktivieren
Wenn Sie einen Knoten registrieren oder die Proxy-Konfiguration des Knotens überprüfen, testet der Prozess die DNS-Suche und die Konnektivität mit der Cisco Webex-Cloud. Wenn der DNS-Server des Knotens öffentliche DNS-Namen nicht auflösen kann, wechselt der Knoten automatisch in den Modus für die blockierte externe DNS-Auflösung.
Wenn Ihre Knoten in der Lage sind, öffentliche DNS-Namen über interne DNS-Server aufzulösen, können Sie diesen Modus deaktivieren, indem Sie den Proxy-Verbindungstest auf jedem Knoten erneut ausführen.
Vorbereitungen
| 1 | Öffnen Sie in einem Webbrowser die Schnittstelle des hybriden Datensicherheitsknotens (IP-Adresse/Einrichtung, z. B. https://192.0.2.0/setup), geben Sie die Administratoranmeldeinformationen ein, die Sie für den Knoten eingerichtet haben, und klicken Sie dann auf Anmelden . |
| 2 | Gehen Sie zu „Übersicht“ (Standardseite). Wenn diese Option aktiviert ist , ist „Blockierte externe DNS-Auflösung“ auf „Ja“ festgelegt . |
| 3 | Gehen Sie zur Seite „Vertrauensspeicher und Proxy “. |
| 4 | Klicken Sie auf Proxyverbindung prüfen . Wenn eine Meldung angezeigt wird, dass die externe DNS-Auflösung nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen und bleibt in diesem Modus. Andernfalls sollte nach dem Neustart des Knotens und dem Zurückkehren zur Übersichtsseite die blockierte externe DNS-Auflösung auf „Nein“ festgelegt werden. |
Nächste Schritte
Knoten entfernen
| 1 | Verwenden Sie den VMware vSphere-Client auf Ihrem Computer, um sich beim virtuellen ESXi-Host anzumelden und die virtuelle Maschine auszuschalten. |
| 2 | Knoten entfernen: |
| 3 | Löschen Sie im vSphere-Client die VM. (Klicken Sie im linken Navigationsbereich mit der rechten Maustaste auf die VM und klicken Sie auf Löschen .) Wenn Sie die VM nicht löschen, denken Sie daran, die Konfiguration der ISO-Datei aufzuheben. Ohne die ISO-Datei können Sie die VM nicht für den Zugriff auf Ihre Sicherheitsdaten verwenden. |
Notfallwiederherstellung mit Standby-Rechenzentrum
Der wichtigste Dienst, den Ihr Hybrid-Datensicherheitscluster bietet, ist die Erstellung und Speicherung von Schlüsseln, mit denen Nachrichten und andere in der Webex-Cloud gespeicherte Inhalte verschlüsselt werden. Für jeden Benutzer innerhalb der Organisation, der der Hybrid-Datensicherheit zugewiesen ist, werden neue Anforderungen zur Schlüsselerstellung an den Cluster weitergeleitet. Der Cluster ist auch dafür verantwortlich, die Schlüssel, die er erstellt hat, an alle Benutzer zurückzugeben, die zum Abrufen autorisiert sind, z. B. Mitglieder eines Konversationsbereichs.
Da der Cluster die wichtige Funktion zur Bereitstellung dieser Schlüssel ausführt, ist es zwingend erforderlich, dass der Cluster weiterhin ausgeführt wird und die ordnungsgemäßen Backups beibehalten werden. Der Verlust der Hybrid Data Security-Datenbank oder der für das Schema verwendeten Konfigurations-ISO führt zu einem NICHT WIEDERHERSTELLBAREN VERLUST von Kundeninhalten. Die folgenden Praktiken sind obligatorisch, um einen solchen Verlust zu verhindern:
Wenn eine Katastrophe dazu führt, dass die HDS-Bereitstellung im primären Rechenzentrum nicht mehr verfügbar ist, führen Sie die folgenden Schritte aus, um ein manuelles Failover zum Standby-Rechenzentrum durchzuführen.
| 1 | Starten Sie das HDS-Setup-Tool und befolgen Sie die unter Erstellen einer Konfigurations-ISO für die HDS-Hosts genannten Schritte. | ||
| 2 | Klicken Sie nach der Konfiguration des Syslogd-Servers auf Erweiterte Einstellungen | ||
| 3 | Fügen Sie auf der Seite Erweiterte Einstellungen die folgende Konfiguration hinzu oder entfernen Sie die
| ||
| 4 | Schließen Sie den Konfigurationsvorgang ab und speichern Sie die ISO-Datei an einem leicht zu findenden Speicherort. | ||
| 5 | Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Halten Sie die Sicherungskopie sicher. Diese Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff nur auf Hybrid-Datensicherheitsadministratoren, die Konfigurationsänderungen vornehmen sollten. | ||
| 6 | Klicken Sie im linken Navigationsbereich des VMware vSphere-Clients mit der rechten Maustaste auf die VM und klicken Sie auf Einstellungen bearbeiten.. | ||
| 7 | Klicken Sie auf Einstellungen bearbeiten > CD/DVD Laufwerk 1 und wählen Sie Datastore ISO File.
| ||
| 8 | Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 15 Minuten lang keine Alarme vorhanden sind. | ||
| 9 | Wiederholen Sie den Vorgang für jeden Knoten im Standby-Rechenzentrum.
|
Nächste Schritte
(Optional) ISO nach HDS-Konfiguration entmounten
Die Standard-HDS-Konfiguration wird mit der ISO-Montierung ausgeführt. Einige Kunden ziehen es jedoch vor, ISO-Dateien nicht kontinuierlich eingehängt zu lassen. Sie können die ISO-Datei unmounten, nachdem alle HDS-Knoten die neue Konfiguration übernommen haben.
Sie verwenden weiterhin die ISO-Dateien, um Konfigurationsänderungen vorzunehmen. Wenn Sie eine neue ISO erstellen oder eine ISO über das Setup-Tool aktualisieren, müssen Sie die aktualisierte ISO auf allen HDS-Knoten mounten. Nachdem alle Ihre Knoten die Konfigurationsänderungen übernommen haben, können Sie die ISO-Datei mit diesem Verfahren erneut unmounten.
Vorbereitungen
Aktualisieren Sie alle HDS-Knoten auf Version 2021.01.22.4720 oder höher.
| 1 | Fahren Sie einen Ihrer HDS-Knoten herunter. |
| 2 | Wählen Sie in der vCenter Server Appliance den HDS-Knoten aus. |
| 3 | Wählen Sie und Deaktivieren Datastore ISO File . |
| 4 | Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 20 Minuten lang keine Alarme vorhanden sind. |
| 5 | Wiederholen Sie den Vorgang für jeden HDS-Knoten. |
Anzeigen von Warnungen und Fehlerbehebung
Eine Bereitstellung der Hybrid-Datensicherheit gilt als nicht verfügbar, wenn alle Knoten im Cluster nicht erreichbar sind oder der Cluster so langsam arbeitet, dass eine Zeitüberschreitung erforderlich ist. Wenn Benutzer Ihren Hybrid-Datensicherheitscluster nicht erreichen können, treten die folgenden Symptome auf:
Neue Bereiche können nicht erstellt werden (neue Schlüssel können nicht erstellt werden)
Nachrichten und Bereichstitel können nicht entschlüsselt werden für:
Neue Benutzer zu einem Bereich hinzugefügt (Schlüssel können nicht abgerufen werden)
Vorhandene Benutzer in einem Bereich mit einem neuen Client (Schlüssel können nicht abgerufen werden)
Vorhandene Benutzer in einem Bereich werden weiterhin erfolgreich ausgeführt, solange ihre Clients über einen Cache mit den Verschlüsselungsschlüsseln verfügen.
Es ist wichtig, dass Sie Ihren Hybrid-Datensicherheitscluster ordnungsgemäß überwachen und alle Warnungen umgehend beheben, um Dienstunterbrechungen zu vermeiden.
Alerts
Wenn bei der Einrichtung der Hybrid-Datensicherheit ein Problem auftritt, zeigt Control Hub dem Organisationsadministrator Warnungen an und sendet E-Mails an die konfigurierte E-Mail-Adresse. Die Warnungen decken viele gängige Szenarien ab.
Warnung | Aktion |
|---|---|
Fehler beim Zugriff auf die lokale Datenbank. |
Suchen Sie nach Datenbankfehlern oder lokalen Netzwerkproblemen. |
Lokaler Datenbankverbindungsfehler. |
Überprüfen Sie, ob der Datenbankserver verfügbar ist und die richtigen Dienstkonto-Anmeldeinformationen in der Knotenkonfiguration verwendet wurden. |
Fehler beim Zugriff auf den Cloud-Dienst. |
Überprüfen Sie, ob die Knoten wie unter „Externe Konnektivitätsanforderungen“ beschrieben auf die Webex-Server zugreifen können. |
Erneute Registrierung des Cloud-Dienstes. |
Die Registrierung bei Cloud-Diensten wurde aufgehoben. Die Erneuerung der Registrierung läuft. |
Registrierung des Cloud-Dienstes wurde abgebrochen. |
Die Registrierung bei Cloud-Diensten wurde beendet. Der Dienst wird heruntergefahren. |
Dienst noch nicht aktiviert. |
Aktivieren Sie eine Testversion oder schließen Sie die Übertragung der Testversion auf die Produktion ab. |
Die konfigurierte Domäne stimmt nicht mit dem Serverzertifikat überein. |
Stellen Sie sicher, dass Ihr Serverzertifikat mit der konfigurierten Serviceaktivierungsdomäne übereinstimmt. Die wahrscheinlichste Ursache ist, dass der CN des Zertifikats vor Kurzem geändert wurde und sich nun vom CN unterscheidet, der bei der Ersteinrichtung verwendet wurde. |
Authentifizierung bei Cloud-Diensten fehlgeschlagen. |
Überprüfen Sie die Genauigkeit und den möglichen Ablauf der Anmeldeinformationen für das Dienstkonto. |
Lokale Keystore-Datei konnte nicht geöffnet werden. |
Überprüfen Sie die Integrität und Passwortgenauigkeit der lokalen Keystore-Datei. |
Das lokale Serverzertifikat ist ungültig. |
Überprüfen Sie das Ablaufdatum des Serverzertifikats und bestätigen Sie, dass es von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde. |
Metriken können nicht veröffentlicht werden. |
Überprüfen Sie den lokalen Netzwerkzugriff auf externe Cloud-Dienste. |
/media/configdrive/hds Verzeichnis existiert nicht. |
Überprüfen Sie die ISO-Bereitstellungskonfiguration auf dem virtuellen Host. Stellen Sie sicher, dass die ISO-Datei vorhanden ist, dass sie für das Einhängen beim Neustart konfiguriert ist und dass sie erfolgreich eingehängt wird. |
Fehlerbehebung bei Hybrid Data Security
| 1 | Prüfen Sie Control Hub auf alle Warnungen und beheben Sie alle Elemente, die Sie dort finden. |
| 2 | Prüfen Sie die Syslog-Serverausgabe auf die Aktivität aus der Bereitstellung für Hybrid-Datensicherheit. |
| 3 | Kontaktieren Sie den Cisco Support . |
Bekannte Probleme bei der Hybrid-Datensicherheit
Wenn Sie Ihren Hybrid-Datensicherheitscluster herunterfahren (indem Sie ihn in Control Hub löschen oder alle Knoten herunterfahren), Ihre ISO-Konfigurationsdatei verlieren oder den Zugriff auf die Keystore-Datenbank verlieren, können Ihre Webex-App-Benutzer keine Bereiche mehr in ihrer Personenliste verwenden, die mit Schlüsseln aus Ihrem KMS erstellt wurden. Dies gilt sowohl für Test- als auch für Produktionsbereitstellungen. Wir haben derzeit keine Problemumgehung oder Lösung für dieses Problem und bitten Sie dringend, Ihre HDS-Dienste nicht herunterzufahren, sobald sie aktive Benutzerkonten verarbeiten.
Ein Client, der eine vorhandene ECDH-Verbindung zu einer KMS hat, hält diese Verbindung für einen bestimmten Zeitraum (wahrscheinlich eine Stunde) aufrecht. Wenn ein Benutzer Mitglied einer Testversion für Hybrid-Datensicherheit wird, verwendet der Client des Benutzers die vorhandene ECDH-Verbindung weiter, bis die Zeitüberschreitung auftritt. Alternativ kann sich der Benutzer bei der Webex-App abmelden und erneut anmelden, um den Standort zu aktualisieren, den die App für Verschlüsselungsschlüssel kontaktiert.
Dasselbe Verhalten tritt auf, wenn Sie eine Testversion für die Organisation in die Produktion verschieben. Alle Nicht-Testbenutzer mit bestehenden ECDH-Verbindungen zu den vorherigen Datensicherheitsdiensten werden diese Dienste weiterhin nutzen, bis die ECDH-Verbindung neu ausgehandelt wird (durch Zeitüberschreitung oder durch Abmelden und zurück).
Verwenden von OpenSSL zum Generieren einer PKCS12-Datei
Vorbereitungen
OpenSSL ist ein Tool, mit dem die PKCS12-Datei im richtigen Format zum Laden im HDS Setup Tool erstellt werden kann. Es gibt andere Möglichkeiten, dies zu tun, und wir unterstützen oder fördern nicht den einen Weg über den anderen.
Wenn Sie sich für OpenSSL entscheiden, stellen wir Ihnen dieses Verfahren als Richtlinie zur Verfügung, um Ihnen zu helfen, eine Datei zu erstellen, die die X.509-Zertifikatanforderungen in X.509-Zertifikatanforderungen erfüllt. Machen Sie sich mit diesen Anforderungen vertraut, bevor Sie fortfahren.
Installieren Sie OpenSSL in einer unterstützten Umgebung. Siehe https://www.openssl.org für die Software und Dokumentation.
Erstellen Sie einen privaten Schlüssel.
Starten Sie dieses Verfahren, wenn Sie das Serverzertifikat von Ihrer Certificate Authority (CA) erhalten.
| 1 | Wenn Sie das Serverzertifikat von Ihrer CA erhalten, speichern Sie es als |
| 2 | Zeigen Sie das Zertifikat als Text an und überprüfen Sie die Details.
|
| 3 | Verwenden Sie einen Texteditor, um eine Zertifikatspaket-Datei mit dem Namen
|
| 4 | Erstellen Sie die .p12-Datei mit dem freundlichen Namen
|
| 5 | Überprüfen Sie die Details des Serverzertifikats. |
Nächste Schritte
Zurück zu Vervollständigen der Voraussetzungen für Hybrid-Datensicherheit . Sie werden die hdsnode.p12 Datei und das Kennwort, das Sie dafür festgelegt haben, unter Erstellen einer Konfigurations-ISO für die HDS-Hosts .
| Sie können diese Dateien wiederverwenden, um ein neues Zertifikat anzufordern, wenn das ursprüngliche Zertifikat abläuft. |
Datenverkehr zwischen den HDS-Knoten und der Cloud
Datenverkehr bei Sammlung ausgehender Metriken
Die Hybrid-Datensicherheitsknoten senden bestimmte Metriken an die Webex-Cloud. Dazu gehören Systemmetriken für Heap max, Heap verwendet, CPU-Auslastung und Thread-Anzahl; Metriken zu synchronen und asynchronen Threads; Metriken zu Warnungen, die einen Schwellenwert für Verschlüsselungsverbindungen, Latenz oder eine Länge der Anforderungswarteschlange umfassen; Metriken zum Datenspeicher und Verschlüsselungsverbindungsmetriken. Die Knoten senden verschlüsseltes Schlüsselmaterial über einen Out-of-Band-Kanal (getrennt von der Anforderung).
Eingehender Verkehr
Die Hybrid-Datensicherheitsknoten erhalten die folgenden Arten von eingehendem Datenverkehr aus der Webex-Cloud:
Verschlüsselungsanfragen von Clients, die vom Verschlüsselungsdienst weitergeleitet werden
Upgrades auf die Knotensoftware
Squid-Proxys für Hybrid Data Security konfigurieren
Websocket kann keine Verbindung über Squid Proxy herstellen
Squid-Proxys, die HTTPS-Datenverkehr prüfen, können die Einrichtung von Websocket beeinträchtigen ( wss:) Verbindungen, die für die Hybrid-Datensicherheit erforderlich sind. In diesen Abschnitten finden Sie eine Anleitung, wie Sie verschiedene Versionen von Squid so konfigurieren, dass sie ignoriert werden. wss: Verkehr für den ordnungsgemäßen Betrieb der Dienste.
Tintenfisch 4 und 5
Fügen Sie die on_unsupported_protocol Direktive zu squid.conf:
on_unsupported_protocol tunnel allTintenfisch 3.5.27
Wir haben die Hybrid-Datensicherheit erfolgreich getestet und die folgenden Regeln hinzugefügt: squid.conf. Diese Regeln können sich bei der Entwicklung von Funktionen und der Aktualisierung der Webex-Cloud ändern.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allNeue und geänderte Informationen
|
Datum |
Vorgenommene Änderungen | ||
|---|---|---|---|
|
20. Oktober 2023 |
| ||
|
07. August 2023 |
| ||
|
Dienstag, 23. Mai 2023 |
| ||
|
06. Dezember 2022 |
| ||
|
23. November 2022 |
| ||
|
13. Oktober 2021 |
Docker Desktop muss ein Setup-Programm ausführen, bevor Sie HDS-Knoten installieren können. Siehe Docker Desktop-Anforderungen . | ||
|
24. Juni 2021 |
Beachten Sie, dass Sie die Datei mit dem privaten Schlüssel und den CSR wiederverwenden können, um ein anderes Zertifikat anzufordern. Weitere Informationen finden Sie unter Verwenden von OpenSSL zum Generieren einer PKCS12-Datei . | ||
| 30. April 2021 |
Die VM-Anforderung für lokalen Festplattenspeicher wurde auf 30 GB geändert. Weitere Informationen finden Sie unter „Anforderungen für virtuelle Gastgeber“. | ||
|
Mittwoch, 24. Februar 2021 |
Das HDS Setup Tool kann jetzt hinter einem Proxy ausgeführt werden. Weitere Informationen finden Sie unter Erstellen einer Konfigurations-ISO für die HDS-Hosts . | ||
|
Dienstag, 2. Februar 2021 |
HDS kann jetzt ohne gemountete ISO-Datei ausgeführt werden. Weitere Informationen finden Sie unter (Optional) ISO nach HDS-Konfiguration abmontieren . | ||
|
11. Januar 2021 |
Informationen zum HDS Setup-Tool und zu Proxys hinzugefügt Erstellen einer Konfigurations-ISO für die HDS-Hosts . | ||
|
13. Oktober 2020 |
Aktualisiert Installationsdateien herunterladen . | ||
|
8. Oktober 2020 |
Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts und Ändern Sie die Knotenkonfiguration mit Befehlen für FedRAMP-Umgebungen. | ||
|
Freitag, 14. August 2020 |
Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts und Ändern Sie die Knotenkonfiguration mit Änderungen am Anmeldeprozess. | ||
|
Mittwoch, 5. August 2020 |
Aktualisiert Testen Sie Ihre Hybrid-Datensicherheitsbereitstellung auf Änderungen in Protokollnachrichten. Aktualisiert Anforderungen für virtuelle Gastgeber , um die maximale Anzahl an Hosts zu entfernen. | ||
|
Dienstag, 16. Juni 2020 |
Aktualisiert Entfernen eines Knotens für Änderungen in der Control Hub-Benutzeroberfläche. | ||
|
Donnerstag, 4. Juni 2020 |
Aktualisiert Erstellen Sie ein Konfigurations-ISO für die HDS-Hosts für Änderungen in den erweiterten Einstellungen, die Sie möglicherweise festlegen. | ||
|
Freitag, 29. Mai 2020 |
Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts , um anzuzeigen, dass Sie TLS auch mit SQL Server-Datenbanken, UI-Änderungen und anderen Klarstellungen verwenden können. | ||
|
Dienstag, 5. Mai 2020 |
Aktualisiert Anforderungen für virtuelle Gastgeber um neue Anforderungen für ESXi 6.5 anzuzeigen. | ||
|
21. April 2020 |
Aktualisiert Externe Konnektivitätsanforderungen mit neuen CI-Hosts für Amerika. | ||
|
1. April 2020 |
Aktualisiert Externe Konnektivitätsanforderungen mit Informationen zu regionalen CI-Hosts. | ||
| Dienstag, 20. Februar 2020 | Aktualisiert Erstellen Sie eine Configuration ISO für die HDS Hosts mit Informationen zum neuen optionalen Bildschirm Erweiterte Einstellungen im HDS Setup Tool. | ||
| 4. Februar 2020 | Aktualisierte Anforderungen für Proxyserver . | ||
| 16. Dezember 2019 | Die Anforderung, dass der blockierte externe DNS-Auflösungsmodus unter „ Proxyserveranforderungen“ funktioniert, wurde klargestellt . | ||
| Am 19. November 2019 |
Informationen zum blockierten externen DNS-Auflösungsmodus wurden in den folgenden Abschnitten hinzugefügt: | ||
|
Am 8. November 2019 |
Sie können jetzt die Netzwerkeinstellungen für einen Knoten konfigurieren, während Sie die OVA bereitstellen, und nicht erst danach. Die folgenden Abschnitte wurden entsprechend aktualisiert:
| ||
|
Am 6. September 2019 |
SQL Server Standard zu Datenbankserveranforderungen . | ||
| 29. August 2019 | Hinzugefügt Konfigurieren von Squid-Proxys für Hybrid Data Security Anhang mit Anleitung zum Konfigurieren von Squid-Proxys zum Ignorieren von Websocket-Datenverkehr für den ordnungsgemäßen Betrieb. | ||
| Am 20. August 2019 |
Abschnitte hinzugefügt und aktualisiert, um die Proxy-Unterstützung für die Kommunikation von hybriden Datensicherheitsknoten mit der Webex-Cloud abzudecken. Informationen zum Zugriff auf den Inhalt der Proxy-Unterstützung für eine vorhandene Bereitstellung finden Sie im Hilfeartikel Proxy-Unterstützung für Hybrid Data Security und Webex-Videonetz . | ||
| Freitag, 13. Juni 2019 | Aktualisiert Test auf Produktionsaufgabenablauf mit einer Erinnerung zur Synchronisierung des HdsTrialGroup -Gruppenobjekts , bevor Sie einen Test starten, wenn Ihre Organisation die Verzeichnissynchronisierung verwendet. | ||
| Freitag, 6. März 2019 |
| ||
| Dienstag, 28. Februar 2019 |
| ||
| 26. Februar 2019 |
| ||
|
24. Januar 2019 |
| ||
| 5. November 2018 |
| ||
| 19. Oktober 2018 |
| ||
|
31. Juli 2018 |
| ||
| 21. Mai 2018 |
Terminologie geändert, um das Rebranding von Cisco Spark widerzuspiegeln:
| ||
| Dienstag, 11. April 2018 |
| ||
| 22. Februar 2018 |
| ||
| Donnerstag, 15. Februar 2018 |
| ||
| Donnerstag, 18. Januar 2018 |
| ||
|
2. November 2017 |
| ||
|
Freitag, 18. August 2017 |
Erste Veröffentlichung |
Übersicht über die Hybrid-Datensicherheit
Von Anfang an stand bei der Entwicklung der Webex App die Datensicherheit im Vordergrund. Eckpfeiler dieser Sicherheit ist die durchgängige Verschlüsselung von Inhalten, die durch Webex-App-Clients ermöglicht wird, die mit dem Schlüsselverwaltungsdienst (Key Management Service, KMS) interagieren. Der KMS erstellt und verwaltet die Kryptografieschlüssel, mit denen die Clients ihre Nachrichten und Dateien dynamisch ver- und entschlüsseln.
Standardmäßig erhalten alle Webex-App-Kunden eine durchgängige Verschlüsselung mit dynamischen Schlüsseln, die im Cloud-KMS im Sicherheitsbereich von Cisco gespeichert sind. Mit Hybrid Data Security werden KMS und andere Sicherheitsfunktionen in das Rechenzentrum Ihres Unternehmens verschoben, damit die Schlüssel zu ihren verschlüsselten Inhalten ausschließlich bei Ihnen liegen.
Sicherheitsbereichsarchitektur
Die Webex Cloud-Architektur trennt verschiedene Servicetypen in separate Bereiche oder Vertrauensdomänen, wie unten dargestellt.
Um die Hybrid-Datensicherheit weiter zu verstehen, werfen wir einen Blick auf diesen reinen Cloud-Fall, in dem Cisco alle Funktionen in seinen Cloud-Bereichen bereitstellt. Der Identitätsdienst, der einzige Ort, an dem Benutzer direkt mit ihren persönlichen Informationen wie E-Mail-Adresse korreliert werden können, ist logisch und physisch getrennt vom Sicherheitsbereich im Rechenzentrum B. Beide sind wiederum getrennt vom Bereich, in dem letztlich verschlüsselte Inhalte gespeichert werden, im Rechenzentrum C.
