Möglicherweise stellen Sie Inkonsistenzen in den Inhalten einiger Artikel fest. Wir möchten uns für etwaige Umstände während der Aktualisierung der Seite entschuldigen.
cross icon
In diesem Artikel
dropdown icon
Vorwort
    Neue und geänderte Informationen
    dropdown icon
    Erste Schritte mit der Hybrid-Datensicherheit
      Übersicht über die Hybrid-Datensicherheit
        dropdown icon
        Sicherheitsbereichsarchitektur
          Bereiche der Trennung (ohne Hybrid-Datensicherheit)
        Zusammenarbeit mit anderen Organisationen
          Erwartungen an die Bereitstellung der Hybrid-Datensicherheit
            Hochrangiger Einrichtungsprozess
              dropdown icon
              Bereitstellungsmodell für Hybrid-Datensicherheit
                Bereitstellungsmodell für Hybrid-Datensicherheit
              Testmodus für Hybrid-Datensicherheit
                dropdown icon
                Standby-Rechenzentrum für die Notfallwiederherstellung
                  Standby-Rechenzentrum für die Notfallwiederherstellung einrichten
                Proxy-Support
                dropdown icon
                Umgebung vorbereiten
                  dropdown icon
                  Anforderungen an die Hybrid-Datensicherheit
                    Cisco Webex-Lizenzanforderungen
                    Docker Desktop-Anforderungen
                    X.509-Zertifikatanforderungen
                    Anforderungen an virtuelle Gastgeber
                    Anforderungen des Datenbankservers
                    Anforderungen an externe Konnektivität
                    Vorgaben für Proxy-Server
                  Vervollständigen der Voraussetzungen für die Hybrid-Datensicherheit
                  dropdown icon
                  Einrichten eines Hybrid-Datensicherheitsclusters
                    Ablauf der Bereitstellungsaufgabe für Hybrid-Datensicherheit
                      Installationsdateien herunterladen
                        Erstellen einer Konfigurations-ISO für die HDS-Hosts
                          Installieren der HDS-Host-OVA
                            Einrichten der Hybrid-DatensicherheitsVM
                              Hochladen und Einhängen der HDS-KonfigurationsISO
                                Konfigurieren des HDS Knotens für Proxyintegration
                                  Registrieren des ersten Knotens im Cluster
                                    Weitere Knoten erstellen und registrieren
                                    dropdown icon
                                    Eine Testversion ausführen und zur Produktion wechseln
                                      Ablauf der Testversion der Produktionsaufgabe
                                        Testversion aktivieren
                                          Testen Sie Ihre Hybrid-Datensicherheitsbereitstellung
                                            Hybrid-Datensicherheitsstatus überwachen
                                              Hinzufügen oder Entfernen von Benutzern aus Ihrer Testversion
                                                Übergang von der Testversion zur Produktion
                                                  Beenden Sie Ihren Test, ohne zur Produktion zu wechseln
                                                  dropdown icon
                                                  Verwalten Ihrer HDS-Bereitstellung
                                                    Verwalten der HDS-Bereitstellung
                                                      Cluster-Upgrade-Zeitplan festlegen
                                                        Knotenkonfiguration ändern
                                                          Blockierte externe DNS Auflösungsmodus deaktivieren
                                                            Knoten entfernen
                                                              Notfallwiederherstellung mit Standby-Rechenzentrum
                                                                (Optional) ISO nach HDS-Konfiguration entmounten
                                                                dropdown icon
                                                                Fehlerbehebung bei Hybrid Data Security
                                                                  Anzeigen von Warnungen und Fehlerbehebung
                                                                    dropdown icon
                                                                    Warnungen
                                                                      Allgemeine Probleme und Schritte zur Lösung dieser Probleme
                                                                    Fehlerbehebung bei Hybrid Data Security
                                                                    dropdown icon
                                                                    Sonstige Hinweise
                                                                      Bekannte Probleme bei der Hybrid-Datensicherheit
                                                                        Verwenden von OpenSSL zum Generieren einer PKCS12-Datei
                                                                          Datenverkehr zwischen den HDS-Knoten und der Cloud
                                                                            dropdown icon
                                                                            Konfigurieren von Tintenfisch für die Hybriddatensicherheit
                                                                              WebSocket kann nicht über SquID Proxy verbunden werden
                                                                          In diesem Artikel
                                                                          cross icon
                                                                          dropdown icon
                                                                          Vorwort
                                                                            Neue und geänderte Informationen
                                                                            dropdown icon
                                                                            Erste Schritte mit der Hybrid-Datensicherheit
                                                                              Übersicht über die Hybrid-Datensicherheit
                                                                                dropdown icon
                                                                                Sicherheitsbereichsarchitektur
                                                                                  Bereiche der Trennung (ohne Hybrid-Datensicherheit)
                                                                                Zusammenarbeit mit anderen Organisationen
                                                                                  Erwartungen an die Bereitstellung der Hybrid-Datensicherheit
                                                                                    Hochrangiger Einrichtungsprozess
                                                                                      dropdown icon
                                                                                      Bereitstellungsmodell für Hybrid-Datensicherheit
                                                                                        Bereitstellungsmodell für Hybrid-Datensicherheit
                                                                                      Testmodus für Hybrid-Datensicherheit
                                                                                        dropdown icon
                                                                                        Standby-Rechenzentrum für die Notfallwiederherstellung
                                                                                          Standby-Rechenzentrum für die Notfallwiederherstellung einrichten