In diesem Diagramm ist der Client die Webex-App, die auf dem Laptop eines Benutzers ausgeführt wird und sich beim Identitätsdienst authentifiziert hat. Wenn der Benutzer eine Nachricht erstellt, die an einen Bereich gesendet werden soll, werden die folgenden Schritte ausgeführt:
-
Der Client baut eine sichere Verbindung mit dem Schlüsselverwaltungsdienst (KMS) auf und fordert dann einen Schlüssel zum Verschlüsseln der Nachricht an. Die sichere Verbindung verwendet ECDH, und das KMS verschlüsselt den Schlüssel mit einem AES-256-Master-Schlüssel.
-
Die Nachricht wird verschlüsselt, bevor sie den Client verlässt. Der Client sendet es an den Indexierungsdienst, der verschlüsselte Suchindizes erstellt, die bei der zukünftigen Suche nach den Inhalten helfen.
-
Die verschlüsselte Nachricht wird für Compliance-Prüfungen an den Compliance-Dienst gesendet.
-
Die verschlüsselte Nachricht wird im Speicherbereich gespeichert.
Wenn Sie Hybrid Data Security bereitstellen, verschieben Sie die Sicherheitsbereichsfunktionen (KMS, Indizierung und Compliance) in Ihr lokales Rechenzentrum. Die anderen Cloud-Dienste, aus denen Webex besteht (einschließlich Identitäts- und Inhaltsspeicher), verbleiben in den Bereichen von Cisco.
Zusammenarbeit mit anderen Organisationen
Benutzer in Ihrer Organisation verwenden möglicherweise regelmäßig die Webex-App, um mit externen Teilnehmern in anderen Organisationen zusammenzuarbeiten. Wenn einer Ihrer Benutzer einen Schlüssel für einen Bereich anfordert, der zu Ihrer Organisation gehört (da er von einem Ihrer Benutzer erstellt wurde), sendet KMS den Schlüssel über einen ECDH-sicheren Kanal an den Client. Wenn jedoch eine andere Organisation den Schlüssel für den Bereich besitzt, leitet Ihre KMS die Anforderung über einen separaten ECDH-Kanal an die Webex-Cloud weiter, um den Schlüssel von der entsprechenden KMS zu erhalten, und gibt den Schlüssel dann an Ihren Benutzer im ursprünglichen Kanal zurück.
Der auf Org A ausgeführte KMS-Dienst validiert die Verbindungen zu KMSs in anderen Organisationen mit x.509 PKI-Zertifikaten. Siehe Umgebung vorbereiten für Details zur Generierung eines x.509-Zertifikats für Ihre Hybrid-Datensicherheitsbereitstellung.
Erwartungen an die Bereitstellung der Hybrid-Datensicherheit
Eine Bereitstellung von Hybrid-Datensicherheit erfordert erhebliches Kundenengagement und ein Bewusstsein für die Risiken, die sich aus dem Besitz von Verschlüsselungscodes ergeben.
Um die Hybrid-Datensicherheit bereitzustellen, müssen Sie Folgendes bereitstellen:
-
Ein sicheres Rechenzentrum in einem Land, das ein für die Cisco Webex Teams-Pläne unterstützter Standort ist.
-
Die unter Umgebung vorbereiten beschriebenen Geräte, Software und Netzwerkzugriff.
Der vollständige Verlust der Konfigurations-ISO, die Sie für Hybrid Data Security erstellen, oder der von Ihnen bereitgestellten Datenbank führt zum Verlust der Schlüssel. Der Schlüsselverlust verhindert, dass Benutzer Bereichsinhalte und andere verschlüsselte Daten in der Webex-App entschlüsseln. In diesem Fall können Sie eine neue Bereitstellung erstellen, aber nur neue Inhalte werden angezeigt. Um den Verlust des Zugriffs auf Daten zu vermeiden, müssen Sie:
-
Verwalten Sie die Sicherung und Wiederherstellung der Datenbank und der ISO-Konfiguration.
-
Bereiten Sie sich auf eine schnelle Notfallwiederherstellung vor, wenn eine Katastrophe auftritt, z. B. ein Datenbankfestplattenausfall oder eine Datencenter-Katastrophe.
| Es gibt keinen Mechanismus, um Schlüssel nach einer HDS-Bereitstellung zurück in die Cloud zu verschieben. |
Hochrangiger Einrichtungsprozess
Dieses Dokument behandelt die Einrichtung und Verwaltung einer Bereitstellung für Hybrid-Datensicherheit:
Hybrid-Datensicherheit einrichten – Dazu gehören die Vorbereitung der erforderlichen Infrastruktur und die Installation der Hybrid-Datensicherheitssoftware, das Testen Ihrer Bereitstellung mit einer Teilmenge von Benutzern im Testmodus und die Umstellung auf die Produktion, sobald die Tests abgeschlossen sind. Dadurch wird die gesamte Organisation konvertiert, um Ihren Hybrid-Datensicherheitscluster für Sicherheitsfunktionen zu verwenden.
Die Einrichtungs-, Test- und Produktionsphasen werden in den nächsten drei Kapiteln ausführlich behandelt.
-
Bereitstellungen für Hybrid-Datensicherheit beibehalten – Die Webex-Cloud stellt automatisch laufende Upgrades bereit. Ihre IT-Abteilung kann diese Bereitstellung mit Unterstützung der Stufe eins unterstützen und bei Bedarf den Cisco-Support einbeziehen. Sie können Benachrichtigungen auf dem Bildschirm verwenden und E-Mail-basierte Warnungen in Control Hub einrichten.
-
Allgemeine Warnungen, Schritte zur Fehlerbehebung und bekannte Probleme verstehen – Wenn bei der Bereitstellung oder Verwendung von Hybrid Data Security Probleme auftreten, können Ihnen das letzte Kapitel dieses Handbuchs und der Anhang „Bekannte Probleme“ bei der Bestimmung und Behebung des Problems helfen.
Bereitstellungsmodell für Hybrid-Datensicherheit
Im Rechenzentrum Ihres Unternehmens stellen Sie die Hybrid-Datensicherheit als ein einzelnes Cluster von Knoten auf separaten virtuellen Hosts bereit. Die Knoten kommunizieren über sichere Websockets und sicheres HTTP mit der Webex-Cloud.
Während der Installation stellen wir Ihnen die OVA-Datei zur Verfügung, um die virtuelle Appliance auf den von Ihnen bereitgestellten VMs einzurichten. Mit dem HDS-Setup-Tool können Sie eine benutzerdefinierte ISO-Datei für die Clusterkonfiguration erstellen, die Sie auf jedem Knoten mounten. Der Hybrid-Datensicherheitscluster verwendet Ihren bereitgestellten Syslogd-Server und die PostgreSQL- oder Microsoft SQL Server-Datenbank. (Sie konfigurieren die Syslogd- und Datenbankverbindungsdetails im HDS Setup Tool.)
Die Mindestanzahl an Knoten, die Sie in einem Cluster haben können, beträgt zwei. Wir empfehlen mindestens drei und Sie können bis zu fünf haben. Mehrere Knoten sorgen dafür, dass der Dienst während eines Software-Upgrades oder einer anderen Wartungsaktivität auf einem Knoten nicht unterbrochen wird. (Die Webex-Cloud aktualisiert nur jeweils einen Knoten.)
Alle Knoten in einem Cluster greifen auf denselben Schlüsseldatastore zu und protokollieren die Aktivität mit demselben Syslog-Server. Die Knoten selbst sind staatenlos und bearbeiten wichtige Anfragen in Round-Robin-Manier, wie von der Cloud geleitet.
Knoten werden aktiv, wenn Sie sie in Control Hub registrieren. Um einen einzelnen Knoten außer Betrieb zu nehmen, können Sie seine Registrierung aufheben und ihn bei Bedarf später erneut registrieren.
Wir unterstützen nur ein einzelnes Cluster pro Organisation.
Testmodus für Hybrid-Datensicherheit
Nachdem Sie eine Bereitstellung für Hybrid-Datensicherheit eingerichtet haben, versuchen Sie es zunächst mit einer Reihe von Pilotbenutzern. Während des Testzeitraums verwenden diese Benutzer Ihre lokale Hybrid-Datensicherheitsdomäne für Verschlüsselungscodes und andere Dienste des Sicherheitsbereichs. Ihre anderen Benutzer verwenden weiterhin den Cloud-Sicherheitsbereich.
Wenn Sie die Bereitstellung während des Testzeitraums nicht fortsetzen und den Dienst deaktivieren möchten, verlieren die Pilotbenutzer und alle Benutzer, mit denen sie während des Testzeitraums interagiert haben, den Zugriff auf die Nachrichten und Inhalte. Ihnen wird in der Webex-App „Diese Nachricht kann nicht entschlüsselt werden“ angezeigt.
Wenn Sie überzeugt sind, dass Ihre Bereitstellung für die Testbenutzer gut funktioniert und Sie bereit sind, die Hybrid-Datensicherheit auf alle Ihre Benutzer auszuweiten, verschieben Sie die Bereitstellung in die Produktion. Pilotbenutzer haben weiterhin Zugriff auf die Schlüssel, die während der Testphase verwendet wurden. Sie können jedoch nicht zwischen dem Produktionsmodus und der ursprünglichen Testversion hin- und herwechseln. Wenn Sie den Dienst deaktivieren müssen, um z. B. eine Notfallwiederherstellung durchzuführen, müssen Sie bei der erneuten Aktivierung einen neuen Test starten und die Anzahl der Pilotbenutzer für den neuen Test einrichten, bevor Sie in den Produktionsmodus zurückkehren. Ob die Benutzer zu diesem Zeitpunkt weiterhin Zugriff auf Daten haben, hängt davon ab, ob Sie Backups des Schlüsseldatenspeichers und der ISO-Konfigurationsdatei für die Hybrid-Datensicherheitsknoten in Ihrem Cluster erfolgreich durchgeführt haben.
Standby-Rechenzentrum für die Notfallwiederherstellung
Während der Bereitstellung richten Sie ein sicheres Standby-Rechenzentrum ein. Im Falle eines Rechenzentrums-Desasters können Sie Ihre Bereitstellung manuell auf das Standby-Rechenzentrum umlegen.
Die Datenbanken der aktiven und Standby-Rechenzentren sind miteinander synchronisiert, wodurch die Zeit für die Durchführung des Failovers minimiert wird. Die ISO-Datei des Standby-Rechenzentrums wird mit zusätzlichen Konfigurationen aktualisiert, die sicherstellen, dass die Knoten in der Organisation registriert sind, aber keinen Datenverkehr verarbeiten. Daher bleiben die Knoten des Standby-Rechenzentrums immer auf dem neuesten Stand mit der neuesten Version der HDS-Software.
| Die aktiven Hybrid-Datensicherheitsknoten müssen sich immer im selben Rechenzentrum wie der aktive Datenbankserver befinden. |
Standby-Rechenzentrum für die Notfallwiederherstellung einrichten
Führen Sie die folgenden Schritte aus, um die ISO-Datei des Standby-Rechenzentrums zu konfigurieren:
Vorbereitungen
-
Das Standby-Rechenzentrum sollte die Produktionsumgebung von VMs und eine Backup-PostgreSQL- oder Microsoft SQL Server-Datenbank spiegeln. Wenn die Produktion beispielsweise über 3 VMs verfügt, auf denen HDS-Knoten ausgeführt werden, sollte die Sicherungsumgebung über 3 VMs verfügen. (Siehe Standby Data Center for Disaster Recovery für eine Übersicht über dieses Failover-Modell.)
-
Stellen Sie sicher, dass die Datenbanksynchronisierung zwischen der Datenbank aktiver und passiver Cluster-Knoten aktiviert ist.
| 1 |
Starten Sie das HDS-Setup-Tool und befolgen Sie die unter Erstellen einer Konfigurations-ISO für die HDS-Hosts genannten Schritte.
| ||
| 2 |
Klicken Sie nach der Konfiguration des Syslogd-Servers auf Erweiterte Einstellungen | ||
| 3 |
Fügen Sie auf der Seite Erweiterte Einstellungen unten die Konfiguration hinzu, um den Knoten im passiven Modus zu platzieren. In diesem Modus wird der Knoten in der Organisation registriert und mit der Cloud verbunden, verarbeitet jedoch keinen Datenverkehr.
| ||
| 4 |
Schließen Sie den Konfigurationsvorgang ab und speichern Sie die ISO-Datei an einem leicht zu findenden Speicherort. | ||
| 5 |
Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Halten Sie die Sicherungskopie sicher. Diese Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff nur auf Hybrid-Datensicherheitsadministratoren, die Konfigurationsänderungen vornehmen sollten. | ||
| 6 |
Klicken Sie im linken Navigationsbereich des VMware vSphere-Clients mit der rechten Maustaste auf die VM und klicken Sie auf Einstellungen bearbeiten.. | ||
| 7 |
Klicken Sie auf Einstellungen bearbeiten > CD/DVD Laufwerk 1 und wählen Sie Datastore ISO File.
| ||
| 8 |
Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 15 Minuten lang keine Alarme vorhanden sind. | ||
| 9 |
Wiederholen Sie den Vorgang für jeden Knoten im Standby-Rechenzentrum.
|
Nächste Schritte
Nachdem Sie passiveMode in der ISO-Datei konfiguriert und gespeichert haben, können Sie eine weitere Kopie der ISO-Datei ohne Konfiguration von passiveMode erstellen und an einem sicheren Speicherort speichern. Diese Kopie der ISO-Datei ohne passiveMode konfiguriert kann bei einem schnellen Failover-Prozess während der Notfallwiederherstellung helfen. Siehe Notfallwiederherstellung mit Standby Data Center für das detaillierte Failover-Verfahren.
Proxy-Support
Die Hybriddatensicherheit unterstützt explizite, transparente Inspektionen und Nichtinspizierungsproxys. Sie können diese Proxys an Ihre Bereitstellung binden, damit Sie den Datenverkehr aus dem Unternehmen heraus in die-Cisco sichern und überwachen können. Sie können eine Netzwerkverwaltung auf den Knoten für Zertifikats-Management verwenden und den Status der gesamten Konnektivität überprüfen, nachdem Sie den Proxy auf den Knoten eingerichtet haben.
Die Hybrid Data Sicherheitshinweis unterstützt die folgenden Proxyoptionen:
-
Kein Proxy – Der Standard, wenn Sie die HDS-Knoteneinrichtung Trust Store- und Proxy-Konfiguration nicht verwenden, um einen Proxy zu integrieren. Es ist keine Zertifikatsaktualisierung erforderlich.
-
Transparenter Proxy ohne Inspektion – Die Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert und erfordern keine Änderungen, damit sie mit einem Proxy ohne Inspektion funktionieren. Es ist keine Zertifikatsaktualisierung erforderlich.
-
Transparenter Tunnel oder Proxy prüfen – Die Knoten sind nicht so konfiguriert, dass sie eine bestimmte Proxyserveradresse verwenden. Es sind keine Änderungen bei der Konfigurationänderung von http oder HTTPS Allerdings benötigen die Knoten eine Stammzertifikat, sodass Sie dem Proxy Vertrauen. Die Inspektion von Proxys wird in der Regel von ihm verwendet, um Strategien durchzusetzen, welche Websites besichtigt werden können und welche Arten von Inhalten nicht zulässig sind. Diese Art von Proxy entschlüsselt den gesamten Datenverkehr (auch HTTPS).
-
Expliziter Proxy – Mit explizitem Proxy teilen Sie den HDS-Knoten mit, welchen Proxyserver und welches Authentifizierungsschema verwendet werden soll. Um einen expliziten Proxy zu konfigurieren, müssen Sie die folgenden Informationen zu den einzelnen Knoten eingeben:
-
Proxy IP/FQDN : Adresse, die verwendet werden kann, um die Proxymaschine zu erreichen.
-
Proxy-Port – Eine Portnummer, die der Proxy für die Überwachung des Proxyverkehrs verwendet.
-
Proxyprotokoll – Je nachdem, was Ihr Proxyserver unterstützt, wählen Sie zwischen den folgenden Protokollen:
-
– Und steuert alle Anfragen, die der Client sendet.
-
HTTPS – stellt einen Kanal zum Server bereit. Der Client erhält und prüft das Zertifikat des Servers.
-
-
Authentifizierungstyp – Wählen Sie einen der folgenden Authentifizierungstypen aus:
-
Keine – Es ist keine weitere Authentifizierung erforderlich.
Verfügbar, wenn Sie entweder http oder HTTPS als Proxyprotokoll auswählen.
-
Basic – Wird für einen HTTP-Benutzeragenten verwendet, um einen Benutzernamen und ein Kennwort anzugeben, wenn eine Anfrage gestellt wird. Zertifikatsformat verwendet.
Verfügbar, wenn Sie entweder http oder HTTPS als Proxyprotokoll auswählen.
Hiermit müssen Sie die Benutzername und das Passwort eines jeden Knotens eingeben.
-
Digest – Zur Bestätigung des Kontos vor dem Senden vertraulicher Informationen verwendet. Gibt eine Hashfunktion auf die Benutzername und das Passwort ein, bevor Sie über das Netzwerk senden.
Nur verfügbar, wenn Sie HTTPS als Proxyprotokoll auswählen.
Hiermit müssen Sie die Benutzername und das Passwort eines jeden Knotens eingeben.
-
-
Beispiel für hybride Datensicherheitsknoten und Proxy
Dieses Diagramm zeigt eine Beispielverbindung zwischen der Hybriddatensicherheit, dem Netzwerk und einem Proxy. Für die transparente Inspektion und HTTPS explizite Überprüfung der Proxyoptionen müssen dieselben Stammzertifikat auf dem Proxy und auf den Hybriden Datensicherheitsknoten installiert sein.
Externer DNS Auflösungsmodus blockiert (explizite Proxykonfigurationen)
Wenn Sie einen Knoten registrieren oder die Proxykonfiguration des Knotens überprüfen, testet das Verfahren die DNS und die Konnektivität der Cisco WebEx. Bei Bereitstellungen mit expliziten Proxykonfigurationen, die keine externe DNS für interne Clients zulassen, wenn der Knoten die DNS-Server nicht Abfragen kann, geht er automatisch in den gesperrten externen DNS-Server. In diesem Modus können Knotenregistrierungen und andere Proxyverbindungstests fortgeführt werden.
Anforderungen an die Hybrid-Datensicherheit
Cisco Webex-Lizenzanforderungen
So stellen Sie die Hybrid-Datensicherheit bereit:
-
Sie müssen über Pro Pack für Cisco Webex Control Hub verfügen. (Siehe https://www.cisco.com/go/pro-pack.)
Docker Desktop-Anforderungen
Bevor Sie Ihre HDS-Knoten installieren, benötigen Sie Docker Desktop, um ein Setup-Programm auszuführen. Docker hat kürzlich sein Lizenzierungsmodell aktualisiert. Ihre Organisation benötigt möglicherweise ein kostenpflichtiges Abonnement für Docker Desktop. Weitere Informationen finden Sie im Docker-Blog-Post: " Docker aktualisiert und erweitert unsere Produktabonnements".
X.509-Zertifikatanforderungen
Die Zertifikatskette muss die folgenden Anforderungen erfüllen:
|
Anforderung |
Details |
|---|---|
|
Standardmäßig vertrauen wir den CAs in der Mozilla-Liste (mit Ausnahme von WoSign und StartCom) an https://wiki.mozilla.org/CA:IncludedCAs. |
|
Der CN muss nicht erreichbar sein oder ein Live-Host sein. Wir empfehlen Ihnen, einen Namen zu verwenden, der Ihre Organisation widerspiegelt, z. B. Der CN darf kein * (Platzhalter) enthalten. Der CN wird verwendet, um die Hybrid-Datensicherheitsknoten für Webex-App-Clients zu verifizieren. Alle Hybrid-Datensicherheitsknoten in Ihrem Cluster verwenden dasselbe Zertifikat. Ihr KMS identifiziert sich mit der CN-Domäne, nicht mit einer Domäne, die in den SAN-Feldern x.509v3 definiert ist. Sobald Sie einen Knoten mit diesem Zertifikat registriert haben, wird das Ändern des CN-Domänennamens nicht unterstützt. Wählen Sie eine Domäne aus, die sowohl für Test- als auch für Produktionsbereitstellungen gelten kann. |
|
Die KMS-Software unterstützt keine SHA1-Signaturen für die Überprüfung von Verbindungen zu KMSs anderer Organisationen. |
|
Sie können einen Konverter wie OpenSSL verwenden, um das Format Ihres Zertifikats zu ändern. Sie müssen das Kennwort eingeben, wenn Sie das HDS-Setup-Tool ausführen. |
Die KMS-Software erzwingt keine Schlüsselnutzung oder erweiterte Schlüsselnutzungsbeschränkungen. Einige Zertifizierungsstellen verlangen, dass für jedes Zertifikat erweiterte Nutzungsbeschränkungen gelten, z. B. Serverauthentifizierung. Es ist in Ordnung, die Server-Authentifizierung oder andere Einstellungen zu verwenden.
Anforderungen an virtuelle Gastgeber
Die virtuellen Hosts, die Sie als Hybrid-Datensicherheitsknoten in Ihrem Cluster einrichten, haben die folgenden Anforderungen:
-
Mindestens zwei separate Hosts (3 empfohlen) in demselben sicheren Rechenzentrum
-
VMware ESXi 6.5 (oder höher) installiert und ausgeführt.
Sie müssen ein Upgrade durchführen, wenn Sie über eine frühere ESXi-Version verfügen.
-
Mindestens 4 vCPUs, 8 GB Hauptspeicher, 30 GB lokaler Festplattenspeicher pro Server
Anforderungen des Datenbankservers
| Erstellen Sie eine neue Datenbank für den Schlüsselspeicher. Verwenden Sie nicht die Standarddatenbank. Wenn die HDS-Anwendungen installiert sind, erstellen Sie das Datenbankschema. |
Es gibt zwei Optionen für den Datenbankserver. Die Anforderungen für die einzelnen sind wie folgt:
|
PostgreSQL |
Microsoft SQL-Server | ||
|---|---|---|---|
|
| ||
|
Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichender Festplattenspeicher und Überwachung, um sicherzustellen, dass er nicht überschritten wird (2 TB empfohlen, wenn Sie die Datenbank für längere Zeit ausführen möchten, ohne den Speicher erhöhen zu müssen) |
Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichender Festplattenspeicher und Überwachung, um sicherzustellen, dass er nicht überschritten wird (2 TB empfohlen, wenn Sie die Datenbank für längere Zeit ausführen möchten, ohne den Speicher erhöhen zu müssen) |
Die HDS-Software installiert derzeit folgende Treiberversionen für die Kommunikation mit dem Datenbankserver:
|
PostgreSQL |
Microsoft SQL-Server |
|---|---|
|
Postgres JDBC-Treiber 42.2.5 |
SQL Server JDBC-Treiber 4.6 Diese Treiberversion unterstützt SQL Server Always On ( Always On Failover Cluster Instances und Always On Availability Groups ). |
Zusätzliche Anforderungen für die Windows-Authentifizierung gegen Microsoft SQL Server
Wenn Sie möchten, dass HDS-Knoten die Windows-Authentifizierung verwenden, um Zugriff auf Ihre Keystore-Datenbank auf Microsoft SQL Server zu erhalten, benötigen Sie die folgende Konfiguration in Ihrer Umgebung:
-
Die HDS-Knoten, die Active Directory-Infrastruktur und der MS SQL Server müssen mit NTP synchronisiert werden.
-
Das Windows-Konto, das Sie den HDS-Knoten bereitstellen, muss Lese-/Schreibzugriff auf die Datenbank haben.
-
Die DNS-Server, die Sie den HDS-Knoten bereitstellen, müssen Ihr Key Distribution Center (KDC) auflösen können.
-
Sie können die HDS-Datenbankinstanz auf Ihrem Microsoft SQL Server als Service Principal Name (SPN) in Ihrem Active Directory registrieren. Siehe Einen Service Principal Name für Kerberos Connections registrieren .
Das HDS-Setup-Tool, der HDS-Launcher und lokale KMS müssen alle die Windows-Authentifizierung verwenden, um auf die Keystore-Datenbank zuzugreifen. Sie verwenden die Details aus Ihrer ISO-Konfiguration, um den SPN zu konstruieren, wenn sie den Zugriff mit Kerberos-Authentifizierung anfordern.
Anforderungen an externe Konnektivität
Konfigurieren Sie Ihre Firewall so, dass die folgende Konnektivität für die HDS-Anwendungen zulässig ist:
|
Anwendung |
Protokoll |
Port |
Richtung aus der App |
Ziel |
|---|---|---|---|---|
|
Hybrid-Datensicherheitsknoten |
TCP |
443 |
Ausgehende HTTPS und WSS |
|
|
HDS-Setup-Tool |
TCP |
443 |
Ausgehende HTTPS |
|
| Die Hybrid-Datensicherheitsknoten funktionieren mit NAT (Network Access Translation) oder hinter einer Firewall, sofern die NAT oder Firewall die erforderlichen ausgehenden Verbindungen zu den Domänenzielen in der vorangehenden Tabelle zulässt. Bei eingehenden Verbindungen zu den Hybrid-Datensicherheitsknoten sollten keine Ports aus dem Internet sichtbar sein. Innerhalb Ihres Rechenzentrums benötigen Clients für administrative Zwecke Zugriff auf die Hybrid-Datensicherheitsknoten an den TCP-Ports 443 und 22. |
Die URLs für die Common Identity (CI)-Hosts sind regionsspezifisch. Dies sind die aktuellen CI-Hosts:
|
Region |
Gastgeber-URLs der gemeinsamen Benutzeridentität |
|---|---|
|
Nord- und Südamerika |
|
|
Europäische Union |
|
|
Kanada |
|
Vorgaben für Proxy-Server
-
Wir unterstützen offiziell die folgenden Proxylösungen, die in ihre Hybriden Sicherheitsknoten integriert werden können.
-
Transparenter Proxy – Cisco Web Sicherheitsgerät (WSA).
-
Explizite –.
Squid-Proxys, die HTTPS-Datenverkehr prüfen, können die Einrichtung von Websocket-Verbindungen (wss:) beeinträchtigen. Informationen zur Behebung dieses Problems finden Sie unter Konfigurieren von Squid-Proxys für Hybrid Data Security .
-
-
Wir unterstützen die folgenden Authentifizierungskombinationen für explizite Proxys:
-
Keine Authentifizierung mit http oder HTTPS
-
Grundlegende Authentifizierung mit http oder HTTPS
-
Verdauungsauthentifizierung nur mit HTTPS
-
-
Um einen transparenten Proxy oder einen HTTPS expliziten Proxy zu erhalten, müssen Sie eine Kopie des Stammzertifikat des Stellvertreters besitzen. Die Bereitstellungsanweisungen in diesem Handbuch zeigen Ihnen, wie Sie die Kopie in die Vertrauensspeicher der Hybriden Datensicherheitsknoten hochladen können.
-
Das Netzwerk, das die HDS Nodes hostet, muss so konfiguriert sein, dass es den ausgehenden TCP Traffic auf Port 443 durch den Proxy zwingt
-
Proxys, die den Webverkehr inspizieren, können die Websteckverbindung beeinträchtigen. Wenn dieses Problem auftritt, wird das Problem durch Umgehung des Datenverkehrs zu
wbx2.comundciscospark.comgelöst.
Vervollständigen der Voraussetzungen für die Hybrid-Datensicherheit
| 1 |
Stellen Sie sicher, dass Ihre Webex-Organisation für Pro Pack für Cisco Webex Control Hub aktiviert ist, und erhalten Sie die Anmeldeinformationen eines Kontos mit vollständigen Administratorrechten für die Organisation. Wenden Sie sich an Ihren Cisco-Partner oder Account Manager, um Hilfe bei diesem Vorgang zu erhalten. | ||
| 2 |
Wählen Sie einen Domänennamen für Ihre HDS-Bereitstellung (z. B. | ||
| 3 |
Bereiten Sie identische virtuelle Hosts vor, die Sie als Hybrid-Datensicherheitsknoten in Ihrem Cluster einrichten. Sie benötigen mindestens zwei separate Hosts (3 empfohlen) in demselben sicheren Rechenzentrum, die die Anforderungen unter „Anforderungen an virtuelle Hosts“ erfüllen. | ||
| 4 |
Bereiten Sie den Datenbankserver vor, der als Schlüsseldatenspeicher für den Cluster fungieren wird, gemäß den Anforderungen des Datenbankservers . Der Datenbankserver muss im sicheren Rechenzentrum mit den virtuellen Hosts verbunden sein. | ||
| 5 |
Richten Sie für eine schnelle Notfallwiederherstellung eine Sicherungsumgebung in einem anderen Rechenzentrum ein. Die Backup-Umgebung spiegelt die Produktionsumgebung von VMs und einem Backup-Datenbankserver wider. Wenn die Produktion beispielsweise über 3 VMs verfügt, auf denen HDS-Knoten ausgeführt werden, sollte die Sicherungsumgebung über 3 VMs verfügen. | ||
| 6 |
Richten Sie einen Syslog-Host ein, um Protokolle von den Knoten im Cluster zu erfassen. Erfassen Sie die Netzwerkadresse und den Syslog-Port (standardmäßig UDP 514). | ||
| 7 |
Erstellen Sie eine sichere Sicherungsrichtlinie für die Hybrid-Datensicherheitsknoten, den Datenbankserver und den Syslog-Host. Um nicht wiederherstellbaren Datenverlust zu vermeiden, müssen Sie mindestens die Datenbank und die KonfigurationsISO-Datei sichern, die für die Hybrid-Datensicherheitsknoten generiert wurde.
Webex-App-Clients speichern ihre Schlüssel im Cache, sodass ein Ausfall nicht sofort erkennbar ist, sich aber im Laufe der Zeit bemerkbar macht. Während vorübergehende Ausfälle nicht zu verhindern sind, sind sie wiedergutzumachen. Der vollständige Verlust (keine Backups verfügbar) der Datenbank oder der ISO-Konfigurationsdatei führt jedoch zu nicht wiederherstellbaren Kundendaten. Von den Betreibern der Hybrid-Datensicherheitsknoten wird erwartet, dass sie häufige Backups der Datenbank und der ISO-Konfigurationsdatei führen und bereit sind, das Hybrid-Datensicherheitsrechenzentrum bei einem katastrophalen Ausfall neu zu erstellen. | ||
| 8 |
Stellen Sie sicher, dass Ihre Firewall-Konfiguration Verbindungen für Ihre Hybrid-Datensicherheitsknoten zulässt, wie unter „Externe Verbindungsanforderungen“ beschrieben. | ||
| 9 |
Installieren Sie Docker ( https://www.docker.com) auf jedem lokalen Computer, auf dem ein unterstütztes Betriebssystem (Microsoft Windows 10 Professional oder Enterprise 64-Bit oder Mac OSX Yosemite 10.10.3 oder höher) mit einem Webbrowser ausgeführt wird, der unter http://127.0.0.1:8080. Sie verwenden die Docker-Instanz, um das HDS-Setup-Tool herunterzuladen und auszuführen, das die lokalen Konfigurationsinformationen für alle Hybrid-Datensicherheitsknoten erstellt. Möglicherweise benötigt Ihre Organisation eine Docker Desktop-Lizenz. Weitere Informationen finden Sie unter Docker Desktop-Anforderungen . Um das HDS Setup Tool zu installieren und auszuführen, muss die lokale Maschine über die unter „Externe Verbindungsanforderungen“ beschriebene Konnektivität verfügen. | ||
| 10 |
Wenn Sie einen Proxy in Hybrid Data Security integrieren, stellen Sie sicher, dass er die Proxyserveranforderungen erfüllt. | ||
| 11 |
Wenn Ihre Organisation die Verzeichnissynchronisierung verwendet, erstellen Sie eine Gruppe in Active Directory mit dem Namen
|
Hybrid Data Security Deployment Task Flow
Vorbereitungen
| 1 |
Download the OVA file to your local machine for later use. | ||
| 2 |
Create a Configuration ISO for the HDS Hosts Use the HDS Setup Tool to create an ISO configuration file for the Hybrid Data Security nodes. | ||
| 3 |
Create a virtual machine from the OVA file and perform initial configuration, such as network settings.
| ||
| 4 |
Set up the Hybrid Data Security VM Sign in to the VM console and set the sign-in credentials. Configure the network settings for the node if you didn't configure them at the time of OVA deployment. | ||
| 5 |
Upload and Mount the HDS Configuration ISO Configure the VM from the ISO configuration file that you created with the HDS Setup Tool. | ||
| 6 |
Konfigurieren des HDS Knotens für Proxyintegration If the network environment requires proxy configuration, specify the type of proxy that you will use for the node, and add the proxy certificate to the trust store if needed. | ||
| 7 |
Register the First Node in the Cluster Register the VM with the Cisco Webex cloud as a Hybrid Data Security node. | ||
| 8 |
Create and Register More Nodes Complete the cluster setup. | ||
| 9 |
Run a Trial and Move to Production (next chapter) Until you start a trial, your nodes generate an alarm indicating that your service is not yet activated. |
Download Installation Files
| 1 |
Sign in to https://admin.webex.com, and then click Services. | ||||
| 2 |
In the Hybrid Services section, find the Hybrid Data Security card, and then click Set up. If the card is disabled or you don’t see it, contact your account team or your partner organization. Give them your account number and ask to enable your organization for Hybrid Data Security. To find the account number, click the gear at the top right, next to your organization name.
| ||||
| 3 |
Select No to indicate that you haven’t set up the node yet, and then click Next. The OVA file automatically begins to download. Save the file to a location on your machine.
| ||||
| 4 |
Optionally, click Open Deployment Guide to check if there’s a later version of this guide available. |
Create a Configuration ISO for the HDS Hosts
The Hybrid Data Security setup process creates an ISO file. You then use the ISO to configure your Hybrid Data Security host.
Vorbereitungen
-
Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zu zugreifen, führen Sie Docker auf diesem Computer aus. Für den Einrichtungsprozess sind die Anmeldeinformationen eines Control Hub-Kontos mit vollen Administratorrechten für Ihre Organisation erforderlich.
If the HDS Setup tool runs behind a proxy in your environment, provide the proxy settings (server, port, credentials) through Docker environment variables when bringing up the Docker container in step 5. Diese Tabelle enthält einige mögliche Umgebungsvariablen:
Beschreibung
Variable
HTTP-Proxy ohne Authentifizierung
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-Proxy ohne Authentifizierung
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-Proxy mit Authentifizierung
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTHTTPS-Proxy mit Authentifizierung
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
The configuration ISO file that you generate contains the master key encrypting the PostgreSQL or Microsoft SQL Server database. You need the latest copy of this file anytime you make configuration changes, like these:
-
Database credentials
-
Certificate updates
-
Changes to authorization policy
-
-
If you plan to encrypt database connections, set up your PostgreSQL or SQL Server deployment for TLS.
| 1 |
Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein: In regulären Umgebungen: In FedRAMP-Umgebungen:
| ||||||||||||
| 2 |
Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein: | ||||||||||||
| 3 |
Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein: | ||||||||||||
| 4 |
Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter: In regulären Umgebungen: In FedRAMP-Umgebungen: | ||||||||||||
| 5 |
Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:
Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express-Server hören auf Port 8080) sehen. | ||||||||||||
| 6 |
Use a web browser to go to the localhost, The tool uses this first entry of the username to set the proper environment for that account. The tool then displays the standard sign-in prompt. | ||||||||||||
| 7 |
When prompted, enter your Control Hub customer admin sign-in credentials, and then click Log in to allow access to the required services for Hybrid Data Security. | ||||||||||||
| 8 |
On the Setup Tool overview page, click Get Started. | ||||||||||||
| 9 |
On the ISO Import page, you have these options:
| ||||||||||||
| 10 |
Check that your X.509 certificate meets the requirements in X.509 Certificate Requirements.
| ||||||||||||
| 11 |
Enter the database address and account for HDS to access your key datastore: | ||||||||||||
| 12 |
Select a TLS Database Connection Mode:
When you upload the root certificate (if necessary) and click Continue, the HDS Setup Tool tests the TLS connection to the database server. Das Tool überprüft auch den Zertifikat signer und den Hostnamen, falls vorhanden. Wenn ein Test fehlschlägt, zeigt das Tool eine Fehlermeldung an, in der das Problem beschrieben wird. Sie können auswählen, ob Sie den Fehler ignorieren und mit der Einrichtung fortfahren möchten. (Because of connectivity differences, the HDS nodes might be able to establish the TLS connection even if the HDS Setup Tool machine can't successfully test it.) | ||||||||||||
| 13 |
On the System Logs page, configure your Syslogd server: | ||||||||||||
| 14 |
(Optional) You can change the default value for some database connection parameters in Advanced Settings. Generally, this parameter is the only one that you might want to change: | ||||||||||||
| 15 |
Click Continue on the Reset Service Accounts Password screen. Service account passwords have a nine-month lifespan. Use this screen when your passwords are nearing expiry or you want to reset them to invalidate previous ISO files. | ||||||||||||
| 16 |
Click Download ISO File. Save the file in a location that's easy to find. | ||||||||||||
| 17 |
Make a backup copy of the ISO file on your local system. Keep the backup copy secure. This file contains a master encryption key for the database contents. Restrict access to only those Hybrid Data Security administrators who should make configuration changes. | ||||||||||||
| 18 |
Um das Setup-Tool zu beenden, geben Sie |
Nächste Schritte
Back up the configuration ISO file. You need it to create more nodes for recovery, or to make configuration changes. If you lose all copies of the ISO file, you've also lost the master key. Recovering the keys from your PostgreSQL or Microsoft SQL Server database isn't possible.
| We never have a copy of this key and can't help if you lose it. |
Install the HDS Host OVA
| 1 |
Use the VMware vSphere client on your computer to log into the ESXi virtual host. | ||||||
| 2 |
Wählen Sie Datei > OVF-Vorlage bereitstellen aus. | ||||||
| 3 |
In the wizard, specify the location of the OVA file that you downloaded earlier, and then click Next. | ||||||
| 4 |
On the Select a name and folder page, enter a Virtual machine name for the node (for example, "HDS_Node_1"), choose a location where the virtual machine node deployment can reside, and then click Next. | ||||||
| 5 |
On the Select a compute resource page, choose the destination compute resource, and then click Next. A validation check runs. After it finishes, the template details appear. | ||||||
| 6 |
Verify the template details and then click Next. | ||||||
| 7 |
If you are asked to choose the resource configuration on the Configuration page, click 4 CPU and then click Next. | ||||||
| 8 |
On the Select storage page, click Next to accept the default disk format and VM storage policy. | ||||||
| 9 |
On the Select networks page, choose the network option from the list of entries to provide the desired connectivity to the VM. | ||||||
| 10 |
On the Customize template page, configure the following network settings:
If preferred, you can skip the network setting configuration and follow the steps in Set up the Hybrid Data Security VM to configure the settings from the node console.
| ||||||
| 11 |
Right-click the node VM, and then choose . The Hybrid Data Security software is installed as a guest on the VM Host. You are now ready to sign in to the console and configure the node. Leitfaden zur Fehlerbehebung Es kann zu einer Verzögerung von einigen Minuten kommen, bis die Knotencontainer angezeigt werden. Beim erstmaligen Start wird eine Bridge-Firewall-Nachricht angezeigt, während der Sie sich anmelden können. |
Set up the Hybrid Data Security VM
Use this procedure to sign in to the Hybrid Data Security node VM console for the first time and set the sign-in credentials. You can also use the console to configure the network settings for the node if you didn't configure them at the time of OVA deployment.
| 1 |
In the VMware vSphere client, select your Hybrid Data Security node VM and select the Console tab. The VM boots up and a login prompt appears. Drücken Sie die Eingabetaste, falls der Anmeldebildschirm nicht angezeigt wird.
|
| 2 |
Use the following default login and password to sign in and change the credentials: Since you are signing in to your VM for the first time, you are required to change the administrator password. |
| 3 |
If you already configured the network settings in Install the HDS Host OVA, skip the rest of this procedure. Otherwise, in the main menu, select the Edit Configuration option. |
| 4 |
Set up a static configuration with IP address, Mask, Gateway and DNS information. Your node should have an internal IP address and DNS name. DHCP is not supported. |
| 5 |
(Optional) Change the hostname, domain or NTP server(s), if needed to match your network policy. You do not need to set the domain to match the domain that you used to obtain the X.509 certificate. |
| 6 |
Save the network configuration and reboot the VM so that the changes take effect. |
Upload and Mount the HDS Configuration ISO
Vorbereitungen
Because the ISO file holds the master key, it should only be exposed on a "need to know" basis, for access by the Hybrid Data Security VMs and any administrators who might need to make changes. Make sure that only those administrators can access the datastore.
| 1 |
Upload the ISO file from your computer: |
| 2 |
Mount the ISO file: |
Nächste Schritte
If your IT policy requires, you can optionally unmount the ISO file after all your nodes pick up the configuration changes. See (Optional) Unmount ISO After HDS Configuration for details.
Konfigurieren des HDS Knotens für Proxyintegration
Wenn die Netzwerkumgebung einen Proxy erfordert, geben Sie mit diesem Vorgang den Typ des Proxy an, den Sie in die Hybriddatensicherheit integrieren möchten. Wenn Sie einen transparenten Anrufproxy oder einen HTTPS expliziten Proxy wählen, können Sie die Stammzertifikat über die Schnittstelle des Knotens hochladen und installiert werden. Sie können auch die Proxyverbindung über die Schnittstelle überprüfen und mögliche Probleme beheben.
Vorbereitungen
-
See Proxy Support for an overview of the supported proxy options.
| 1 |
Geben Sie den HDS Knoten Setup URL |
| 2 |
Gehen Sie zu Trust Store & Proxyund wählen Sie dann eine Option:
Befolgen Sie die nächsten Schritte für einen transparenten Inspektionsproxy, einen HTTP expliziten Proxy mit Basisauthentifizierung oder einen HTTPS expliziten Proxy |
| 3 |
Klicken Sie auf ein Zertifikat für das Stammzertifikat oder Endnutzerzertifikat hochladen, und navigieren Sie dann zu einer Stammzertifikat für den Proxy. Das Zertifikat ist hochgeladen, aber noch nicht installiert, da Sie den Knoten neu starten müssen, um das Zertifikat zu installieren. Klicken Sie auf den Chevron Pfeil unter dem Namen des Zertifikats, um weitere Details zu erhalten, oder klicken Sie auf löschen, Wenn Sie Fehler gemacht haben und die Datei erneut hochladen möchten. |
| 4 |
Klicken Sie auf Stellvertreterverbindung prüfen , um die Netzwerkverbindung zwischen dem Knoten und dem Proxy zu testen. Wenn der Verbindungstest ausfällt, wird eine Fehlermeldung angezeigt, die den Grund und die Frage, wie Sie das Problem beheben können, anzeigt. Wenn Sie eine Meldung sehen, dass eine externe DNS nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen. Diese Bedingung wird in vielen expliziten Proxykonfigurationen erwartet. Sie können mit dem Setup fortfahren, und der Knoten wird im gesperrten externen DNS-Server funktionieren. If you think this is an error, complete these steps, and then see Turn off Blocked External DNS Resolution Mode. |
| 5 |
Nach dem Durchführen des Verbindungstests, für expliziten Proxy, der nur auf HTTPS gesetzt ist, aktivieren Sie die Option so schalten Sie alle Port 443/444 https Anfragen aus diesem Knoten durch den expliziten Proxy Diese Einstellung benötigt 15 Sekunden, um wirksam zu werden. |
| 6 |
Klicken Sie auf alle-Zertifizierungsstellen in den Trust Store installieren (erscheint für einen HTTPS expliziten Proxy oder einen transparenten Inspektionskrimi) oder Neustart (erscheint für einen HTTP expliziten Proxy), lesen Sie die Aufforderung, und klicken Sie dann auf in Der Knoten startet innerhalb weniger Minuten. |
| 7 |
Nachdem der Knoten erneut gestartet wurde, melden Sie sich bei Bedarf erneut an, und öffnen Sie dann die Übersichtsseite, um die Verbindungsüberprüfungen zu überprüfen, um sicherzustellen, dass Sie alle im grünen Status sind. Die Proxyverbindung prüft nur eine Unterdomäne von WebEx.com. Wenn es Verbindungsprobleme gibt, ist ein häufiges Problem, dass einige der in den instructions aufgeführten-C-Domänen beim Proxy gesperrt werden. |
Register the First Node in the Cluster
Bei der Registrierung Ihres ersten Knotens erstellen Sie ein Cluster, zu dem der Knoten zugewiesen wird. A cluster contains one or more nodes deployed to provide redundancy.
Vorbereitungen
-
Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.
-
Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.
| 1 |
Melden Sie sich bei https://admin.webex.com an. |
| 2 |
Wählen Sie im Menü auf der linken Seite die Option Dienste aus. |
| 3 |
In the Hybrid Services section, find Hybrid Data Security and click Set up. The Register Hybrid Data Security Node page appears.
|
| 4 |
Select Yes to indicate that you have set up the node and are ready to register it, and then click Next. |
| 5 |
In the first field, enter a name for the cluster to which you want to assign your Hybrid Data Security node. Benennen Sie Ihre Cluster nach Möglichkeit nach dem geografischen Standort der Clusterknoten. Examples: "San Francisco" or "New York" or "Dallas" |
| 6 |
In the second field, enter the internal IP address or fully qualified domain name (FQDN) of your node and click Next. This IP address or FQDN should match the IP address or hostname and domain that you used in Set up the Hybrid Data Security VM. A message appears indicating you can register your node to the Webex.
|
| 7 |
Klicken Sie auf Zum Knoten wechseln. |
| 8 |
Klicken Sie in der Warnmeldung auf Weiter. After a few moments, you are redirected to the node connectivity tests for Webex services. If all tests are successful, the Allow Access to Hybrid Data Security Node page appears. There, you confirm that you want to give permissions to your Webex organization to access your node.
|
| 9 |
Check the Allow Access to Your Hybrid Data Security Node checkbox, and then click Continue. Your account is validated and the "Registration Complete" message indicates that your node is now registered to the Webex cloud.
|
| 10 |
Click the link or close the tab to go back to the Control Hub Hybrid Data Security page. On the Hybrid Data Security page, the new cluster containing the node that you registered is displayed. The node will automatically download the latest software from the cloud.
|
Create and Register More Nodes
| At this time, the backup VMs that you created in Complete the Prerequisites for Hybrid Data Security are standby hosts which are only used in the event of disaster recovery; they are not registered with the system until then. For details, see Disaster Recovery using Standby Data Center. |
Vorbereitungen
-
Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.
-
Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.
| 1 |
Create a new virtual machine from the OVA, repeating the steps in Install the HDS Host OVA. |
| 2 |
Set up the initial configuration on the new VM, repeating the steps in Set up the Hybrid Data Security VM. |
| 3 |
On the new VM, repeat the steps in Upload and Mount the HDS Configuration ISO. |
| 4 |
If you are setting up a proxy for your deployment, repeat the steps in Configure the HDS Node for Proxy Integration as needed for the new node. |
| 5 |
Register the node. Your node is registered. Note that until you start a trial, your nodes generate an alarm indicating that your service is not yet activated.
|
Nächste Schritte
Ablauf der Testversion der Produktionsaufgabe
Nachdem Sie einen Hybrid-Datensicherheitscluster eingerichtet haben, können Sie einen Pilotversuch starten, Benutzer hinzufügen und damit beginnen, Ihre Bereitstellung zu testen und zu überprüfen, um auf die Produktion vorzubereiten.
Vorbereitungen
| 1 |
Synchronisieren Sie ggf. das Gruppenobjekt Wenn Ihre Organisation die Verzeichnissynchronisierung für Benutzer verwendet, müssen Sie das Gruppenobjekt |
| 2 |
Starten Sie eine Testversion. Bis Sie diese Aufgabe ausführen, generieren Ihre Knoten einen Alarm, der angibt, dass der Dienst noch nicht aktiviert ist. |
| 3 |
Testen Sie Ihre Hybrid-Datensicherheitsbereitstellung Überprüfen Sie, ob wichtige Anforderungen an Ihre Hybrid-Datensicherheitsbereitstellung übergeben werden. |
| 4 |
Hybrid-Datensicherheitsstatus überwachen Überprüfen Sie den Status und richten Sie E-Mail-Benachrichtigungen für Alarme ein. |
| 5 |
Hinzufügen oder Entfernen von Benutzern aus Ihrer Testversion |
| 6 |
Schließen Sie die Testphase mit einer der folgenden Aktionen ab: |
Testversion aktivieren
Vorbereitungen
Wenn Ihre Organisation die Verzeichnissynchronisierung für Benutzer verwendet, müssen Sie das Gruppenobjekt HdsTrialGroup für die Synchronisierung mit der Cloud auswählen, bevor Sie eine Testversion für Ihre Organisation starten können. Weitere Informationen finden Sie im Bereitstellungsleitfaden für Cisco Directory Connector.
| 1 |
Melden Sie sich bei an https://admin.webex.com und wählen Sie dann „Dienste“ . |
| 2 |
Klicken Sie unter „Hybrid-Datensicherheit“ auf „Einstellungen“ . |
| 3 |
Klicken Sie im Abschnitt „Dienststatus“ auf Test starten . Der Dienststatus ändert sich in den Testmodus.
|
| 4 |
Klicken Sie auf Benutzer hinzufügen und geben Sie die E-Mail-Adresse eines oder mehrerer Benutzer ein, um Ihre Hybrid-Datensicherheitsknoten für Verschlüsselungs- und Indexierungsdienste zu verwenden. (Wenn Ihre Organisation die Verzeichnissynchronisierung verwendet, verwenden Sie Active Directory, um die Testgruppe zu verwalten: |
Testen Sie Ihre Hybrid-Datensicherheitsbereitstellung
Vorbereitungen
-
Richten Sie Ihre Bereitstellung für Hybrid-Datensicherheit ein.
-
Aktivieren Sie die Testversion und fügen Sie mehrere Testbenutzer hinzu.
-
Stellen Sie sicher, dass Sie Zugriff auf das Syslog haben, um zu überprüfen, ob wichtige Anforderungen an Ihre Bereitstellung für die Hybrid-Datensicherheit weitergeleitet werden.
| 1 |
Schlüssel für einen bestimmten Bereich werden vom Ersteller des Bereichs festgelegt. Melden Sie sich bei der Webex-App als einer der Pilotbenutzer an, erstellen Sie einen Bereich und laden Sie mindestens einen Pilotbenutzer und einen Nicht-Pilotbenutzer ein.
| ||
| 2 |
Nachrichten an den neuen Bereich senden. | ||
| 3 |
Überprüfen Sie die Syslog-Ausgabe, um zu überprüfen, ob die Schlüsselanforderungen an Ihre Hybrid-Datensicherheitsbereitstellung übergeben werden. |
Hybrid-Datensicherheitsstatus überwachen
| 1 |
Wählen Sie in Control Hub im Menü auf der linken Seite des Bildschirms Dienste aus. |
| 2 |
Suchen Sie im Abschnitt Hybrid-Dienste nach Hybrid Data Security und klicken Sie auf Einstellungen . Die Seite „Hybrid-Datensicherheitseinstellungen“ wird angezeigt.
|
| 3 |
Geben Sie im Abschnitt E-Mail-Benachrichtigungen eine oder mehrere durch Kommas getrennte E-Mail-Adressen ein und drücken Sie die Eingabetaste. |
Hinzufügen oder Entfernen von Benutzern aus Ihrer Testversion
Wenn Sie einen Benutzer aus der Testversion entfernen, fordert der Client des Benutzers die Schlüssel und die Schlüsselerstellung aus dem Cloud-KMS anstelle Ihres KMS an. Wenn der Client einen Schlüssel benötigt, der auf Ihrem KMS gespeichert ist, ruft der Cloud-KMS ihn im Namen des Benutzers ab.
Wenn Ihre Organisation die Verzeichnissynchronisierung verwendet, verwenden Sie Active Directory (anstatt dieses Verfahrens), um die Testgruppe HdsTrialGroup zu verwalten. Sie können die Gruppenmitglieder in Control Hub anzeigen, aber nicht hinzufügen oder entfernen.
| 1 |
Melden Sie sich bei Control Hub an und wählen Sie dann „Dienste“ . |
| 2 |
Klicken Sie unter „Hybrid-Datensicherheit“ auf „Einstellungen“ . |
| 3 |
Klicken Sie im Abschnitt „Testmodus“ im Bereich „Dienststatus“ auf „Benutzer hinzufügen“, oder klicken Sie auf „Benutzer anzeigen und bearbeiten“ , um Benutzer aus der Testversion zu entfernen. |
| 4 |
Geben Sie die E-Mail-Adresse eines oder mehrerer Benutzer ein, die Sie hinzufügen möchten, oder klicken Sie auf das X-Zeichen neben einer Benutzer-ID, um den Benutzer aus der Testversion zu entfernen. Klicken Sie anschließend auf Speichern. |
Übergang von der Testversion zur Produktion
| 1 |
Melden Sie sich bei Control Hub an und wählen Sie dann „Dienste“ . |
| 2 |
Klicken Sie unter „Hybrid-Datensicherheit“ auf „Einstellungen“ . |
| 3 |
Klicken Sie im Abschnitt „Dienststatus“ auf Zu Produktion wechseln . |
| 4 |
Bestätigen Sie, dass Sie alle Benutzer in die Produktion verschieben möchten. |
Beenden Sie Ihren Test, ohne zur Produktion zu wechseln
| 1 |
Melden Sie sich bei Control Hub an und wählen Sie dann „Dienste“ . |
| 2 |
Klicken Sie unter „Hybrid-Datensicherheit“ auf „Einstellungen“ . |
| 3 |
Klicken Sie im Abschnitt Deaktivieren auf Deaktivieren . |
| 4 |
Bestätigen Sie, dass Sie den Dienst deaktivieren und den Test beenden möchten. |
Verwalten der HDS-Bereitstellung
Verwenden Sie die hier beschriebenen Aufgaben, um Ihre Bereitstellung für die Hybrid-Datensicherheit zu verwalten.
Cluster-Upgrade-Zeitplan festlegen
So legen Sie den Upgrade-Zeitplan fest:
| 1 |
Melden Sie sich bei Control Hub an. |
| 2 |
Wählen Sie auf der Übersichtsseite unter Hybriddienste die Option Hybrid-Datensicherheit . |
| 3 |
Wählen Sie auf der Seite Hybrid-Datensicherheitsressourcen den Cluster aus. |
| 4 |
Wählen Sie im Übersichtsbereich auf der rechten Seite unter Cluster-Einstellungen den Cluster-Namen aus. |
| 5 |
Wählen Sie auf der Einstellungsseite unter Upgrade die Uhrzeit und die Zeitzone für den Upgrade-Zeitplan aus. Hinweis: Unter der Zeitzone wird der nächste verfügbare Zeitpunkt für ein Upgrade angezeigt. Sie können das Upgrade bei Bedarf auf den folgenden Tag verschieben, indem Sie auf „ Verschieben“ klicken. |
Knotenkonfiguration ändern
-
Änderung der x.509-Zertifikate aufgrund Ablaufs oder anderer Gründe.
Wir unterstützen keine Änderung des CN-Domänennamens eines Zertifikats. Die Domäne muss mit der Originaldomäne übereinstimmen, die zur Registrierung des Clusters verwendet wurde.
-
Datenbankeinstellungen werden aktualisiert, um auf eine Replik der PostgreSQL- oder Microsoft SQL Server-Datenbank zu wechseln.
Wir unterstützen keine Migration von Daten von PostgreSQL zu Microsoft SQL Server oder auf den entgegengesetzten Weg. Um die Datenbankumgebung zu wechseln, starten Sie eine neue Bereitstellung von Hybrid Data Security.
-
Erstellen einer neuen Konfiguration, um ein neues Datenzentrum vorzubereiten.
Aus Sicherheitsgründen verwendet Hybrid Data Security Dienstkonto-Passwörter mit einer Laufzeit von neun Monaten. Nachdem das HDS Setup Tool diese Passwörter generiert hat, stellen Sie sie für jeden Ihrer HDS-Knoten in der ISO-Konfigurationsdatei bereit. Wenn die Kennwörter Ihrer Organisation fast ablaufen, erhalten Sie eine Benachrichtigung vom Webex-Team, mit der Sie das Passwort für Ihr Computerkonto zurücksetzen können. (Die E-Mail enthält den Text "Verwenden Sie die Maschinenkonto-API, um das Passwort zu aktualisieren"). Wenn Ihre Passwörter noch nicht abgelaufen sind, bietet Ihnen das Tool zwei Optionen:
-
Weiches Zurücksetzen —Die alten und neuen Passwörter funktionieren beide bis zu 10 Tage lang. Verwenden Sie diesen Zeitraum, um die ISO-Datei der Knoten schrittweise zu ersetzen.
-
Hard reset – Die alten Passwörter funktionieren nicht mehr sofort.
Wenn Ihre Passwörter ohne Zurücksetzen ablaufen, wirkt sich dies auf Ihren HDS-Dienst aus, was ein sofortiges Zurücksetzen und Ersetzen der ISO-Datei auf allen Knoten erfordert.
Verwenden Sie dieses Verfahren, um eine neue ISO-Konfigurationsdatei zu generieren und auf Ihren Cluster anzuwenden.
Vorbereitungen
-
Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zu zugreifen, führen Sie Docker auf diesem Computer aus. Für den Einrichtungsprozess sind die Anmeldeinformationen eines Control Hub-Kontos mit vollen Administratorrechten für Ihre Organisation erforderlich.
Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxyeinstellungen (Server, Port, Anmeldeinformationen) über Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in 1.e öffnen. Diese Tabelle enthält einige mögliche Umgebungsvariablen:
Beschreibung
Variable
HTTP-Proxy ohne Authentifizierung
GLOBAL _ AGENT _ HTTP _ PROXY=http://SERVER _ IP:PORTHTTPS-Proxy ohne Authentifizierung
GLOBAL _ AGENT _ HTTPS _ PROXY=http://SERVER _ IP:PORTHTTP-Proxy mit Authentifizierung
GLOBAL _ AGENT _ HTTP _ PROXY=http://USERNAME:PASSWORD@SERVER _ IP:PORTHTTPS-Proxy mit Authentifizierung
GLOBAL _ AGENT _ HTTPS _ PROXY=http://USERNAME:PASSWORD@SERVER _ IP:PORT -
Um eine neue Konfiguration zu erstellen, benötigen Sie eine Kopie der aktuellen ISO-Konfigurationsdatei. Die ISO enthält den Masterschlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die ISO-Datei, wenn Sie Konfigurationsänderungen vornehmen, wie z. B. Datenbank-Anmeldeinformationen, Zertifikataktualisierungen oder Änderungen an der Autorisierungsrichtlinie.
| 1 |
Führen Sie auf einem lokalen Computer, auf dem Docker läuft, das HDS Setup Tool aus.
| ||||||
| 2 |
Wenn Sie nur einen HDS-Knoten mit ausführen, erstellen Sie eine neue VM mit Hybrid-Datensicherheitsknoten und registrieren Sie sie mit der neuen ISO-Konfigurationsdatei. Detaillierte Anweisungen finden Sie unter Weitere Knoten erstellen und registrieren . | ||||||
| 3 |
Mounten Sie bei vorhandenen HDS-Knoten, auf denen die ältere Konfigurationsdatei ausgeführt wird, die ISO-Datei. Führen Sie für jeden Knoten des Knotens folgende Schritte durch, indem Sie jeden Knoten aktualisieren, bevor Sie den nächsten Knoten deaktivieren: | ||||||
| 4 |
Wiederholen Sie Schritt 3, um bei jedem weiteren Knoten zu ersetzen, auf dem noch die alte Konfiguration ausgeführt wird, die Konfiguration zu ersetzen. |
Blockierte externe DNS Auflösungsmodus deaktivieren
Wenn Sie einen Knoten registrieren oder die Proxykonfiguration des Knotens überprüfen, testet das Verfahren die DNS und die Konnektivität der Cisco WebEx. Wenn der DNS-Server des Knotens öffentliche DNS nicht auflösen kann, geht der Knoten automatisch in den gesperrten externen DNS-Server.
Wenn Ihre Knoten öffentliche DNS über interne DNS-Server auflösen können, aktivieren Sie diesen Modus, indem Sie den Proxyverbindungstest für jeden Knoten deaktivieren.
Vorbereitungen
| 1 |
Öffnen Sie in einem Webbrowser die Schnittstelle des hybriden Datensicherheitsknotens (IP-Adresse/Einrichtung, z. B. https://192.0.2.0/setup), geben Sie die Administratoranmeldeinformationen ein, die Sie für den Knoten eingerichtet haben, und klicken Sie dann auf Anmelden . |
| 2 |
Gehen Sie zu Übersicht (Standardseite). Wenn diese Option aktiviert ist, wird die externe DNS auf "Ja" gesetzt . |
| 3 |
Gehen Sie zur Seite Vertrauensspeicher und Proxy . |
| 4 |
Klicken Sie auf Stellvertreterverbindung prüfen. Wenn Sie eine Meldung sehen, dass eine externe DNS nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen und wird in diesem Modus verbleiben. Andernfalls sollte nach dem Neustart des Knotens und der Rückfahrt zur Übersichtsseite die gesperrte externe DNS auf "Nein" gesetzt werden. |
Nächste Schritte
Knoten entfernen
| 1 |
Verwenden Sie den VMware vSphere-Client auf Ihrem Computer, um sich beim virtuellen ESXi-Host anzumelden und die virtuelle Maschine auszuschalten. |
| 2 |
Knoten entfernen: |
| 3 |
Löschen Sie die VM im vSphere-Client. (Klicken Sie im linken Navigationsbereich mit der rechten Maustaste auf die VM und klicken Sie auf Löschen .) Wenn Sie die VM nicht löschen, denken Sie daran, die Konfiguration der ISO-Datei aufzuheben. Ohne die ISO-Datei können Sie die VM nicht für den Zugriff auf Ihre Sicherheitsdaten verwenden. |
Notfallwiederherstellung mit Standby-Rechenzentrum
Der wichtigste Dienst, den Ihr Hybrid-Datensicherheitscluster bietet, ist die Erstellung und Speicherung von Schlüsseln, mit denen Nachrichten und andere in der Webex-Cloud gespeicherte Inhalte verschlüsselt werden. Für jeden Benutzer innerhalb der Organisation, der der Hybrid-Datensicherheit zugewiesen ist, werden neue Anforderungen zur Schlüsselerstellung an den Cluster weitergeleitet. Der Cluster ist auch dafür verantwortlich, die Schlüssel, die er erstellt hat, an alle Benutzer zurückzugeben, die zum Abrufen autorisiert sind, z. B. Mitglieder eines Konversationsbereichs.
Da der Cluster die wichtige Funktion zur Bereitstellung dieser Schlüssel ausführt, ist es zwingend erforderlich, dass der Cluster weiterhin ausgeführt wird und die ordnungsgemäßen Backups beibehalten werden. Der Verlust der Hybrid Data Security-Datenbank oder der für das Schema verwendeten Konfigurations-ISO führt zu einem NICHT WIEDERHERSTELLBAREN VERLUST von Kundeninhalten. Die folgenden Praktiken sind obligatorisch, um einen solchen Verlust zu verhindern:
Wenn eine Katastrophe dazu führt, dass die HDS-Bereitstellung im primären Rechenzentrum nicht mehr verfügbar ist, führen Sie die folgenden Schritte aus, um ein manuelles Failover zum Standby-Rechenzentrum durchzuführen.
| 1 |
Starten Sie das HDS-Setup-Tool und befolgen Sie die unter Erstellen einer Konfigurations-ISO für die HDS-Hosts genannten Schritte. | ||
| 2 |
Klicken Sie nach der Konfiguration des Syslogd-Servers auf Erweiterte Einstellungen | ||
| 3 |
Fügen Sie auf der Seite Erweiterte Einstellungen die Konfiguration unten hinzu oder entfernen Sie die Konfiguration
| ||
| 4 |
Schließen Sie den Konfigurationsvorgang ab und speichern Sie die ISO-Datei an einem leicht zu findenden Speicherort. | ||
| 5 |
Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Halten Sie die Sicherungskopie sicher. Diese Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff nur auf Hybrid-Datensicherheitsadministratoren, die Konfigurationsänderungen vornehmen sollten. | ||
| 6 |
Klicken Sie im linken Navigationsbereich des VMware vSphere-Clients mit der rechten Maustaste auf die VM und klicken Sie auf Einstellungen bearbeiten.. | ||
| 7 |
Klicken Sie auf Einstellungen bearbeiten > CD/DVD Laufwerk 1 und wählen Sie Datastore ISO File.
| ||
| 8 |
Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 15 Minuten lang keine Alarme vorhanden sind. | ||
| 9 |
Wiederholen Sie den Vorgang für jeden Knoten im Standby-Rechenzentrum.
|
Nächste Schritte
(Optional) ISO nach HDS-Konfiguration entmounten
Die Standard-HDS-Konfiguration wird mit der ISO-Montierung ausgeführt. Einige Kunden ziehen es jedoch vor, ISO-Dateien nicht ununterbrochen eingehängt zu lassen. Sie können die ISO-Datei unmounten, nachdem alle HDS-Knoten die neue Konfiguration übernommen haben.
Sie verwenden weiterhin die ISO-Dateien, um Konfigurationsänderungen vorzunehmen. Wenn Sie eine neue ISO erstellen oder eine ISO über das Setup-Tool aktualisieren, müssen Sie die aktualisierte ISO auf allen HDS-Knoten mounten. Nachdem alle Ihre Knoten die Konfigurationsänderungen übernommen haben, können Sie die ISO-Datei mit diesem Verfahren erneut unmounten.
Vorbereitungen
Aktualisieren Sie alle HDS-Knoten auf Version 2021.01.22.4720 oder höher.
| 1 |
Fahren Sie einen Ihrer HDS-Knoten herunter. |
| 2 |
Wählen Sie in der vCenter Server Appliance den HDS-Knoten aus. |
| 3 |
Wählen Sie und deaktivieren Sie Datastore ISO File . |
| 4 |
Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 20 Minuten lang keine Alarme vorhanden sind. |
| 5 |
Wiederholen Sie den Vorgang für jeden HDS-Knoten. |
Anzeigen von Warnungen und Fehlerbehebung
Eine Bereitstellung der Hybrid-Datensicherheit gilt als nicht verfügbar, wenn alle Knoten im Cluster nicht erreichbar sind oder der Cluster so langsam arbeitet, dass eine Zeitüberschreitung erforderlich ist. Wenn Benutzer Ihren Hybrid-Datensicherheitscluster nicht erreichen können, treten die folgenden Symptome auf:
-
Neue Bereiche können nicht erstellt werden (neue Schlüssel können nicht erstellt werden)
-
Nachrichten und Bereichstitel können nicht entschlüsselt werden für:
-
Neue Benutzer zu einem Bereich hinzugefügt (Schlüssel können nicht abgerufen werden)
-
Vorhandene Benutzer in einem Bereich mit einem neuen Client (Schlüssel können nicht abgerufen werden)
-
-
Vorhandene Benutzer in einem Bereich werden weiterhin erfolgreich ausgeführt, solange ihre Clients über einen Cache mit den Verschlüsselungsschlüsseln verfügen.
Es ist wichtig, dass Sie Ihren Hybrid-Datensicherheitscluster ordnungsgemäß überwachen und alle Warnungen umgehend beheben, um Dienstunterbrechungen zu vermeiden.
Warnungen
Wenn bei der Einrichtung der Hybrid-Datensicherheit ein Problem auftritt, zeigt Control Hub dem Organisationsadministrator Warnungen an und sendet E-Mails an die konfigurierte E-Mail-Adresse. Die Warnungen decken viele gängige Szenarien ab.
|
Alarm |
Aktion |
|---|---|
|
Fehler beim Zugriff auf die lokale Datenbank. |
Suchen Sie nach Datenbankfehlern oder lokalen Netzwerkproblemen. |
|
Lokaler Datenbankverbindungsfehler. |
Überprüfen Sie, ob der Datenbankserver verfügbar ist und die richtigen Dienstkonto-Anmeldeinformationen in der Knotenkonfiguration verwendet wurden. |
|
Fehler beim Zugriff auf den Cloud-Dienst. |
Überprüfen Sie, ob die Knoten wie unter „Externe Konnektivitätsanforderungen“ beschrieben auf die Webex-Server zugreifen können. |
|
Erneute Registrierung des Cloud-Dienstes. |
Die Registrierung bei Cloud-Diensten wurde aufgehoben. Die Erneuerung der Registrierung läuft. |
|
Registrierung des Cloud-Dienstes wurde abgebrochen. |
Die Registrierung bei Cloud-Diensten wurde beendet. Der Dienst wird heruntergefahren. |
|
Dienst noch nicht aktiviert. |
Aktivieren Sie eine Testversion oder schließen Sie die Übertragung der Testversion auf die Produktion ab. |
|
Die konfigurierte Domäne stimmt nicht mit dem Serverzertifikat überein. |
Stellen Sie sicher, dass Ihr Serverzertifikat mit der konfigurierten Serviceaktivierungsdomäne übereinstimmt. Die wahrscheinlichste Ursache ist, dass der CN des Zertifikats vor Kurzem geändert wurde und sich nun vom CN unterscheidet, der bei der Ersteinrichtung verwendet wurde. |
|
Authentifizierung bei Cloud-Diensten fehlgeschlagen. |
Überprüfen Sie die Genauigkeit und den möglichen Ablauf der Anmeldeinformationen für das Dienstkonto. |
|
Lokale Keystore-Datei konnte nicht geöffnet werden. |
Überprüfen Sie die Integrität und Passwortgenauigkeit der lokalen Keystore-Datei. |
|
Das lokale Serverzertifikat ist ungültig. |
Überprüfen Sie das Ablaufdatum des Serverzertifikats und bestätigen Sie, dass es von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde. |
|
Metriken können nicht veröffentlicht werden. |
Überprüfen Sie den lokalen Netzwerkzugriff auf externe Cloud-Dienste. |
|
/media/configdrive/hds Verzeichnis existiert nicht. |
Überprüfen Sie die ISO-Bereitstellungskonfiguration auf dem virtuellen Host. Stellen Sie sicher, dass die ISO-Datei vorhanden ist, dass sie für das Einhängen beim Neustart konfiguriert ist und dass sie erfolgreich eingehängt wird. |
Fehlerbehebung bei Hybrid Data Security
| 1 |
Prüfen Sie Control Hub auf alle Warnungen und beheben Sie alle Elemente, die Sie dort finden. |
| 2 |
Prüfen Sie die Syslog-Serverausgabe auf die Aktivität aus der Bereitstellung für Hybrid-Datensicherheit. |
| 3 |
Kontaktieren Sie den Cisco Support . |
Bekannte Probleme bei der Hybrid-Datensicherheit
-
Wenn Sie Ihr Hybrid-Datensicherheitscluster herunterfahren (indem Sie es in Control Hub löschen oder alle Knoten herunterfahren), Ihre ISO-Konfigurationsdatei verlieren oder den Zugriff auf die Keystore-Datenbank verlieren, können Ihre Webex-App-Benutzer keine Bereiche mehr in ihrer Personenliste verwenden, die mit Schlüsseln aus Ihrem KMS erstellt wurden. Dies gilt sowohl für Test- als auch für Produktionsbereitstellungen. Wir haben derzeit keine Problemumgehung oder Lösung für dieses Problem und bitten Sie dringend, Ihre HDS-Dienste nicht herunterzufahren, sobald sie aktive Benutzerkonten verarbeiten.
-
Ein Client, der eine vorhandene ECDH-Verbindung zu einer KMS hat, hält diese Verbindung für einen bestimmten Zeitraum (wahrscheinlich eine Stunde) aufrecht. Wenn ein Benutzer Mitglied einer Testversion für Hybrid-Datensicherheit wird, verwendet der Client des Benutzers die vorhandene ECDH-Verbindung weiter, bis die Zeitüberschreitung auftritt. Alternativ kann sich der Benutzer bei der Webex-App abmelden und erneut anmelden, um den Standort zu aktualisieren, den die App für Verschlüsselungsschlüssel kontaktiert.
Dasselbe Verhalten tritt auf, wenn Sie eine Testversion für die Organisation in die Produktion verschieben. Alle Nicht-Testbenutzer mit bestehenden ECDH-Verbindungen zu den vorherigen Datensicherheitsdiensten werden diese Dienste weiterhin nutzen, bis die ECDH-Verbindung neu ausgehandelt wird (durch Zeitüberschreitung oder durch Abmelden und zurück).
Verwenden von OpenSSL zum Generieren einer PKCS12-Datei
Vorbereitungen
-
OpenSSL ist ein Tool, mit dem die PKCS12-Datei im richtigen Format zum Laden im HDS Setup Tool erstellt werden kann. Es gibt andere Möglichkeiten, dies zu tun, und wir unterstützen oder fördern nicht den einen Weg über den anderen.
-
Wenn Sie sich für OpenSSL entscheiden, stellen wir Ihnen dieses Verfahren als Richtlinie zur Verfügung, um Ihnen zu helfen, eine Datei zu erstellen, die die X.509-Zertifikatanforderungen in X.509-Zertifikatanforderungen erfüllt. Machen Sie sich mit diesen Anforderungen vertraut, bevor Sie fortfahren.
-
Installieren Sie OpenSSL in einer unterstützten Umgebung. Siehe https://www.openssl.org für die Software und Dokumentation.
-
Erstellen Sie einen privaten Schlüssel.
-
Starten Sie dieses Verfahren, wenn Sie das Serverzertifikat von Ihrer Certificate Authority (CA) erhalten.
| 1 |
Wenn Sie das Serverzertifikat von Ihrer Zertifizierungsstelle erhalten, speichern Sie es als |
| 2 |
Zeigen Sie das Zertifikat als Text an und überprüfen Sie die Details.
|
| 3 |
Verwenden Sie einen Texteditor, um eine Zertifikatpaket-Datei mit dem Namen
|
| 4 |
Erstellen Sie die .p12-Datei mit dem freundlichen Namen
|
| 5 |
Überprüfen Sie die Details des Serverzertifikats. |
Nächste Schritte
Zurück zu Vervollständigen der Voraussetzungen für Hybrid-Datensicherheit . Sie verwenden die Datei hdsnode.p12 und das Kennwort, das Sie dafür festgelegt haben, in Create a Configuration ISO for the HDS Hosts .
| Sie können diese Dateien wiederverwenden, um ein neues Zertifikat anzufordern, wenn das ursprüngliche Zertifikat abläuft. |
Datenverkehr zwischen den HDS-Knoten und der Cloud
Datenverkehr bei Sammlung ausgehender Metriken
Die Hybrid-Datensicherheitsknoten senden bestimmte Metriken an die Webex-Cloud. Dazu gehören Systemmetriken für Heap max, Heap verwendet, CPU-Auslastung und Thread-Anzahl; Metriken zu synchronen und asynchronen Threads; Metriken zu Warnungen, die einen Schwellenwert für Verschlüsselungsverbindungen, Latenz oder eine Länge der Anforderungswarteschlange umfassen; Metriken zum Datenspeicher und Verschlüsselungsverbindungsmetriken. Die Knoten senden verschlüsseltes Schlüsselmaterial über einen Out-of-Band-Kanal (getrennt von der Anforderung).
Eingehender Verkehr
Die Hybrid-Datensicherheitsknoten erhalten die folgenden Arten von eingehendem Datenverkehr aus der Webex-Cloud:
-
Verschlüsselungsanfragen von Clients, die vom Verschlüsselungsdienst weitergeleitet werden
-
Upgrades auf die Knotensoftware
Konfigurieren von Tintenfisch für die Hybriddatensicherheit
WebSocket kann nicht über SquID Proxy verbunden werden
Squid-Proxys, die den HTTPS-Datenverkehr prüfen, können die Einrichtung von Websocket-Verbindungen ( wss:) beeinträchtigen, die für die Hybrid-Datensicherheit erforderlich sind. Diese Abschnitte geben Anweisungen, wie Sie verschiedene Versionen von Squid konfigurieren, um WSS zu ignorieren: Datenverkehr für den ordnungsgemäßen Ablauf der Services.
Squid 4 und 5
Fügen Sie die on_unsupported_protocol Direktive zu squid.conf hinzu:
on_unsupported_protocol Tunnel alleSquid 3.5.27
Wir haben die Hybriddatensicherheit erfolgreich mit den folgenden Regeln getestet, die zu squid .conf hinzugefügt wurden. Diese Regeln können sich geändert werden, da wir Funktionen entwickeln und die WebEx Cisco aktualisieren.
acl wssMercuryConnection ssl::server_name_regex Quecksilber-Verbindung ssl_bump Verbindungsstück wssMercuryVerbindung acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 alle ssl_bump stare step2 alle ssl_bump bump step3 alle Vorwort
Neue und geänderte Informationen
|
Datum |
Vorgenommene Änderungen |
|---|---|
|
20. Oktober 2023 |
|
|
7. August 2023 |
|
|
23. Mai 2023 |
|
|
06. Dezember 2022 |
|
|
23. November 2022 |
|
|
13. Oktober 2021 |
Docker Desktop muss ein Setup-Programm ausführen, bevor Sie HDS-Knoten installieren können. Siehe Anforderungen für Docker Desktop. |
|
24. Juni 2021 |
Beachten Sie, dass Sie die Datei mit dem privaten Schlüssel und den CSR wiederverwenden können, um ein anderes Zertifikat anzufordern. Weitere Details finden Sie unter Verwenden von OpenSSL zum Generieren einer PKCS12-Datei . |
| 30. April 2021 |
Die VM-Anforderung für lokalen Festplattenspeicher wurde auf 30 GB geändert. Weitere Informationen finden Sie unter Anforderungen für virtuelle Gastgeber . |
|
Mittwoch, 24. Februar 2021 |
Das HDS Setup Tool kann jetzt hinter einem Proxy ausgeführt werden. Weitere Informationen finden Sie unter Erstellen einer Konfigurations-ISO für die HDS-Hosts . |
|
Dienstag, 2. Februar 2021 |
HDS kann jetzt ohne eingehängte ISO-Datei ausgeführt werden. Weitere Informationen finden Sie unter (Optional) ISO nach HDS-Konfiguration unmounten . |
|
11. Januar 2021 |
Informationen zum HDS-Setup-Tool und zu Proxys zu Erstellen einer Konfigurations-ISO für die HDS-Hosts hinzugefügt. |
|
13. Oktober 2020 |
Aktualisierte Installationsdateien herunterladen. |
|
8. Oktober 2020 |
Aktualisiert Erstellen einer Konfigurations-ISO für die HDS-Hosts und Ändern der Knotenkonfiguration mit Befehlen für FedRAMP-Umgebungen. |
|
Freitag, 14. August 2020 |
Aktualisierung von Erstellen einer Konfigurations-ISO für die HDS-Hosts und Ändern der Knotenkonfiguration mit Änderungen am Anmeldeprozess. |
|
Mittwoch, 5. August 2020 |
Hybrid-Datensicherheitsbereitstellung testen auf Änderungen in den Protokollnachrichten aktualisiert. Die Anforderungen für virtuelle Gastgeber wurden aktualisiert, um die maximale Anzahl von Gastgebern zu entfernen. |
|
Dienstag, 16. Juni 2020 |
Knoten entfernen für Änderungen in der Control Hub-Benutzeroberfläche aktualisiert. |
|
Donnerstag, 4. Juni 2020 |
Die Option Konfigurations-ISO für die HDS-Hosts erstellen wurde für Änderungen in den erweiterten Einstellungen aktualisiert, die Sie möglicherweise festlegen. |
|
Freitag, 29. Mai 2020 |
Der aktualisierte Abschnitt Erstellen einer Konfigurations-ISO für die HDS-Hosts zeigt, dass Sie auch TLS mit SQL Server-Datenbanken, UI-Änderungen und anderen Klärungen verwenden können. |
|
Dienstag, 5. Mai 2020 |
Die Anforderungen für virtuelle Gastgeber wurden aktualisiert, um die neuen Anforderungen von ESXi 6.5 anzuzeigen. |
|
21. April 2020 |
Aktualisierte Anforderungen an externe Konnektivität mit neuen Amerika-CI-Hosts. |
|
1. April 2020 |
Anforderungen an externe Konnektivität mit Informationen zu regionalen CI-Hosts aktualisiert. |
| Dienstag, 20. Februar 2020 | Die Option Konfigurations-ISO für HDS-Hosts erstellen wurde mit Informationen zum neuen optionalen Bildschirm „Erweiterte Einstellungen“ im HDS Setup Tool aktualisiert. |
| 4. Februar 2020 | Aktualisierte Proxyserver-Anforderungen. |
| 16. Dezember 2019 | Die Anforderung für den gesperrten externen DNS-Auflösungsmodus wurde unter Proxyserver-Anforderungen geklärt. |
| Am 19. November 2019 |
Informationen zum Modus für blockierte externe DNS-Auflösung wurden in den folgenden Abschnitten hinzugefügt: |
|
Am 8. November 2019 |
Sie können jetzt die Netzwerkeinstellungen für einen Knoten während der Bereitstellung der OVA anstatt danach konfigurieren. Die folgenden Abschnitte wurden entsprechend aktualisiert: Die Option zum Konfigurieren der Netzwerkeinstellungen während der OVA-Bereitstellung wurde mit ESXi 6.5 getestet. In früheren Versionen ist diese Option möglicherweise nicht verfügbar. |
|
Am 6. September 2019 |
SQL Server Standard wurde zu Datenbankserveranforderungen hinzugefügt. |
| 29. August 2019 | Der Anhang Configure Squid Proxies for Hybrid Data Security enthält eine Anleitung zum Konfigurieren von Squid Proxies, um den Websocket-Datenverkehr für den ordnungsgemäßen Betrieb zu ignorieren. |
| Am 20. August 2019 |
Abschnitte zur Proxy-Unterstützung für die Kommunikation des Hybrid-Datensicherheitsknotens zur Webex-Cloud wurden hinzugefügt und aktualisiert. Informationen zum ausschließlichen Zugriff auf die Proxy-Support-Inhalte für eine vorhandene Bereitstellung finden Sie im Hilfeartikel Proxy-Unterstützung für Hybrid-Datensicherheit und Webex-Videonetz . |
| 13. Juni 2019 | Der Ablauf der Aufgabe „Test zu Produktion“ wurde mit einer Erinnerung aktualisiert, das Gruppenobjekt HdsTrialGroup vor dem Start einer Testversion zu synchronisieren, wenn Ihre Organisation die Verzeichnissynchronisierung verwendet. |
| 6. März 2019 |
|
| Dienstag, 28. Februar 2019 |
|
| 26. Februar 2019 |
|
|
24. Januar 2019 |
|
| 5. November 2018 |
|
| 19. Oktober 2018 |
|
|
31. Juli 2018 |
|
| 21. Mai 2018 |
Die Terminologie wurde geändert, um das Rebranding von Cisco Spark widerzuspiegeln:
|
| 11. April 2018 |
|
| Donnerstag, 22. Februar 2018 |
|
| Donnerstag, 15. Februar 2018 |
|
| Donnerstag, 18. Januar 2018 |
|
|
Donnerstag, 2. November 2017 |
|
|
Freitag, 18. August 2017 |
Erste Veröffentlichung |
Erste Schritte mit der Hybrid-Datensicherheit
Übersicht über die Hybrid-Datensicherheit
Vom ersten Tag an stand die Datensicherheit im Mittelpunkt der Entwicklung der Webex-App. Der Eckpfeiler dieser Sicherheit ist die durchgängige Verschlüsselung von Inhalten, die durch die Interaktion der Webex-App-Clients mit dem Schlüsselverwaltungsdienst (Key Management Service, KMS) ermöglicht wird. Der KMS erstellt und verwaltet die Kryptografieschlüssel, mit denen die Clients ihre Nachrichten und Dateien dynamisch ver- und entschlüsseln.
Standardmäßig erhalten alle Webex-App-Kunden eine durchgängige Verschlüsselung mit dynamischen Schlüsseln, die im Cloud-KMS im Sicherheitsbereich von Cisco gespeichert werden. Mit Hybrid Data Security werden KMS und andere Sicherheitsfunktionen in das Rechenzentrum Ihres Unternehmens verschoben, damit die Schlüssel zu ihren verschlüsselten Inhalten ausschließlich bei Ihnen liegen.
Sicherheitsbereichsarchitektur
Die Webex-Cloud-Architektur unterteilt verschiedene Arten von Diensten in separate Bereiche oder Vertrauensdomänen, wie unten dargestellt.
Um die Hybrid-Datensicherheit besser zu verstehen, schauen wir uns zunächst diesen reinen Cloud-Fall an, bei dem Cisco alle Funktionen in seinen Cloud-Bereichen bereitstellt. Der Identitätsdienst, der einzige Ort, an dem Benutzer direkt mit ihren persönlichen Informationen in Verbindung gebracht werden können, wie z. B. die E-Mail-Adresse, ist logisch und physisch vom Sicherheitsbereich in Rechenzentrum B getrennt. Er ist wiederum von dem Bereich getrennt, in dem verschlüsselte Inhalte letztendlich gespeichert werden, in Rechenzentrum C.
In diesem Diagramm ist der Client die Webex-App, die auf dem Laptop eines Benutzers ausgeführt wird und sich mit dem Identitätsdienst authentifiziert hat. Wenn der Benutzer eine Nachricht verfasst, die er an einen Bereich senden möchte, finden folgende Schritte statt:
-
Der Client stellt eine sichere Verbindung zum Schlüsselverwaltungsdienst her, und fordert anschließend einen Schlüssel zum Verschlüsseln der Nachricht an. Die sichere Verbindung verwendet ECDH und der Schlüsselverwaltungsdienst verschlüsselt den Schlüssel mit einem AES-256-Hauptschlüssel.
-
Die Nachricht wird verschlüsselt, bevor sie den Client verlässt. Der Client sendet sie an den Indexdienst, der verschlüsselte Suchindizes erstellt, um zukünftige Suchvorgänge nach Inhalten zu unterstützen.
-
Die verschlüsselte Nachricht wird an den Compliancedienst gesendet, damit Complianceprüfungen vorgenommen werden können.
-
Die verschlüsselte Nachricht wird im Speicherbereich abgelegt.
Wenn Sie die Hybrid-Datensicherheit bereitstellen, verschieben Sie die Sicherheitsbereichsfunktionen (KMS, Indexierung und Compliance) in Ihr lokales Rechenzentrum. Die anderen Cloud-Dienste, aus denen Webex besteht (einschließlich Identitätsspeicher und Inhaltsspeicher), verbleiben in den Bereichen von Cisco.
Zusammenarbeit mit anderen Organisationen
Benutzer in Ihrer Organisation können die Webex-App regelmäßig verwenden, um mit externen Teilnehmern in anderen Organisationen zusammenzuarbeiten. Wenn einer Ihrer Benutzer einen Schlüssel für einen Bereich anfordert, der Ihrer Organisation gehört (da er von einem Ihrer Benutzer erstellt wurde) sendet Ihr Schlüsselverwaltungsdienst den Schlüssel über einen mit ECDH gesicherten Kanal an den Client. Wenn eine andere Organisation jedoch den Schlüssel für den Bereich besitzt, leitet Ihr KMS die Anforderung über einen separaten ECDH-Kanal an die Webex-Cloud weiter, um den Schlüssel vom entsprechenden KMS zu erhalten, und gibt den Schlüssel dann an Ihren Benutzer im ursprünglichen Kanal zurück.
Der KMS-Dienst, der unter Organisation A ausgeführt wird, überprüft die Verbindungen zu KMSs in anderen Organisationen mit x.509-PKI-Zertifikaten. Weitere Informationen zur Erzeugung eines x.509-Zertifikats für die Verwendung mit Ihrer Hybrid-Datensicherheitsbereitstellung finden Sie unter Vorbereiten Ihrer Umgebung .
Erwartungen an die Bereitstellung der Hybrid-Datensicherheit
Eine Bereitstellung der hybriden Datensicherheit erfordert ein erhebliches Engagement des Kunden und ein Bewusstsein für die Risiken, die mit dem Besitz von Verschlüsselungscodes einhergehen.
Zur Bereitstellung der Hybrid-Datensicherheit müssen Sie Folgendes bereitstellen:
-
Ein sicheres Rechenzentrum in einem Land, das ein unterstützter Standort für die Cisco Webex Teams-Pläne ist.
-
Die in erläuterte Ausrüstung, Software und der entsprechende Netzwerkzugriff.
Der vollständige Verlust der Konfigurations-ISO, die Sie für Hybrid Data Security erstellen, oder der von Ihnen bereitgestellten Datenbank führt zum Verlust der Schlüssel. Der Schlüsselverlust verhindert, dass Benutzer Bereichsinhalte und andere verschlüsselte Daten in der Webex-App entschlüsseln. Falls dies geschieht, können Sie eine neue Bereitstellung erstellen, es werden dabei jedoch nur neue Inhalte angezeigt. Gehen Sie folgendermaßen vor, damit Sie nicht den Zugriff auf die Daten verlieren:
-
Verwalten Sie die Sicherung und Wiederherstellung der Datenbank und die ISO-Konfigurationsdatei.
-
Bereiten Sie sich darauf vor, eine schnelle Notfallwiederherstellung durchzuführen, wenn eine Katastrophe eintritt, z. B. ein Fehler der Datenbank oder ein Absturz des Rechenzentrums.
Es gibt keinen Mechanismus, um Schlüssel nach einer HDS-Bereitstellung zurück in die Cloud zu verschieben.
Einrichtungsvorgang auf hoher Ebene
Dieses Dokument behandelt die Einrichtung und Verwaltung einer Hybrid-Datensicherheitsbereitstellung:
Hybrid Data Security einrichten – Dazu gehört die Vorbereitung der erforderlichen Infrastruktur und die Installation der Hybrid Data Security-Software, das Testen Ihrer Bereitstellung mit einer Teilmenge von Benutzern im Testmodus und der Produktionsbeginn nach Abschluss des Tests. Dadurch wird die gesamte Organisation konvertiert, um Ihren Hybrid-Datensicherheitscluster für Sicherheitsfunktionen zu verwenden.
Die Einrichtungs-, Test- und Produktionsphasen werden in den nächsten drei Kapiteln ausführlich behandelt.
-
Aufrechterhaltung Ihrer Hybrid-Datensicherheitsbereitstellung – Die Webex-Cloud stellt automatisch laufende Upgrades bereit. Ihre IT-Abteilung kann Ebene-1-Support anbieten und bei Bedarf den Cisco-Support hinzuziehen. Sie können Benachrichtigungen auf dem Bildschirm verwenden und E-Mail-basierte Warnungen in Control Hub einrichten.
-
Allgemeine Warnungen, Schritte zur Fehlerbehebung und bekannte Probleme verstehen: Wenn bei der Bereitstellung oder Verwendung von Hybrid-Datensicherheit Probleme auftreten, können Sie das letzte Kapitel dieses Leitfadens und der Anhang „Bekannte Probleme“ bei der Ermittlung und Behebung des Problems helfen.
Bereitstellungsmodell für die Hybrid-Datensicherheit
Im Rechenzentrum Ihres Unternehmens stellen Sie die hybride Datensicherheit als ein Cluster von Knoten auf separaten virtuellen Hosts bereit. Die Knoten kommunizieren mit der Webex Cloud über sichere Websockets und sicheres HTTP.
Während des Installationsvorgangs stellen wir Ihnen die OVA-Datei bereit, mit der Sie die virtuelle Appliance auf den von Ihnen angegebenen VMs einrichten können. Mit dem HDS-Setuptool erstellen Sie eine benutzerdefinierte ISO-Clusterkonfigurationsdatei, die Sie bei den einzelnen Knoten mounten. Der Hybrid-Datensicherheitscluster verwendet den von Ihnen bereitgestellten Syslogd-Server und die PostgreSQL- oder Microsoft SQL Server-Datenbank. (Sie konfigurieren die Syslogd- und Datenbankverbindungsdetails im HDS Setup Tool.)
Die Mindestanzahl von Knoten in einem Cluster lautet zwei. Wir empfehlen mindestens drei pro Cluster. Die Tatsache, dass mehrere Knoten vorhanden sind, stellt sicher, dass der Dienst während eines Software-Upgrades oder anderer Wartungsaktivitäten auf einem Knoten nicht unterbrochen wird. (Die Webex-Cloud aktualisiert jeweils nur einen Knoten.)
Alle Knoten in einem Cluster greifen auf denselben Schlüsseldatenspeicher zu und sie protokollieren Aktivitäten auf demselben Syslog-Server. Die Knoten selbst besitzen keinen Status und verarbeiten Schlüsselanfragen nach dem Round-Robin-Verfahren, wie von der Cloud vorgegeben.
Knoten werden aktiv, wenn Sie sie im Control Hub registrieren. Um einen einzelnen Knoten zu deaktivieren, können Sie die Registrierung aufheben und ggf. zu einem späteren Zeitpunkt erneut registrieren.
Wir unterstützen nur ein Cluster pro Organisation.
Testmodus der Hybrid-Datensicherheit
Nachdem Sie eine Hybrid-Datensicherheitsbereitstellung eingerichtet haben, versuchen Sie dies zunächst mit einer Reihe von Pilotbenutzern. Während des Testzeitraums verwenden diese Benutzer Ihre lokale Hybrid-Datensicherheitsdomäne für Verschlüsselungsschlüssel und andere Sicherheitsbereichsdienste. Ihre anderen Benutzer verwenden weiterhin den Cloudsicherheitsbereich.
Wenn Sie sich während des Testzeitraums dazu entschließen, die Bereitstellung nicht fortzusetzen und den Dienst zu deaktivieren, verlieren die Testbenutzer und Benutzer, mit denen sie durch das Erstellen neuer Bereiche während des Testzeitraums interagiert haben, den Zugriff auf Nachrichten und Inhalte. Sie sehen in der Webex-App „Diese Nachricht kann nicht entschlüsselt werden“.
Wenn Sie davon überzeugt sind, dass Ihre Bereitstellung für die Testbenutzer gut funktioniert und Sie bereit sind, die Hybrid-Datensicherheit auf alle Benutzer auszudehnen, verschieben Sie die Bereitstellung in die Produktion. Testbenutzer haben weiterhin Zugriff auf die Schlüssel, die sie während des Tests verwendet haben. Sie können jedoch nicht zwischen Produktionsmodus und der ursprünglichen Testversion hin und her wechseln. Wenn Sie den Dienst deaktivieren müssen, z. B. zum Durchführen einer Notfallwiederherstellung, müssen Sie zur erneuten Aktivierung einen neuen Test starten und die Gruppe von Testbenutzern für den neuen Test einrichten, bevor Sie zurück zum Produktionsmodus wechseln. Ob Benutzer zu diesem Zeitpunkt den Zugriff auf Daten behalten, hängt davon ab, ob Sie Backups des Schlüsseldatenspeichers und der ISO-Konfigurationsdatei für die Hybrid-Datensicherheitsknoten in Ihrem Cluster erfolgreich gepflegt haben.
Standby-Rechenzentrum für die Notfallwiederherstellung
Während der Bereitstellung richten Sie ein sicheres Standby-Rechenzentrum ein. Bei einem Absturz des Rechenzentrums können Sie die Bereitstellung manuell auf das Standby-Rechenzentrum umstellen.
Die Datenbanken der aktiven und Standby-Rechenzentren sind synchronisiert, wodurch die Zeit für die Durchführung des Failovers minimiert wird. Die ISO-Datei des Standby-Rechenzentrums wird mit zusätzlichen Konfigurationen aktualisiert, die sicherstellen, dass die Knoten in der Organisation registriert sind, aber keinen Datenverkehr verarbeiten. Somit bleiben die Knoten des Standby-Rechenzentrums mit der neuesten Version der HDS-Software immer auf dem neuesten Stand.
Die aktiven Hybrid-Datensicherheitsknoten müssen sich immer im selben Rechenzentrum wie der aktive Datenbankserver befinden.
Standby-Rechenzentrum für die Notfallwiederherstellung einrichten
Führen Sie die folgenden Schritte aus, um die ISO-Datei des Standby-Rechenzentrums zu konfigurieren:
Vorbereitungen
-
Das Standby-Rechenzentrum sollte die Produktionsumgebung von VMs und eine Backup-PostgreSQL- oder Microsoft SQL Server-Datenbank spiegeln. Wenn beispielsweise in der Produktion 3 VMs HDS-Knoten ausführen, sollte die Backup-Umgebung 3 VMs haben. (Eine Übersicht dieses Failover-Modells finden Sie unter Standby-Rechenzentrum für die Notfallwiederherstellung .)
-
Stellen Sie sicher, dass die Datenbanksynchronisierung zwischen der Datenbank der aktiven und passiven Cluster-Knoten aktiviert ist.
| 1 |
Starten Sie das HDS-Setup-Tool und führen Sie die unter Erstellen einer Konfigurations-ISO für die HDS-Hosts beschriebenen Schritte aus. Die ISO-Datei muss eine Kopie der ursprünglichen ISO-Datei des primären Rechenzentrums sein, auf das die folgenden Konfigurationsaktualisierungen vorgenommen werden sollen. |
| 2 |
Klicken Sie nach dem Konfigurieren des Syslogd-Servers auf Erweiterte Einstellungen. |
| 3 |
Fügen Sie auf der Seite Erweiterte Einstellungen die folgende Konfiguration hinzu, um den Knoten in den passiven Modus zu versetzen. In diesem Modus wird der Knoten in der Organisation registriert und mit der Cloud verbunden, verarbeitet aber keinen Datenverkehr.
|
| 4 |
Schließen Sie den Konfigurationsprozess ab und speichern Sie die ISO-Datei an einem leicht auffindbaren Speicherort. |
| 5 |
Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Sichern Sie die Sicherungskopie sicher. Die Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff auf Administratoren für Hybrid-Datensicherheit, die Konfigurationsänderungen vornehmen sollten. |
| 6 |
Klicken Sie im linken Navigationsbereich des VMware vSphere-Clients mit der rechten Maustaste auf die VM und klicken Sie auf Einstellungen bearbeiten. |
| 7 |
Klicken Sie auf Einstellungen bearbeiten >CD/DVD-Laufwerk 1 und wählen Sie Datenspeicher-ISO-Datei. Stellen Sie sicher, dass Verbunden und Verbinden beim Einschalten aktiviert sind, damit aktualisierte Konfigurationsänderungen nach dem Starten der Knoten wirksam werden können. |
| 8 |
Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 15 Minuten lang keine Alarme vorhanden sind. |
| 9 |
Wiederholen Sie den Vorgang für jeden Knoten im Standby-Rechenzentrum. Überprüfen Sie die Syslogs, um sicherzustellen, dass sich die Knoten im passiven Modus befinden. Sie sollten die Meldung „KMS im passiven Modus konfiguriert“ in den Syslogs anzeigen können. |
Nächste Schritte
Nachdem Sie den passiveMode in der ISO-Datei konfiguriert und gespeichert haben, können Sie eine weitere Kopie der ISO-Datei ohne die passiveMode -Konfiguration erstellen und an einem sicheren Speicherort speichern. Diese Kopie der ISO-Datei ohne konfigurierten passiveMode kann einen schnellen Failover-Prozess während der Notfallwiederherstellung unterstützen. Weitere Informationen zum Failover finden Sie unter Notfallwiederherstellung mit Standby-Rechenzentrum .
Proxy-Support
Die Hybriddatensicherheit unterstützt explizite, transparente Inspektionen und Nichtinspizierungsproxys. Sie können diese Proxys an Ihre Bereitstellung binden, damit Sie den Datenverkehr aus dem Unternehmen heraus in die-Cisco sichern und überwachen können. Sie können eine Netzwerkverwaltung auf den Knoten für Zertifikats-Management verwenden und den Status der gesamten Konnektivität überprüfen, nachdem Sie den Proxy auf den Knoten eingerichtet haben.
Die Hybrid Data Sicherheitshinweis unterstützt die folgenden Proxyoptionen:
-
Kein Proxy: Der Standardwert, wenn Sie nicht die Konfiguration von Vertrauensspeicher und Proxy für die Integration eines Proxys beim Einrichten des HDS-Knotens verwenden. Es ist keine Zertifikatsaktualisierung erforderlich.
-
Transparenter Proxy ohne Prüfung – Die Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert und sollten keine Änderungen erfordern, um mit einem Proxy ohne Prüfung zu arbeiten. Es ist keine Zertifikatsaktualisierung erforderlich.
-
Transparentes Tunneln oder Proxyprüfen: Die Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert. Es sind keine Änderungen bei der Konfigurationänderung von http oder HTTPS Allerdings benötigen die Knoten eine Stammzertifikat, sodass Sie dem Proxy Vertrauen. Die Inspektion von Proxys wird in der Regel von ihm verwendet, um Strategien durchzusetzen, welche Websites besichtigt werden können und welche Arten von Inhalten nicht zulässig sind. Diese Art von Proxy entschlüsselt den gesamten Datenverkehr (auch HTTPS).
-
Expliziter Proxy: Mit explizitem Proxy teilen Sie den HDS-Knoten mit, welcher Proxyserver und welches Authentifizierungsschema verwendet werden sollen. Um einen expliziten Proxy zu konfigurieren, müssen Sie die folgenden Informationen zu den einzelnen Knoten eingeben:
-
Proxy-IP/FQDN: Adresse, die verwendet werden kann, um die Proxy-Maschine zu erreichen.
-
Proxy-Port: Eine Portnummer, die der Proxy verwendet, um nach proxyem Datenverkehr zu suchen.
-
Proxy-Protokoll: Wählen Sie je nachdem, was Ihr Proxy-Server unterstützt, zwischen den folgenden Protokollen aus:
-
– Und steuert alle Anfragen, die der Client sendet.
-
HTTPS – stellt einen Kanal zum Server bereit. Der Client erhält und prüft das Zertifikat des Servers.
-
-
Authentifizierungstyp: Wählen Sie aus den folgenden Authentifizierungstypen aus:
-
Keine: Es ist keine weitere Authentifizierung erforderlich.
Verfügbar, wenn Sie entweder http oder HTTPS als Proxyprotokoll auswählen.
-
Basic – wird für einen HTTP-Benutzeragenten verwendet, um bei einer Anfrage einen Benutzernamen und ein Kennwort anzugeben. Zertifikatsformat verwendet.
Verfügbar, wenn Sie entweder http oder HTTPS als Proxyprotokoll auswählen.
Hiermit müssen Sie die Benutzername und das Passwort eines jeden Knotens eingeben.
-
Digest – wird verwendet, um das Konto vor dem Senden sensibler Informationen zu bestätigen. Gibt eine Hashfunktion auf die Benutzername und das Passwort ein, bevor Sie über das Netzwerk senden.
Nur verfügbar, wenn Sie HTTPS als Proxyprotokoll auswählen.
Hiermit müssen Sie die Benutzername und das Passwort eines jeden Knotens eingeben.
-
-
Beispiel für hybride Datensicherheitsknoten und Proxy
Dieses Diagramm zeigt eine Beispielverbindung zwischen der Hybriddatensicherheit, dem Netzwerk und einem Proxy. Für die transparente Inspektion und HTTPS explizite Überprüfung der Proxyoptionen müssen dieselben Stammzertifikat auf dem Proxy und auf den Hybriden Datensicherheitsknoten installiert sein.
Externer DNS Auflösungsmodus blockiert (explizite Proxykonfigurationen)
Wenn Sie einen Knoten registrieren oder die Proxykonfiguration des Knotens überprüfen, testet das Verfahren die DNS und die Konnektivität der Cisco WebEx. Bei Bereitstellungen mit expliziten Proxykonfigurationen, die keine externe DNS für interne Clients zulassen, wenn der Knoten die DNS-Server nicht Abfragen kann, geht er automatisch in den gesperrten externen DNS-Server. In diesem Modus können Knotenregistrierungen und andere Proxyverbindungstests fortgeführt werden.
Vorbereiten Ihrer Umgebung
Anforderungen an die Hybrid-Datensicherheit
Cisco Webex-Lizenzanforderungen
So stellen Sie Hybrid-Datensicherheit bereit:
-
Sie benötigen Pro Pack für Cisco Webex Control Hub. (Siehe https://www.cisco.com/go/pro-pack.)
Docker Desktop-Anforderungen
Bevor Sie Ihre HDS-Knoten installieren, benötigen Sie Docker Desktop, um ein Setup-Programm auszuführen. Docker hat kürzlich sein Lizenzierungsmodell aktualisiert. Ihre Organisation benötigt möglicherweise ein kostenpflichtiges Abonnement für Docker Desktop. Weitere Informationen finden Sie im Docker-Blog-Post: " Docker aktualisiert und erweitert unsere Produktabonnements".
Anforderungen an das X.509-Zertifikat
Diese Zertifikatskette muss die folgenden Anforderungen erfüllen:
|
Anforderung |
Details |
|---|---|
|
Standardmäßig vertrauen wir den Zertifizierungsstellen in der Mozilla-Liste (mit Ausnahme von WoSign und StartCom) unter https://wiki.mozilla.org/CA:IncludedCAs. |
|
Der CN muss nicht erreichbar und kein Live-Host sein. Wir empfehlen die Verwendung eines Namens, der Ihre Organisation widerspiegelt, z. B. Der CN darf kein * (Platzhalter) enthalten. Der CN wird verwendet, um die Hybrid-Datensicherheitsknoten für Webex-App-Clients zu verifizieren. Alle Hybrid-Datensicherheitsknoten in Ihrem Cluster verwenden das gleiche Zertifikat. Ihr KMS identifiziert sich selbst unter Verwendung der CN-Domäne, nicht einer beliebigen Domäne, die in den x.509v3-SAN-Feldern definiert ist. Nachdem Sie einen Knoten mit diesem Zertifikat registriert haben, kann der CN-Domänenname nicht mehr geändert werden. Wählen Sie eine Domäne, die sowohl für Test- als auch für Produktionsbereitstellungen verwendet werden kann. |
|
Die KMS-Software unterstützt keine SHA1-Signaturen zum Validieren von Verbindungen zu KMS anderer Organisationen. |
|
Sie können das Format Ihres Zertifikats mithilfe einer Konvertierungssoftware wie OpenSSL ändern. Sie müssen das Passwort eingeben, wenn Sie das HDS-Setuptool ausführen. |
Die KMS-Software erzwingt keine Schlüsselnutzung und beschränkt erweiterte Schlüsselnutzung nicht. Einige Zertifizierungsstellen erfordern Beschränkungen einer erweiterten Schlüsselnutzung für jedes Zertifikat, wie z. B. Server-Authentifizierung. Die Server-Authentifizierung oder andere Einstellungen zu verwenden, ist zulässig.
Anforderungen für virtuelle Gastgeber
Die virtuellen Hosts, die Sie als Hybrid-Datensicherheitsknoten in Ihrem Cluster einrichten, haben die folgenden Anforderungen:
-
Mindestens zwei separate Hosts (3 empfohlen) befinden sich im gleichen sicheren Rechenzentrum
-
VMware ESXi 6.5 (oder höher) installiert und ausgeführt.
Sie müssen ein Upgrade durchführen, wenn Sie über eine frühere Version von ESXi verfügen.
-
Mindestens 4 vCPUs, 8 GB Hauptspeicher, 30 GB lokaler Festplattenspeicher pro Server
Datenbankserveranforderungen
Erstellen Sie eine neue Datenbank für die Schlüsselspeicherung. Verwenden Sie nicht die Standarddatenbank. Die HDS-Anwendungen erstellen bei Installation das Datenbankschema.
Für den Datenbankserver gibt es zwei Optionen. Die Anforderungen für jede dieser Komponenten lauten wie folgt:
|
PostgreSQL |
Microsoft SQL-Server |
|---|---|
|
|
|
Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichend Festplattenkapazität und Überwachung zur Sicherstellung, dass dieser nicht überschritten wird (2 TB empfohlen, falls die Datenbank über längere Zeit ohne Erweiterung der Festplattenkapazität ausgeführt werden soll) |
Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichend Festplattenkapazität und Überwachung zur Sicherstellung, dass dieser nicht überschritten wird (2 TB empfohlen, falls die Datenbank über längere Zeit ohne Erweiterung der Festplattenkapazität ausgeführt werden soll) |
Die HDS-Software installiert derzeit die folgenden Treiberversionen für die Kommunikation mit dem Datenbankserver:
|
PostgreSQL |
Microsoft SQL-Server |
|---|---|
|
Der Treiber Postgres JDBC 42.2.5 |
SQL Server JDBC-Treiber 4.6 Diese Treiberversion unterstützt SQL Server Always On (Always On Failover Cluster Instances und Always On-Verfügbarkeitsgruppen). |
Zusätzliche Anforderungen für die Windows-Authentifizierung gegen Microsoft SQL Server
Wenn Sie möchten, dass HDS-Knoten die Windows-Authentifizierung verwenden, um Zugriff auf Ihre Keystore-Datenbank auf Microsoft SQL Server zu erhalten, benötigen Sie die folgende Konfiguration in Ihrer Umgebung:
-
Die HDS-Knoten, die Active Directory-Infrastruktur und der MS SQL Server müssen alle mit dem NTP synchronisiert werden.
-
Das Windows-Konto, das Sie auf HDS-Knoten bereitstellen, muss Lese-/Schreibzugriff auf die Datenbank haben.
-
Die DNS-Server, die Sie für HDS-Knoten bereitstellen, müssen in der Lage sein, Ihr Key Distribution Center (KDC) aufzulösen.
-
Sie können die HDS-Datenbankinstanz auf Ihrem Microsoft SQL Server als Service Principal Name (SPN) in Ihrem Active Directory registrieren. Siehe Registrieren eines Dienstprinzipalnamens für Kerberos-Verbindungen.
Das HDS-Setup-Tool, der HDS-Launcher und das lokale KMS müssen für den Zugriff auf die Keystore-Datenbank die Windows-Authentifizierung verwenden. Sie verwenden die Details aus Ihrer ISO-Konfiguration, um die SPN zu konstruieren, wenn sie den Zugriff mit der Kerberos-Authentifizierung anfordern.
Anforderungen an externe Konnektivität
Konfigurieren Sie Ihre Firewall so, dass die folgende Konnektivität für die HDS-Anwendungen zugelassen ist:
|
Anwendung |
Protokoll |
Port |
Richtung von der App |
Ziel |
|---|---|---|---|---|
|
Hybrid-Datensicherheitsknoten |
TCP |
443 |
Ausgehend HTTPS und WSS |
|
|
HDS-Einrichtungstool |
TCP |
443 |
Ausgehendes HTTPS |
|
Die Hybrid-Datensicherheitsknoten funktionieren mit NAT (Network Access Translation) oder hinter einer Firewall, solange NAT oder Firewall die erforderlichen ausgehenden Verbindungen zu den in der vorangehenden Tabelle aufgeführten Domänenzielen zulässt. Für eingehende Verbindungen zu den Hybrid-Datensicherheitsknoten sollten keine Ports aus dem Internet sichtbar sein. In Ihrem Rechenzentrum benötigen Clients aus administrativen Gründen Zugriff auf die Hybrid-Datensicherheitsknoten auf den TCP-Ports 443 und 22.
Die URLs für die CI-Hosts (Common Identity) sind regionsspezifisch. Dies sind die aktuellen CI-Hosts:
|
Region |
Host-URLs der allgemeinen Identität |
|---|---|
|
Amerika |
|
|
Europäische Union |
|
|
Kanada |
|
Vorgaben für Proxy-Server
-
Wir unterstützen offiziell die folgenden Proxylösungen, die in ihre Hybriden Sicherheitsknoten integriert werden können.
-
Transparenter Proxy – Cisco Web Sicherheitsgerät (WSA).
-
Explizite –.
Squid-Proxys, die den HTTPS-Datenverkehr untersuchen, können die Einrichtung von Websocket-Verbindungen (wss:) beeinträchtigen. Informationen zur Behebung dieses Problems finden Sie unter Konfigurieren von Squid-Proxys für Hybrid-Datensicherheit.
-
-
Wir unterstützen die folgenden Authentifizierungskombinationen für explizite Proxys:
-
Keine Authentifizierung mit http oder HTTPS
-
Grundlegende Authentifizierung mit http oder HTTPS
-
Verdauungsauthentifizierung nur mit HTTPS
-
-
Um einen transparenten Proxy oder einen HTTPS expliziten Proxy zu erhalten, müssen Sie eine Kopie des Stammzertifikat des Stellvertreters besitzen. Die Bereitstellungsanweisungen in diesem Handbuch zeigen Ihnen, wie Sie die Kopie in die Vertrauensspeicher der Hybriden Datensicherheitsknoten hochladen können.
-
Das Netzwerk, das die HDS Nodes hostet, muss so konfiguriert sein, dass es den ausgehenden TCP Traffic auf Port 443 durch den Proxy zwingt
-
Proxys, die den Webverkehr inspizieren, können die Websteckverbindung beeinträchtigen. Wenn dieses Problem auftritt, wird das Problem durch Umgehung des Datenverkehrs zu
wbx2.comundciscospark.comgelöst.
Erfüllen der Voraussetzungen für die Hybrid-Datensicherheit
| 1 |
Stellen Sie sicher, dass Ihre Webex-Organisation für Pro Pack für Cisco Webex Control Hub aktiviert ist, und holen Sie sich die Anmeldeinformationen eines Kontos mit vollen Administratorrechten für die Organisation. Wenden Sie sich an Ihren Cisco-Partner oder an Ihren Account Manager, falls Sie Hilfe bei diesem Verfahren benötigen. |
| 2 |
Wählen Sie einen Domänennamen für Ihre HDS-Bereitstellung (z. B. |
| 3 |
Bereiten Sie identische virtuelle Hosts vor, die Sie als Hybrid-Datensicherheitsknoten in Ihrem Cluster einrichten werden. Sie benötigen mindestens zwei separate Hosts (3 empfohlen), die sich im selben sicheren Rechenzentrum befinden und die Anforderungen unter Anforderungen für virtuelle Hosts erfüllen. |
| 4 |
Bereiten Sie den Datenbankserver vor, der als Schlüsseldatenspeicher für den Cluster dient, gemäß den Anforderungen für den Datenbankserver. Der Datenbankserver muss sich im sicheren Rechenzentrum mit den virtuellen Hosts befinden. |
| 5 |
Richten Sie für eine schnelle Notfallwiederherstellung eine Backup-Umgebung in einem anderen Rechenzentrum ein. Die Backup-Umgebung spiegelt die Produktionsumgebung von VMs und eines Backup-Datenbankservers wider. Wenn beispielsweise in der Produktion 3 VMs HDS-Knoten ausführen, sollte die Backup-Umgebung 3 VMs haben. |
| 6 |
Richten Sie einen syslog-Host ein, um Protokolle aus den Knoten im Cluster zu sammeln. Dokumentieren Sie dessen Netzwerkadresse und syslog-Port (Standard ist UDP 514). |
| 7 |
Erstellen Sie eine sichere Backup-Richtlinie für die Hybrid-Datensicherheitsknoten, den Datenbankserver und den Syslog-Host. Um einen nicht behebbaren Datenverlust zu vermeiden, müssen Sie mindestens die Datenbank und die für die Hybrid-Datensicherheitsknoten generierte Konfigurations-ISO-Datei sichern. Da auf den Hybrid-Datensicherheitsknoten die für die Ver- und Entschlüsselung von Inhalten verwendeten Schlüssel gespeichert werden, führt das Versäumnis, eine betriebliche Bereitstellung aufrechtzuerhalten, zum NICHT BEHEBBAREN VERLUST dieser Inhalte. Webex-App-Clients speichern ihre Schlüssel im Zwischenspeicher, sodass ein Ausfall möglicherweise nicht sofort spürbar ist, aber mit der Zeit offensichtlich wird. Vorübergehende Ausfälle sind unvermeidlich, aber behebbar. Bei einem vollständigen Verlust (keine Backups verfügbar) entweder der Datenbank oder der ISO-Konfigurationsdatei gehen jedoch Kundendaten unwiederbringlich verloren. Von den Betreibern der Hybrid-Datensicherheitsknoten wird erwartet, dass sie häufige Sicherungen der Datenbank und der Konfigurations-ISO-Datei erstellen und im Falle eines katastrophalen Ausfalls das Rechenzentrum für die Hybrid-Datensicherheit neu erstellen. |
| 8 |
Stellen Sie sicher, dass Ihre Firewall-Konfiguration eine Verbindung für Ihre Hybrid-Datensicherheitsknoten ermöglicht, wie unter Externe Verbindungsanforderungen beschrieben. |
| 9 |
Installieren Sie Docker ( https://www.docker.com) auf jedem lokalen Computer, auf dem ein unterstütztes Betriebssystem ausgeführt wird (Microsoft Windows 10 Professional, Enterprise 64-Bit oder Mac OSX Yosemite 10.10.3 oder höher) und ein Webbrowser, der unter http://127.0.0.1:8080. darauf zugreifen kann. Mit der Docker-Instanz können Sie das HDS Setup Tool herunterladen und ausführen, das die lokalen Konfigurationsinformationen für alle Hybrid-Datensicherheitsknoten erstellt. Ihre Organisation benötigt möglicherweise eine Docker Desktop-Lizenz. Weitere Informationen finden Sie unter Anforderungen für Docker Desktop . Um das HDS Setup Tool zu installieren und auszuführen, muss der lokale Computer über die unter Anforderungen an externe Konnektivität beschriebenen Konnektivität verfügen. |
| 10 |
Wenn Sie einen Proxy mit Hybrid Data Security integrieren, stellen Sie sicher, dass er die Anforderungen für den Proxy-Server erfüllt. |
| 11 |
Verwendet Ihre Organisation Verzeichnissynchronisierung, erstellen Sie eine Active-Directory-Gruppe namens Schlüssel für einen bestimmten Bereich werden vom Ersteller des Bereichs festgelegt. Beachten Sie bei der Auswahl von Pilotbenutzern, dass alle Benutzer den Zugriff auf Inhalte in den von den Pilotbenutzern erstellten Bereichen verlieren, wenn Sie die Hybrid-Datensicherheitsbereitstellung dauerhaft deaktivieren. Dies zeigt sich dann, wenn die Apps der Benutzer die im Cache aufbewahrten Kopien der Inhalte aktualisieren. |
Einrichten eines Hybrid-Datensicherheitsclusters
Ablauf der Bereitstellungsaufgabe für die Hybrid-Datensicherheit
Vorbereitungen
| 1 |
Erste Einrichtung durchführen und Installationsdateien herunterladen Laden Sie die OVA-Datei für eine spätere Verwendung auf Ihren lokalen Computer herunter. |
| 2 |
Erstellen einer ISO-Konfigurationsdatei für die HDS-Hosts Erstellen Sie mit dem HDS Setup Tool eine ISO-Konfigurationsdatei für die Hybrid-Datensicherheitsknoten. |
| 3 |
Erstellen Sie eine virtuelle Maschine aus der OVA-Datei und führen Sie eine erste Konfiguration durch, z. B. Netzwerkeinstellungen. Die Option zum Konfigurieren der Netzwerkeinstellungen während der OVA-Bereitstellung wurde mit ESXi 6.5 getestet. In früheren Versionen ist diese Option möglicherweise nicht verfügbar. |
| 4 |
Einrichten der Hybrid-Datensicherheits-VM Melden Sie sich bei der VM-Konsole an und legen Sie die Anmeldeinformationen fest. Konfigurieren Sie die Netzwerkeinstellungen für den Knoten, falls Sie diese bei der OVA-Bereitstellung nicht konfiguriert haben. |
| 5 |
Hochladen und Mounten der HDS-Konfigurations-ISO Konfigurieren Sie die VM aus der ISO-Konfigurationsdatei, die Sie mit dem HDS Setup Tool erstellt haben. |
| 6 |
Konfigurieren des HDS Knotens für Proxyintegration Wenn für die Netzwerkumgebung eine Proxy-Konfiguration erforderlich ist, geben Sie den Proxy-Typ an, den Sie für den Knoten verwenden möchten, und fügen Sie das Proxy-Zertifikat ggf. zum Vertrauensspeicher hinzu. |
| 7 |
Den ersten Knoten im Cluster registrieren Registrieren Sie die VM in der Cisco Webex Cloud als Hybrid-Datensicherheitsknoten. |
| 8 |
Erstellen und Registrieren weiterer Knoten Schließen Sie die Cluster-Einrichtung ab. |
| 9 |
Test ausführen und in Produktion verschieben (nächstes Kapitel) Bis Sie einen Test starten, generieren Ihre Knoten einen Alarm, der angibt, dass Ihr Dienst noch nicht aktiviert ist. |
Herunterladen der Installationsdateien
| 1 |
Melden Sie sich bei https://admin.webex.com an und klicken Sie anschließend auf Services (Dienste). |
| 2 |
Suchen Sie im Abschnitt „Hybrid-Dienste“ die Karte „Hybrid-Datensicherheit“ und klicken Sie auf Einrichten. Wenn die Karte deaktiviert ist oder Sie sie nicht sehen, wenden Sie sich an Ihr Kontoteam oder Ihre Partnerorganisation. Geben Sie ihnen Ihre Kontonummer und bitten Sie sie, Ihre Organisation für die Hybrid-Datensicherheit zu aktivieren. Ihre Accountnummer finden Sie über das Zahnradsymbol oben rechts neben dem Namen Ihrer Organisation. Sie können die OVA auch jederzeit im Abschnitt Hilfe auf der Seite Einstellungen herunterladen. Klicken Sie auf der Hybrid-Datensicherheitskarte auf Einstellungen bearbeiten , um die Seite zu öffnen. Klicken Sie anschließend im Abschnitt Hilfe auf Hybrid-Datensicherheitssoftware herunterladen . Ältere Versionen des Softwarepakets (OVA) sind mit den neuesten Upgrades für die Hybrid-Datensicherheit nicht kompatibel. Dies kann zu Problemen beim Upgrade der Anwendung führen. Stellen Sie sicher, dass Sie die neueste Version der OVA-Datei herunterladen. |
| 3 |
Wählen Sie Nein aus, um anzugeben, dass Sie den Knoten noch nicht eingerichtet haben, und klicken Sie dann auf Weiter. Der Download der OVA-Datei beginnt automatisch. Speichern Sie die Datei auf Ihrem Computer.
|
| 4 |
Klicken Sie optional auf Bereitstellungsleitfaden öffnen , um zu überprüfen, ob eine spätere Version verfügbar ist. |
Erstellen einer ISO-Konfigurationsdatei für die HDS-Hosts
Beim Einrichtungsprozess für die Hybrid-Datensicherheit wird eine ISO-Datei erstellt. Anschließend verwenden Sie die ISO, um Ihren Hybrid-Datensicherheitshost zu konfigurieren.
Vorbereitungen
-
Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zu zugreifen, führen Sie Docker auf diesem Computer aus. Für den Einrichtungsprozess sind die Anmeldeinformationen eines Control Hub-Kontos mit vollen Administratorrechten für Ihre Organisation erforderlich.
Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxy-Einstellungen (Server, Port, Anmeldeinformationen) über die Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in Schritt 5 aufrufen. Diese Tabelle enthält einige mögliche Umgebungsvariablen:
Beschreibung
Variable
HTTP-Proxy ohne Authentifizierung
GLOBALER_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-Proxy ohne Authentifizierung
GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-Proxy mit Authentifizierung
GLOBALER_AGENT_HTTP_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORTHTTPS-Proxy mit Authentifizierung
GLOBALER_AGENT_HTTPS_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT -
Die von Ihnen generierte ISO-Konfigurationsdatei enthält den Hauptschlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die neueste Kopie dieser Datei, wenn Sie Konfigurationsänderungen wie die folgenden vornehmen:
-
Datenbank-Anmeldeinformationen
-
Zertifikats-Aktualisierungen
-
Änderungen an der Autorisierungsrichtlinie
-
-
Wenn Sie Datenbankverbindungen verschlüsseln möchten, richten Sie Ihre PostgreSQL- oder SQL Server-Bereitstellung für TLS ein.
| 1 |
Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein: In regulären Umgebungen: In FedRAMP-Umgebungen: Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können. | ||||||||||
| 2 |
Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein: | ||||||||||
| 3 |
Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein: | ||||||||||
| 4 |
Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter: In regulären Umgebungen: In FedRAMP-Umgebungen: | ||||||||||
| 5 |
Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:
Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express-Server hören auf Port 8080) sehen. | ||||||||||
| 6 |
Das Setup-Tool unterstützt die Verbindung zu localhost über http://localhost:8080 nicht. Verwenden Sie http://127.0.0.1:8080 , um eine Verbindung zum Localhost herzustellen. Navigieren Sie in einem Webbrowser zum Localhost, Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto festzulegen. Das Tool zeigt dann die Standard-Anmeldeaufforderung an. | ||||||||||
| 7 |
Wenn Sie dazu aufgefordert werden, geben Sie Ihre Control Hub-Kundenadministrator-Anmeldeinformationen ein und klicken Sie dann auf Anmelden , um den Zugriff auf die für die Hybrid-Datensicherheit erforderlichen Dienste zu erlauben. | ||||||||||
| 8 |
Klicken Sie auf der Übersichtsseite des Setup Tool auf Get Started (Erste Schritte). | ||||||||||
| 9 |
Auf der Seite ISO-Import stehen Ihnen folgende Optionen zur Verfügung:
| ||||||||||
| 10 |
Überprüfen Sie, ob Ihr X.509-Zertifikat die Anforderungen in X.509-Zertifikatsanforderungen erfüllt.
| ||||||||||
| 11 |
Geben Sie die Datenbankadresse und das Konto für HDS ein, um auf Ihren Schlüsseldatenspeicher zuzugreifen: | ||||||||||
| 12 |
Wählen Sie einen TLS-Datenbankverbindungsmodus aus:
Wenn Sie das Stammzertifikat hochladen (falls erforderlich) und auf Weiter klicken, testet das HDS Setup Tool die TLS-Verbindung zum Datenbankserver. Das Tool überprüft auch den Zertifikat signer und den Hostnamen, falls vorhanden. Wenn ein Test fehlschlägt, zeigt das Tool eine Fehlermeldung an, in der das Problem beschrieben wird. Sie können auswählen, ob Sie den Fehler ignorieren und mit der Einrichtung fortfahren möchten. (Aufgrund von Verbindungsunterschieden können die HDS-Knoten möglicherweise eine TLS-Verbindung herstellen, auch wenn das HDS Setup Tool diese nicht erfolgreich testen kann.) | ||||||||||
| 13 |
Konfigurieren Sie auf der Seite Systemprotokolle Ihren Syslogd-Server: | ||||||||||
| 14 |
(Optional) Sie können den Standardwert für einige Datenbankverbindungsparameter unter Erweiterte Einstellungen ändern. Im Allgemeinen ist dieser Parameter der einzige, den Sie ändern möchten: | ||||||||||
| 15 |
Klicken Sie im Bildschirm Kennwort für Dienstkonten zurücksetzen auf Weiter . Passwörter für Dienstkonten haben eine Lebensdauer von neun Monaten. Verwenden Sie diesen Bildschirm, wenn Ihre Passwörter bald ablaufen oder Sie sie zurücksetzen möchten, um frühere ISO-Dateien ungültig zu machen. | ||||||||||
| 16 |
Klicken Sie auf Download ISO File (ISO-Datei herunterladen). Speichern Sie die Datei an einem leicht auffindbaren Speicherort. | ||||||||||
| 17 |
Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Sichern Sie die Sicherungskopie sicher. Die Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff auf Administratoren für Hybrid-Datensicherheit, die Konfigurationsänderungen vornehmen sollten. | ||||||||||
| 18 |
Um das Setup Tool herunterzufahren, tippen Sie |
Nächste Schritte
Sichern Sie die ISO-Konfigurationsdatei. Sie benötigen sie, um weitere Knoten für die Wiederherstellung zu erstellen oder Konfigurationsänderungen vorzunehmen. Wenn Sie alle Kopien der ISO-Datei verlieren, haben Sie auch den Hauptschlüssel verloren. Die Schlüssel aus Ihrer PostgreSQL- oder Microsoft SQL Server-Datenbank können nicht wiederhergestellt werden.
Wir haben nie eine Kopie dieses Schlüssels und können nicht helfen, wenn Sie ihn verlieren.
Installieren des HDS Host OVA
| 1 |
Melden Sie sich über den VMware vSphere-Client auf Ihrem Computer bei dem ESXi virtuellen Host an. |
| 2 |
Wählen Sie Datei > OVF-Vorlage bereitstellen aus. |
| 3 |
Geben Sie im Assistenten den Speicherort der OVA-Datei an, die Sie zuvor heruntergeladen haben, und klicken Sie auf Weiter. |
| 4 |
Geben Sie auf der Seite Name und Ordner auswählen einen Namen der virtuellen Maschine für den Knoten ein (z. B. „HDS_Node_1“), wählen Sie einen Ort aus, an dem sich die Knotenbereitstellung der virtuellen Maschine befinden kann, und klicken Sie auf Weiter. |
| 5 |
Wählen Sie auf der Seite Berechnungsressource auswählen die Ziel-Berechnungsressource aus, und klicken Sie auf Weiter. Eine Validierungsprüfung wird ausgeführt. Nach Abschluss werden die Vorlagendetails angezeigt. |
| 6 |
Überprüfen Sie die Vorlagendetails, und klicken Sie dann auf Weiter. |
| 7 |
Wenn Sie aufgefordert werden, die Ressourcenkonfiguration auf der Seite Konfiguration auszuwählen, klicken Sie auf 4 CPU und dann auf Weiter. |
| 8 |
Klicken Sie auf der Seite Speicher auswählen auf Weiter , um das standardmäßige Festplattenformat und die VM-Speicherrichtlinie zu akzeptieren. |
| 9 |
Wählen Sie auf der Seite Netzwerke auswählen die Netzwerkoption aus der Liste der Einträge aus, um die gewünschte Konnektivität für die VM bereitzustellen. |
| 10 |
Konfigurieren Sie auf der Seite Vorlage anpassen die folgenden Netzwerkeinstellungen:
Wenn Sie dies vorziehen, können Sie die Konfiguration der Netzwerkeinstellungen überspringen und die Schritte unter Einrichten der Hybrid-Datensicherheit-VM befolgen, um die Einstellungen über die Knotenkonsole zu konfigurieren. Die Option zum Konfigurieren der Netzwerkeinstellungen während der OVA-Bereitstellung wurde mit ESXi 6.5 getestet. In früheren Versionen ist diese Option möglicherweise nicht verfügbar. |
| 11 |
Klicken Sie mit der rechten Maustaste auf die Knoten-VM, und wählen Sie . Die Hybrid-Datensicherheitssoftware wird als Gast auf dem VM-Host installiert. Sie können sich jetzt bei der Konsole anmelden und den Knoten konfigurieren. Leitfaden zur Fehlerbehebung Es kann zu einer Verzögerung von einigen Minuten kommen, bis die Knotencontainer angezeigt werden. Beim erstmaligen Start wird eine Bridge-Firewall-Nachricht angezeigt, während der Sie sich anmelden können. |
Einrichten der Hybrid-Datensicherheits-VM
Mit diesem Verfahren können Sie sich zum ersten Mal bei der VM-Konsole des Hybrid-Datensicherheitsknotens anmelden und die Anmeldeinformationen festlegen. Sie können auch die Konsole verwenden, um die Netzwerkeinstellungen für den Knoten zu konfigurieren, falls Sie diese bei der OVA-Bereitstellung nicht konfiguriert haben.
| 1 |
Wählen Sie im VMware vSphere-Client, Ihre Hybrid-Datensicherheitsknoten-VM und daraufhin die Registerkarte Console (Konsole) aus. Die VM fährt hoch und ein Anmeldebildschirm erscheint. Drücken Sie die Eingabetaste, falls der Anmeldebildschirm nicht angezeigt wird.
|
| 2 |
Verwenden Sie den folgenden Standard-Anmeldenamen und das Standardkennwort, um sich anzumelden und die Anmeldedaten zu ändern: Da Sie sich zum ersten Mal bei der VM anmelden, müssen Sie das Administratorkennwort ändern. |
| 3 |
Wenn Sie die Netzwerkeinstellungen bereits unter Installieren der HDS-Host-OVA konfiguriert haben, überspringen Sie den Rest dieses Verfahrens. Wählen Sie andernfalls im Hauptmenü die Option Konfiguration bearbeiten aus. |
| 4 |
Richten Sie eine statische Konfiguration ein und geben Sie die Daten für IP-Adresse, Maske, Gateway und DNS ein. Ihr Knoten hat jetzt eine interne IP-Adresse und einen DNS-Namen. DHCP wird nicht unterstützt. |
| 5 |
(Optional) Ändern Sie die Werte für Hostname, Domäne oder NTP-Server, wenn dies gemäß Ihren Netzwerkrichtlinien erforderlich ist. Sie müssen die Domäne nicht auf die Domäne ändern, über die Sie das X.509-Zertifikat erhalten haben. |
| 6 |
Speichern Sie die Netzwerkkonfiguration und starten Sie die VM neu, damit die Änderungen in Kraft treten. |
Hochladen und Mounten der HDS-Konfigurations-ISO
Vorbereitungen
Da die ISO-Datei den Hauptschlüssel enthält, sollte sie nur auf Basis eines "Need-to-Know"-Basis zugänglich gemacht werden, für den Zugriff durch die Hybrid Data Security-VMs und alle Administratoren, die möglicherweise Änderungen vornehmen müssen. Stellen Sie sicher, dass nur diese Administratoren Zugriff auf den Datenspeicher haben.
| 1 |
Laden Sie die ISO-Datei von Ihrem Computer hoch: |
| 2 |
Mounten Sie die ISO-Datei: |
Nächste Schritte
Wenn Ihre IT-Richtlinie dies erfordert, können Sie optional die ISO-Datei unmounten, nachdem alle Knoten die Konfigurationsänderungen übernommen haben. Weitere Informationen finden Sie unter (Optional) ISO nach HDS-Konfiguration unmounten .
Konfigurieren des HDS Knotens für Proxyintegration
Wenn die Netzwerkumgebung einen Proxy erfordert, geben Sie mit diesem Vorgang den Typ des Proxy an, den Sie in die Hybriddatensicherheit integrieren möchten. Wenn Sie einen transparenten Anrufproxy oder einen HTTPS expliziten Proxy wählen, können Sie die Stammzertifikat über die Schnittstelle des Knotens hochladen und installiert werden. Sie können auch die Proxyverbindung über die Schnittstelle überprüfen und mögliche Probleme beheben.
Vorbereitungen
-
Eine Übersicht der unterstützten Proxy-Optionen finden Sie unter Proxy-Unterstützung .
| 1 |
Geben Sie den HDS Knoten Setup URL |
| 2 |
Gehen Sie zu Trust Store & Proxyund wählen Sie dann eine Option:
Befolgen Sie die nächsten Schritte für einen transparenten Inspektionsproxy, einen HTTP expliziten Proxy mit Basisauthentifizierung oder einen HTTPS expliziten Proxy |
| 3 |
Klicken Sie auf ein Zertifikat für das Stammzertifikat oder Endnutzerzertifikat hochladen, und navigieren Sie dann zu einer Stammzertifikat für den Proxy. Das Zertifikat ist hochgeladen, aber noch nicht installiert, da Sie den Knoten neu starten müssen, um das Zertifikat zu installieren. Klicken Sie auf den Chevron Pfeil unter dem Namen des Zertifikats, um weitere Details zu erhalten, oder klicken Sie auf löschen, Wenn Sie Fehler gemacht haben und die Datei erneut hochladen möchten. |
| 4 |
Klicken Sie auf Stellvertreterverbindung prüfen , um die Netzwerkverbindung zwischen dem Knoten und dem Proxy zu testen. Wenn der Verbindungstest ausfällt, wird eine Fehlermeldung angezeigt, die den Grund und die Frage, wie Sie das Problem beheben können, anzeigt. Wenn Sie eine Meldung sehen, dass eine externe DNS nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen. Diese Bedingung wird in vielen expliziten Proxykonfigurationen erwartet. Sie können mit dem Setup fortfahren, und der Knoten wird im gesperrten externen DNS-Server funktionieren. Wenn Sie glauben, dass es sich um einen Fehler handelt, führen Sie die folgenden Schritte aus. Siehe Modus für blockierte externe DNS-Auflösung deaktivieren. |
| 5 |
Nach dem Durchführen des Verbindungstests, für expliziten Proxy, der nur auf HTTPS gesetzt ist, aktivieren Sie die Option so schalten Sie alle Port 443/444 https Anfragen aus diesem Knoten durch den expliziten Proxy Diese Einstellung benötigt 15 Sekunden, um wirksam zu werden. |
| 6 |
Klicken Sie auf alle-Zertifizierungsstellen in den Trust Store installieren (erscheint für einen HTTPS expliziten Proxy oder einen transparenten Inspektionskrimi) oder Neustart (erscheint für einen HTTP expliziten Proxy), lesen Sie die Aufforderung, und klicken Sie dann auf in Der Knoten startet innerhalb weniger Minuten. |
| 7 |
Nachdem der Knoten erneut gestartet wurde, melden Sie sich bei Bedarf erneut an, und öffnen Sie dann die Übersichtsseite, um die Verbindungsüberprüfungen zu überprüfen, um sicherzustellen, dass Sie alle im grünen Status sind. Die Proxyverbindung prüft nur eine Unterdomäne von WebEx.com. Wenn es Verbindungsprobleme gibt, ist ein häufiges Problem, dass einige der in den instructions aufgeführten-C-Domänen beim Proxy gesperrt werden. |
Den ersten Knoten im Cluster registrieren
Bei der Registrierung Ihres ersten Knotens erstellen Sie ein Cluster, zu dem der Knoten zugewiesen wird. Ein Cluster umfasst einen oder mehrere Knoten, die aus Redundanzgründen bereitgestellt werden.
Vorbereitungen
-
Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.
-
Stellen Sie sicher, dass alle Popupblocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.
| 1 |
Melden Sie sich bei https://admin.webex.com an. |
| 2 |
Wählen Sie im Menü auf der linken Seite die Option Dienste aus. |
| 3 |
Suchen Sie im Abschnitt „Hybrid-Dienste“ nach der Option „Hybrid-Datensicherheit“ und klicken Sie auf Einrichten. Die Seite „Register Hybrid Data Security Node“ (Hybrid-Datensicherheitsknoten registrieren) wird angezeigt.
|
| 4 |
Wählen Sie Yes (Ja) aus, um anzugeben, dass Sie den Knoten eingerichtet haben und zur Registrierung bereit sind. Klicken Sie daraufhin auf Next (Weiter). |
| 5 |
Geben Sie im ersten Feld einen Namen für das Cluster ein, dem Sie Ihren Hybrid-Datensicherheitsknoten zuweisen möchten. Benennen Sie Ihre Cluster nach Möglichkeit nach dem geografischen Standort der Clusterknoten. Beispiele: „San Francisco“ oder „New York“ oder „Dallas“ |
| 6 |
Geben Sie im zweiten Feld die interne IP-Adresse oder den vollständig qualifizierten Domänennamen (FQDN) Ihres Knotens ein und klicken Sie auf Next (Weiter). Diese IP-Adresse oder FQDN sollte mit der IP-Adresse oder dem Hostnamen und der Domäne übereinstimmen, die Sie beim Einrichten der Hybrid-Datensicherheit-VM verwendet haben. Es wird eine Meldung angezeigt, dass Sie Ihren Knoten in Webex registrieren können.
|
| 7 |
Klicken Sie auf Go to Node (Zum Knoten wechseln). |
| 8 |
Klicken Sie in der Warnmeldung auf Weiter. Nach einigen Augenblicken werden Sie zu den Knoten-Konnektivitätstests für Webex-Dienste umgeleitet. Sind alle Tests erfolgreich, wird die Seite „Allow Access to Hybrid Data Security Node“ (Zugriff zu Hybrid-Datensicherheits-Knoten gewähren) angezeigt. Bestätigen Sie dort, dass Sie Ihrer Webex-Organisation die Zugriffsberechtigungen für Ihren Knoten erteilen möchten.
|
| 9 |
Aktivieren Sie das Kontrollkästchen Allow Access to Your Hybrid Data Security Node (Zugriff zu Ihrem Hybrid-Datensicherheits-Knoten gewähren) und klicken Sie anschließend auf Continue (Weiter). Ihr Konto wird validiert, und die Meldung „Registrierung abgeschlossen“ zeigt an, dass Ihr Knoten jetzt in der Webex Cloud registriert ist.
|
| 10 |
Klicken Sie auf den Link oder schließen Sie die Registerkarte, um zur Control Hub-Hybrid-Datensicherheitsseite zurückzukehren. Auf der Seite Hybrid Data Security (Hybrid-Datensicherheit) wird der neue Cluster mit dem Knoten, den Sie eben registriert haben, angezeigt. Der Knoten lädt die aktuelle Software automatisch aus der Cloud herunter.
|
Erstellen und Registrieren weiterer Knoten
Zu diesem Zeitpunkt sind die Backup-VMs, die Sie unter Voraussetzungen für Hybrid-Datensicherheit erfüllen erstellt haben, Standby-Hosts, die nur für den Fall einer Notfallwiederherstellung verwendet werden. Sie wurden bis dahin nicht mit dem System registriert. Weitere Informationen finden Sie unter Notfallwiederherstellung mit Standby-Rechenzentrum.
Vorbereitungen
-
Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.
-
Stellen Sie sicher, dass alle Popupblocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.
| 1 |
Erstellen Sie eine neue virtuelle Maschine über die OVA und wiederholen Sie die Schritte unter Installieren der HDS-Host-OVA. |
| 2 |
Richten Sie die Erstkonfiguration für die neue VM ein. Wiederholen Sie die Schritte unter Einrichten der Hybrid-Datensicherheit-VM. |
| 3 |
Wiederholen Sie auf der neuen VM die Schritte unter HDS-Konfigurations-ISO hochladen und mounten. |
| 4 |
Wenn Sie einen Proxy für Ihre Bereitstellung einrichten, wiederholen Sie die Schritte unter Konfigurieren des HDS-Knotens für die Proxy-Integration nach Bedarf für den neuen Knoten. |
| 5 |
Registrieren Sie den Knoten. Ihr Knoten ist registriert. Beachten Sie, dass Ihre Knoten bis zum Start eines Tests einen Alarm generieren, der angibt, dass Ihr Dienst noch nicht aktiviert ist.
|
Nächste Schritte
Ausführen einer Testversion und Umwandeln in eine Produktionsversion
Ablauf von Test-zu-Produktionsaufgaben
Nachdem Sie einen Hybrid-Datensicherheitscluster eingerichtet haben, können Sie einen Pilot starten, Benutzer zu diesem hinzufügen und ihn zum Testen und Verifizieren Ihrer Bereitstellung verwenden, um sich auf den Produktionswechsel vorzubereiten.
Vorbereitungen
| 1 |
Synchronisieren Sie ggf. das Gruppenobjekt Wenn Ihre Organisation die Verzeichnissynchronisierung für Benutzer verwendet, müssen Sie das Gruppenobjekt |
| 2 |
Testversion starten. Bis diese Aufgabe ausgeführt wird, generieren Ihre Knoten einen Alarm, der angibt, dass der Dienst noch nicht aktiviert ist. |
| 3 |
Testen Ihrer Bereitstellung für die Hybrid-Datensicherheit Überprüfen Sie, ob wichtige Anforderungen an Ihre Hybrid-Datensicherheitsbereitstellung weitergeleitet werden. |
| 4 |
Überwachen des Status der Hybrid-Datensicherheit Status prüfen und E-Mail-Benachrichtigungen für Alarme einrichten. |
| 5 |
Hinzufügen oder Entfernen von Benutzern aus Ihrer Testversion |
| 6 |
Schließen Sie die Testphase mit einer der folgenden Aktionen ab: |
Testversion aktivieren
Vorbereitungen
Wenn Ihre Organisation für Benutzer die Verzeichnissynchronisierung verwendet, müssen Sie das HdsTrialGroup-Gruppenobjekt auswählen, um die Synchronisierung mit der Cloud durchzuführen, bevor Sie einen Test für Ihre Organisation starten können. Anweisungen finden Sie im Bereitstellungsleitfaden für Cisco Directory Connector.
| 1 |
Melden Sie sich bei https://admin.webex.com an, und wählen Sie dann Dienste. |
| 2 |
Klicken Sie unter Hybrid-Datensicherheit auf Einstellungen. |
| 3 |
Klicken Sie im Dienststatus-Bereich auf Test starten. Der Dienststatus ändert sich in Testmodus.
|
| 4 |
Klicken Sie auf Benutzer hinzufügen und geben Sie die E-Mail-Adresse eines oder mehrerer Benutzer ein, um die Verwendung Ihrer Hybrid-Datensicherheitsknoten für Verschlüsselungs- und Indizierungsdienste zu testen. (Wenn Ihre Organisation die Verzeichnissynchronisierung verwendet, nutzen Sie Active Directory zum Verwalten der Testgruppe |
Testen Ihrer Bereitstellung für die Hybrid-Datensicherheit
Vorbereitungen
-
Richten Sie Ihre Hybrid-Datensicherheitsbereitstellung ein.
-
Aktivieren Sie die Testversion, und fügen Sie mehrere Testbenutzer hinzu.
-
Stellen Sie sicher, dass Sie auf das Syslog zugreifen können, um zu überprüfen, ob wichtige Anforderungen an Ihre Hybrid-Datensicherheitsbereitstellung weitergeleitet werden.
| 1 |
Schlüssel für einen bestimmten Bereich werden vom Ersteller des Bereichs festgelegt. Melden Sie sich bei der Webex-App als einer der Pilotbenutzer an, erstellen Sie dann einen Bereich und laden Sie mindestens einen Pilotbenutzer und einen Nicht-Pilotbenutzer ein. Wenn Sie die Hybrid-Datensicherheitsbereitstellung deaktivieren, sind Inhalte in Bereichen, die von Pilotbenutzern erstellt werden, nicht mehr verfügbar, nachdem die im Client zwischengespeicherten Kopien der Verschlüsselungscodes ersetzt wurden. |
| 2 |
Senden Sie Nachrichten an den neuen Bereich. |
| 3 |
Überprüfen Sie die Syslog-Ausgabe, um sicherzustellen, dass die Schlüsselanforderungen an Ihre Hybrid-Datensicherheitsbereitstellung weitergeleitet werden. |
Überwachen des Status der Hybrid-Datensicherheit
| 1 |
Wählen Sie in Control Hub im Menü auf der linken Seite des Bildschirms die Option Dienste aus. |
| 2 |
Suchen Sie im Bereich „Hybrid Services“ (Hybrid-Dienste) nach „Hybrid Data Security“ (Hybrid-Datensicherheit) und klicken Sie auf Settings (Einstellungen). Die Seite „Hybrid Data Security Settings“ (Einstellungen für Hybrid-Datensicherheit) wird angezeigt.
|
| 3 |
Geben Sie im Abschnitt zu E-Mail-Benachrichtigungen eine oder mehrere Adressen durch Komma getrennt ein und drücken Sie Enter. |
Hinzufügen oder Entfernen von Benutzern aus Ihrer Testversion
Wenn Sie einen Benutzer aus der Testversion entfernen, fordert der Benutzer-Client Schlüssel und das Erstellen eines Schlüssels aus dem Cloud-KMS an, statt aus Ihrem KMS. Wenn der Client einen Schlüssel benötigt, der in Ihrem KMS gespeichert ist, ruft der Cloud-KMS ihn im Namen des Benutzers ab.
Wenn Ihre Organisation die Verzeichnissynchronisierung verwendet, verwenden Sie Active Directory (anstelle dieses Verfahrens), um die Testgruppe HdsTrialGroup zu verwalten. Sie können die Gruppenmitglieder in Control Hub anzeigen, aber sie können sie nicht hinzufügen oder entfernen.
| 1 |
Melden Sie sich bei Control Hub an, und wählen Sie Dienste aus. |
| 2 |
Klicken Sie unter Hybrid-Datensicherheit auf Einstellungen. |
| 3 |
Klicken Sie im Testmodus-Bereich des Dienststatus-Bereichs auf Benutzer hinzufügen, oder klicken Sie auf anzeigen und bearbeiten, um Benutzer aus der Testversion zu entfernen. |
| 4 |
Geben Sie die E-Mail-Adressen von einem oder mehreren Benutzern ein, die Sie hinzufügen möchten, oder klicken Sie auf das X neben einer Benutzer-ID, um den Benutzer aus der Testversion zu entfernen. Klicken Sie anschließend auf Speichern. |
Umstellung von Trial auf Produktion
| 1 |
Melden Sie sich bei Control Hub an, und wählen Sie Dienste aus. |
| 2 |
Klicken Sie unter Hybrid-Datensicherheit auf Einstellungen. |
| 3 |
Klicken Sie im Dienststatus-Bereich auf Move to Production (auf Produktion umstellen). |
| 4 |
Bestätigen Sie, dass Sie alle Benutzer auf die Produktion umstellen möchten. |
Beenden Ihrer Trial-Version ohne Umstellung auf Produktion
| 1 |
Melden Sie sich bei Control Hub an, und wählen Sie Dienste aus. |
| 2 |
Klicken Sie unter Hybrid-Datensicherheit auf Einstellungen. |
| 3 |
Klicken Sie im Abschnitt „Deactivate“ (Deaktivieren) auf Deactivate (Deaktivieren). |
| 4 |
Bestätigen Sie, dass Sie den Dienst deaktivieren und die Trial beenden möchten. |
HDS-Bereitstellung verwalten
Verwalten der HDS-Bereitstellung
Verwenden Sie die hier beschriebenen Aufgaben, um Ihre Hybrid-Datensicherheitsbereitstellung zu verwalten.
Festlegen des Upgrade-Zeitplans für Cluster
So legen Sie den Upgrade-Zeitplan fest:
| 1 |
Melden Sie sich bei Control Hub an. |
| 2 |
Wählen Sie auf der Übersichtsseite unter „Hybriddienste“ die Option Hybrid Data Security aus. |
| 3 |
Wählen Sie auf der Seite „Hybrid-Datensicherheitsressourcen“ den Cluster aus. |
| 4 |
Wählen Sie im Übersichtsbereich auf der rechten Seite in den Clustereinstellungen den Clusternamen aus. |
| 5 |
Wählen Sie auf der Einstellungsseite unter „Upgrade“ die Uhrzeit und die Zeitzone für den Upgrade-Zeitplan aus. Hinweis: Unter der Zeitzone wird der nächste verfügbare Zeitpunkt für ein Upgrade angezeigt. Sie können das Upgrade bei Bedarf bis zum nächsten Tag zurückstellen, indem Sie auf Verschieben klicken. |
Ändern der Knotenkonfiguration
-
Änderung der x.509-Zertifikate aufgrund Ablaufs oder anderer Gründe.
Wir unterstützen keine Änderung des CN-Domänennamens eines Zertifikats. Die Domäne muss mit der Originaldomäne übereinstimmen, die zur Registrierung des Clusters verwendet wurde.
-
Datenbankeinstellungen werden aktualisiert, um auf eine Replik der PostgreSQL- oder Microsoft SQL Server-Datenbank zu wechseln.
Wir unterstützen keine Migration von Daten von PostgreSQL zu Microsoft SQL Server oder auf den entgegengesetzten Weg. Um die Datenbankumgebung zu wechseln, starten Sie eine neue Bereitstellung von Hybrid Data Security.
-
Erstellen einer neuen Konfiguration, um ein neues Datenzentrum vorzubereiten.
Aus Sicherheitsgründen verwendet Hybrid Data Security Dienstkonto-Passwörter mit einer Laufzeit von neun Monaten. Nachdem das HDS Setup Tool diese Passwörter generiert hat, stellen Sie sie für jeden Ihrer HDS-Knoten in der ISO-Konfigurationsdatei bereit. Wenn die Kennwörter Ihrer Organisation fast ablaufen, erhalten Sie eine Benachrichtigung vom Webex-Team, mit der Sie das Passwort für Ihr Computerkonto zurücksetzen können. (Die E-Mail enthält den Text "Verwenden Sie die Maschinenkonto-API, um das Passwort zu aktualisieren"). Wenn Ihre Passwörter noch nicht abgelaufen sind, bietet Ihnen das Tool zwei Optionen:
-
Weiches Zurücksetzen – Das alte und das neue Kennwort können beide bis zu 10 Tage lang verwendet werden. Verwenden Sie diesen Zeitraum, um die ISO-Datei der Knoten schrittweise zu ersetzen.
-
Harte Zurücksetzung: Die alten Passwörter funktionieren sofort nicht mehr.
Wenn Ihre Passwörter ohne Zurücksetzen ablaufen, wirkt sich dies auf Ihren HDS-Dienst aus, was ein sofortiges Zurücksetzen und Ersetzen der ISO-Datei auf allen Knoten erfordert.
Verwenden Sie dieses Verfahren, um eine neue ISO-Konfigurationsdatei zu generieren und auf Ihren Cluster anzuwenden.
Vorbereitungen
-
Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zu zugreifen, führen Sie Docker auf diesem Computer aus. Für den Einrichtungsprozess sind die Anmeldeinformationen eines Control Hub-Kontos mit vollen Administratorrechten für Ihre Organisation erforderlich.
Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxy-Einstellungen (Server, Port, Anmeldeinformationen) über die Docker-Umgebungsvariablen an, wenn Sie den Docker Container in 1.e aufrufen. Diese Tabelle enthält einige mögliche Umgebungsvariablen:
Beschreibung
Variable
HTTP-Proxy ohne Authentifizierung
GLOBALER_AGENT_HTTP_PROXY=http://SERVER_IP:PORTHTTPS-Proxy ohne Authentifizierung
GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP-Proxy mit Authentifizierung
GLOBALER_AGENT_HTTP_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORTHTTPS-Proxy mit Authentifizierung
GLOBALER_AGENT_HTTPS_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT -
Um eine neue Konfiguration zu erstellen, benötigen Sie eine Kopie der aktuellen ISO-Konfigurationsdatei. Die ISO enthält den Masterschlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die ISO-Datei, wenn Sie Konfigurationsänderungen vornehmen, wie z. B. Datenbank-Anmeldeinformationen, Zertifikataktualisierungen oder Änderungen an der Autorisierungsrichtlinie.
| 1 |
Führen Sie auf einem lokalen Computer, auf dem Docker läuft, das HDS Setup Tool aus. |
| 2 |
Wenn Sie nur einen HDS-Knoten ausführen, erstellen Sie eine neue VM für den Hybrid-Datensicherheitsknoten und registrieren Sie sie mithilfe der neuen ISO-Konfigurationsdatei. Detaillierte Anweisungen finden Sie unter Weitere Knoten erstellen und registrieren. |
| 3 |
Mounten Sie bei vorhandenen HDS-Knoten, auf denen die ältere Konfigurationsdatei ausgeführt wird, die ISO-Datei. Führen Sie für jeden Knoten des Knotens folgende Schritte durch, indem Sie jeden Knoten aktualisieren, bevor Sie den nächsten Knoten deaktivieren: |
| 4 |
Wiederholen Sie Schritt 3, um bei jedem weiteren Knoten zu ersetzen, auf dem noch die alte Konfiguration ausgeführt wird, die Konfiguration zu ersetzen. |
Blockierte externe DNS Auflösungsmodus deaktivieren
Wenn Sie einen Knoten registrieren oder die Proxykonfiguration des Knotens überprüfen, testet das Verfahren die DNS und die Konnektivität der Cisco WebEx. Wenn der DNS-Server des Knotens öffentliche DNS nicht auflösen kann, geht der Knoten automatisch in den gesperrten externen DNS-Server.
Wenn Ihre Knoten öffentliche DNS über interne DNS-Server auflösen können, aktivieren Sie diesen Modus, indem Sie den Proxyverbindungstest für jeden Knoten deaktivieren.
Vorbereitungen
| 1 |
Öffnen Sie in einem Webbrowser die Schnittstelle für den Hybrid-Datensicherheitsknoten (IP-Adresse/Einrichtung, https://192.0.2.0/setup), geben Sie beispielsweise die für den Knoten eingerichteten Admin-Anmeldeinformationen ein, und klicken Sie dann auf Anmelden. |
| 2 |
Gehen Sie zu Übersicht (Standardseite). Wenn diese Option aktiviert ist, wird die externe DNS auf "Ja" gesetzt . |
| 3 |
Gehen Sie zur Seite Vertrauensspeicher und Proxy . |
| 4 |
Klicken Sie auf Stellvertreterverbindung prüfen. Wenn Sie eine Meldung sehen, dass eine externe DNS nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen und wird in diesem Modus verbleiben. Andernfalls sollte nach dem Neustart des Knotens und der Rückfahrt zur Übersichtsseite die gesperrte externe DNS auf "Nein" gesetzt werden. |
Nächste Schritte
Entfernen eines Knotens
| 1 |
Melden Sie sich über den VMware vSphere-Client auf Ihrem Computer bei dem ESXi virtuellen Host an und schalten Sie die virtuelle Maschine aus. |
| 2 |
Entfernen des Knotens: |
| 3 |
Löschen Sie die VM im vSphere-Client. (Klicken Sie im linken Navigationsbereich mit der rechten Maustaste auf die VM, und klicken Sie auf Löschen.) Wenn Sie die VM nicht löschen, denken Sie daran, die Konfigurations-ISO-Datei zu deinstallieren. Ohne die ISO-Datei können Sie die VM nicht verwenden, um auf Ihre Sicherheitsdaten zuzugreifen. |
Notfallwiederherstellung mit Standby-Rechenzentrum
Der wichtigste Dienst, den Ihr Hybrid-Datensicherheitscluster bietet, ist die Erstellung und Speicherung von Schlüsseln, mit denen Nachrichten und andere in der Webex-Cloud gespeicherte Inhalte verschlüsselt werden. Für jeden Benutzer innerhalb der Organisation, der der Hybrid-Datensicherheit zugewiesen ist, werden neue Anforderungen zur Schlüsselerstellung an das Cluster weitergeleitet. Der Cluster ist zudem dafür verantwortlich, die erstellten Schlüssel an Benutzer zurückzusenden, die zum Abrufen von Schlüsseln berechtigt sind. Hierzu gehören beispielsweise Mitglieder eines Gesprächsraums.
Da der Cluster die wichtige Funktion erfüllt, diese Schlüssel bereitzustellen, ist es höchst wichtig, dass der Cluster in Betrieb bleibt und korrekte Backups erstellt werden. Der Verlust der Hybrid-Datensicherheitsdatenbank oder der für das Schema verwendeten Konfigurations-ISO führt zu einem NICHT BEHEBBAREN VERLUST von Kundeninhalten. Die folgenden Praktiken sind zwingend erforderlich, um einem derartigen Verlust vorzubeugen:
Wenn eine Katastrophe dazu führt, dass die HDS-Bereitstellung im primären Rechenzentrum nicht mehr verfügbar ist, führen Sie dieses Verfahren aus, um ein manuelles Failover auf das Standby-Rechenzentrum durchzuführen.
| 1 |
Starten Sie das HDS-Setup-Tool und führen Sie die unter Erstellen einer Konfigurations-ISO für die HDS-Hosts beschriebenen Schritte aus. |
| 2 |
Klicken Sie nach dem Konfigurieren des Syslogd-Servers auf Erweiterte Einstellungen. |
| 3 |
Fügen Sie auf der Seite Erweiterte Einstellungen die Konfiguration unten hinzu oder entfernen Sie die Konfiguration
|
| 4 |
Schließen Sie den Konfigurationsprozess ab und speichern Sie die ISO-Datei an einem leicht auffindbaren Speicherort. |
| 5 |
Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Sichern Sie die Sicherungskopie sicher. Die Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff auf Administratoren für Hybrid-Datensicherheit, die Konfigurationsänderungen vornehmen sollten. |
| 6 |
Klicken Sie im linken Navigationsbereich des VMware vSphere-Clients mit der rechten Maustaste auf die VM und klicken Sie auf Einstellungen bearbeiten. |
| 7 |
Klicken Sie auf Einstellungen bearbeiten >CD/DVD-Laufwerk 1 und wählen Sie Datenspeicher-ISO-Datei. Stellen Sie sicher, dass Verbunden und Verbinden beim Einschalten aktiviert sind, damit aktualisierte Konfigurationsänderungen nach dem Starten der Knoten wirksam werden können. |
| 8 |
Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 15 Minuten lang keine Alarme vorhanden sind. |
| 9 |
Wiederholen Sie den Vorgang für jeden Knoten im Standby-Rechenzentrum. Überprüfen Sie die Syslog-Ausgabe, um sicherzustellen, dass sich die Knoten des Standby-Rechenzentrums nicht im passiven Modus befinden. „KMS im passiven Modus konfiguriert“ sollte nicht in den Syslogs angezeigt werden. |
Nächste Schritte
(Optional) ISO nach HDS-Konfiguration aushängen
Die Standard-HDS-Konfiguration wird mit eingebauter ISO ausgeführt. Einige Kunden ziehen es jedoch vor, die ISO-Dateien nicht kontinuierlich eingebunden zu lassen. Sie können die ISO-Datei unmounten, nachdem alle HDS-Knoten die neue Konfiguration übernommen haben.
Sie verwenden weiterhin die ISO-Dateien, um Konfigurationsänderungen vorzunehmen. Wenn Sie eine neue ISO erstellen oder eine ISO über das Setup-Tool aktualisieren, müssen Sie die aktualisierte ISO auf allen HDS-Knoten mounten. Wenn alle Knoten die Konfigurationsänderungen übernommen haben, können Sie die ISO mit diesem Verfahren erneut deinstallieren.
Vorbereitungen
Aktualisieren Sie alle Ihre HDS-Knoten auf Version 2021.01.22.4720 oder höher.
| 1 |
Fahren Sie einen Ihrer HDS-Knoten herunter. |
| 2 |
Wählen Sie in der vCenter Server-Appliance den HDS-Knoten aus. |
| 3 |
Wählen Sie und deaktivieren Sie ISO-Datei für Datenspeicher. |
| 4 |
Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 20 Minuten lang keine Alarme angezeigt werden. |
| 5 |
Wiederholen Sie dies für jeden HDS-Knoten der Reihe nach. |
Problembehandlung der Hybrid-Datensicherheit
Anzeigen von Warnungen und Beheben von Fehlern
Eine Hybrid-Datensicherheitsbereitstellung gilt als nicht verfügbar, wenn alle Knoten im Cluster nicht erreichbar sind oder der Cluster so langsam arbeitet, dass eine Zeitüberschreitung erforderlich ist. Wenn Benutzer Ihr Hybrid-Datensicherheitscluster nicht erreichen können, treten folgende Symptome auf:
-
Neue Bereiche können nicht erstellt werden (es konnten keine neuen Schlüssel erstellt werden)
-
Nachrichten- und Bereichstitel konnten für folgende Benutzer nicht entschlüsselt werden:
-
Neue zu einem Bereich hinzugefügte Benutzer (Schlüssel konnten nicht abgerufen werden)
-
Vorhandene Benutzer in einem Bereich, der einen neuen Client verwendet (Schlüssel konnten nicht abgerufen werden)
-
-
Vorhandene Benutzer in einem Bereich werden weiterhin erfolgreich ausgeführt, sofern ihre Clients über einen Cache für Verschlüsselungsschlüssel verfügen
Es ist wichtig, dass Sie Ihren Hybrid-Datensicherheitscluster ordnungsgemäß überwachen und alle Warnungen umgehend adressieren, um Dienstunterbrechungen zu vermeiden.
Warnungen
Wenn es ein Problem mit der Hybrid-Datensicherheitseinrichtung gibt, zeigt Control Hub Warnungen an den Organisationsadministrator an und sendet E-Mails an die konfigurierte E-Mail-Adresse. Die Warnungen betreffen viele gängige Szenarien.
|
Alarm |
Vorgang |
|---|---|
|
Fehler beim Zugriff auf die lokale Datenbank. |
Überprüfen Sie das System auf Datenbankfehler oder lokale Netzwerkprobleme. |
|
Fehler beim Herstellen einer Verbindung zur lokalen Datenbank. |
Vergewissern Sie sich, dass der Datenbankserver verfügbar ist und die richtigen Dienstkonto-Anmeldeinformationen in der Knotenkonfiguration verwendet wurden. |
|
Fehler beim Zugriff auf den Clouddienst. |
Überprüfen Sie, ob die Knoten auf die Webex-Server zugreifen können, wie unter Externe Verbindungsanforderungen angegeben. |
|
Registrierung des Clouddiensts wird erneuert. |
Registrierung von Clouddiensten wurde verworfen. Erneuerung der Registrierung wird durchgeführt. |
|
Registrierung des Clouddiensts wurde verworfen. |
Registrierung von Clouddiensten wurde beendet. Dienst wird beendet. |
|
Dienst noch nicht aktiviert. |
Aktivieren Sie eine Testversion oder beenden Sie das Umwandeln der Testversion in eine Produktionsversion. |
|
Konfigurierte Domäne stimmt nicht mit dem Serverzertifikat überein. |
Vergewissern Sie sich, dass das Serverzertifikat mit der konfigurierten Dienstaktivierungsdomäne übereinstimmt. Die wahrscheinlichste Ursache lautet, dass die Zertifikat-CN vor kurzem geändert wurde und nun von der CN abweicht, die während der ursprünglichen Einrichtung verwendet wurde. |
|
Clouddienste konnten nicht authentifiziert werden. |
Prüfen Sie die Daten auf korrekte Eingabe und einen möglichen Ablauf der Dienstkonto-Anmeldeinformationen. |
|
Lokale Schlüsselspeicherdatei konnte nicht geöffnet werden. |
Überprüfen Sie die lokale Schlüsselspeicherdatei auf Integrität und Kennwortgenauigkeit. |
|
Lokales Serverzertifikat ist ungültig. |
Überprüfen Sie das Ablaufdatum des Serverzertifikats und vergewissern Sie sich, dass es von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde. |
|
Metriken konnten nicht gepostet werden. |
Überprüfen Sie den Zugriff des lokalen Netzwerks auf externe Clouddienste. |
|
Das Verzeichnis /media/configdrive/hds ist nicht vorhanden. |
Überprüfen Sie die ISO-Mountkonfiguration auf dem virtuellen Host. Vergewissern Sie sich, dass die ISO-Datei vorhanden ist, die beim Neustart für das Mounten konfiguriert ist und das Mounten erfolgreich ausgeführt wird. |
Problembehandlung der Hybrid-Datensicherheit
| 1 |
Prüfen Sie Control Hub auf Warnungen und beheben Sie alle Elemente, die Sie dort finden. |
| 2 |
Überprüfen Sie die Syslog-Serverausgabe auf Aktivität aus der Hybrid-Datensicherheitsbereitstellung. |
| 3 |
Kontaktieren Sie den Cisco-Support. |
Weitere Hinweise
Bekannte Probleme mit Hybrid-Datensicherheit
-
Wenn Sie Ihren Hybrid-Datensicherheitscluster herunterfahren (indem Sie ihn in Control Hub löschen oder alle Knoten herunterfahren), Ihre Konfigurations-ISO-Datei verlieren oder den Zugriff auf die Keystore-Datenbank verlieren, können Ihre Webex-App-Benutzer keine Bereiche in ihrer Personenliste mehr verwenden, die mit Schlüsseln von Ihrem KMS erstellt wurden. Dies gilt für Test- und Produktionsbereitstellungen. Wir haben aktuell keine Problemumgehung oder Lösung für dieses Problem und empfehlen Ihnen dringend, Ihre HDS-Dienste nicht herunterzufahren, sobald sie aktive Benutzerkonten verarbeiten.
-
Ein Client, der über eine bestehende ECDH-Verbindung zu einem KMS verfügt, hält die Verbindung für einen Zeitraum aufrecht (ca. eine Stunde). Wenn ein Benutzer Mitglied einer Hybrid-Datensicherheitstestversion wird, verwendet der Client des Benutzers die vorhandene ECDH-Verbindung bis zur Zeitüberschreitung. Alternativ kann sich der Benutzer bei der Webex-App abmelden und wieder anmelden, um den Standort zu aktualisieren, an dem die App für Verschlüsselungsschlüssel kontaktiert.
Das gleiche Verhalten tritt auf, wenn Sie eine Testversion für die Organisation in eine Produktionsversion umwandeln. Alle nicht Testbenutzer mit bestehenden ECDH-Verbindungen zu den vorherigen Datensicherheitsdiensten verwenden weiterhin diese Dienste, bis die ECDH-Verbindung ausgehandelt wird (wegen einer Zeitüberschreitung oder durch Abmelden und erneutes Anmelden).
Generieren einer PKCS12-Datei mit OpenSSL
Vorbereitungen
-
OpenSSL ist eines der Tools, mit denen die PKCS12-Datei im richtigen Format für das Laden in das HDS-Setuptool erstellt werden kann. Es gibt auch andere Verfahren, keines davon wird von uns bevorzugt.
-
Wenn Sie sich für die Verwendung von OpenSSL entscheiden, stellen wir Ihnen dieses Verfahren als Richtlinie zur Verfügung, um eine Datei zu erstellen, die die X.509-Zertifikatsanforderungen in X.509-Zertifikatsanforderungen erfüllt. Machen Sie sich mit diesen Anforderungen vertraut, bevor Sie fortfahren.
-
Installieren Sie OpenSSL in einer unterstützten Umgebung. Software und Dokumentation finden Sie auf https://www.openssl.org.
-
Erstellen Sie einen privaten Schlüssel.
-
Beginnen Sie mit diesem Verfahren, wenn Sie das Serverzertifikat von Ihrer Zertifizierungsstelle (CA, Certificate Authority) erhalten.
| 1 |
Wenn Sie das Zertifikat von der CA erhalten, speichern Sie es als |
| 2 |
Zeigen Sie das Zertifikat als Text an, und überprüfen Sie die Details.
|
| 3 |
Erstellen Sie in einem Text-Editor eine Zertifikatpaketdatei namens
|
| 4 |
Erstellen Sie die P12-Datei mit dem Anzeigenamen
|
| 5 |
Überprüfen Sie die Zertifikatdetails. |
Nächste Schritte
Kehren Sie zurück zu Voraussetzungen für Hybrid-Datensicherheit erfüllen. Sie verwenden die Datei hdsnode.p12 und das Passwort, das Sie dafür festgelegt haben, unter Erstellen einer Konfigurations-ISO für die HDS-Hosts.
Sie können diese Dateien wiederverwenden, um ein neues Zertifikat anzufordern, wenn das ursprüngliche Zertifikat abläuft.
Datenverkehr zwischen den HDS-Knoten und der Cloud
Metriksammlung von ausgehendem Datenverkehr
Die Hybrid-Datensicherheitsknoten senden bestimmte Metriken an die Webex-Cloud. Dazu gehören Systemmetriken für max. Heap, verbrauchter Heap, CPU-Auslastung und Threadanzahl; Metriken zu synchronen und asynchronen Threads; Metriken zu Warnungen, darunter auch ein Schwellenwert der verschlüsselten Verbindungen, Latenz oder eine Anforderungswarteschlangenlänge; Metriken zum Datenspeicher; und Metriken zu verschlüsselten Verbindungen. Die Knoten senden verschlüsseltes Schlüsselmaterial über einen Out-of-Band-Kanal (separat von der Anforderung).
Eingehender Datenverkehr
Die Hybrid-Datensicherheitsknoten erhalten die folgenden Arten von eingehendem Datenverkehr von der Webex-Cloud:
-
Verschlüsselungsanforderungen von Clients, die vom Verschlüsselungsdienst umgeleitet werden
-
Upgrades für die Knoten-Software
Konfigurieren von Tintenfisch für die Hybriddatensicherheit
WebSocket kann nicht über SquID Proxy verbunden werden
Squid-Proxys, die den HTTPS-Datenverkehr prüfen, können die Einrichtung von Websocket-Verbindungen (wss:) beeinträchtigen, die für Hybrid Data Security erforderlich ist. Diese Abschnitte geben Anweisungen, wie Sie verschiedene Versionen von Squid konfigurieren, um WSS zu ignorieren: Datenverkehr für den ordnungsgemäßen Ablauf der Services.
Squid 4 und 5
Fügen Sie die on_unsupported_protocol Richtlinie zu squid.conf hinzu:
on_unsupported_protocol Alle tunnelSquid 3.5.27
Wir haben die Hybriddatensicherheit erfolgreich mit den folgenden Regeln getestet, die zu squid .conf hinzugefügt wurden. Diese Regeln können sich geändert werden, da wir Funktionen entwickeln und die WebEx Cisco aktualisieren.
acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 alle ssl_bump stare step2 alle ssl_bump bump step3 alle