                                                                                        Proxy-Support
                                                                                        dropdown icon
                                                                                        Umgebung vorbereiten
                                                                                          dropdown icon
                                                                                          Anforderungen an die Hybrid-Datensicherheit
                                                                                            Cisco Webex-Lizenzanforderungen
                                                                                            Docker Desktop-Anforderungen
                                                                                            X.509-Zertifikatanforderungen
                                                                                            Anforderungen an virtuelle Gastgeber
                                                                                            Anforderungen des Datenbankservers
                                                                                            Anforderungen an externe Konnektivität
                                                                                            Vorgaben für Proxy-Server
                                                                                          Vervollständigen der Voraussetzungen für die Hybrid-Datensicherheit
                                                                                          dropdown icon
                                                                                          Einrichten eines Hybrid-Datensicherheitsclusters
                                                                                            Ablauf der Bereitstellungsaufgabe für Hybrid-Datensicherheit
                                                                                              Installationsdateien herunterladen
                                                                                                Erstellen einer Konfigurations-ISO für die HDS-Hosts
                                                                                                  Installieren der HDS-Host-OVA
                                                                                                    Einrichten der Hybrid-DatensicherheitsVM
                                                                                                      Hochladen und Einhängen der HDS-KonfigurationsISO
                                                                                                        Konfigurieren des HDS Knotens für Proxyintegration
                                                                                                          Registrieren des ersten Knotens im Cluster
                                                                                                            Weitere Knoten erstellen und registrieren
                                                                                                            dropdown icon
                                                                                                            Eine Testversion ausführen und zur Produktion wechseln
                                                                                                              Ablauf der Testversion der Produktionsaufgabe
                                                                                                                Testversion aktivieren
                                                                                                                  Testen Sie Ihre Hybrid-Datensicherheitsbereitstellung
                                                                                                                    Hybrid-Datensicherheitsstatus überwachen
                                                                                                                      Hinzufügen oder Entfernen von Benutzern aus Ihrer Testversion
                                                                                                                        Übergang von der Testversion zur Produktion
                                                                                                                          Beenden Sie Ihren Test, ohne zur Produktion zu wechseln
                                                                                                                          dropdown icon
                                                                                                                          Verwalten Ihrer HDS-Bereitstellung
                                                                                                                            Verwalten der HDS-Bereitstellung
                                                                                                                              Cluster-Upgrade-Zeitplan festlegen
                                                                                                                                Knotenkonfiguration ändern
                                                                                                                                  Blockierte externe DNS Auflösungsmodus deaktivieren
                                                                                                                                    Knoten entfernen
                                                                                                                                      Notfallwiederherstellung mit Standby-Rechenzentrum
                                                                                                                                        (Optional) ISO nach HDS-Konfiguration entmounten
                                                                                                                                        dropdown icon
                                                                                                                                        Fehlerbehebung bei Hybrid Data Security
                                                                                                                                          Anzeigen von Warnungen und Fehlerbehebung
                                                                                                                                            dropdown icon
                                                                                                                                            Warnungen
                                                                                                                                              Allgemeine Probleme und Schritte zur Lösung dieser Probleme
                                                                                                                                            Fehlerbehebung bei Hybrid Data Security
                                                                                                                                            dropdown icon
                                                                                                                                            Sonstige Hinweise
                                                                                                                                              Bekannte Probleme bei der Hybrid-Datensicherheit
                                                                                                                                                Verwenden von OpenSSL zum Generieren einer PKCS12-Datei
                                                                                                                                                  Datenverkehr zwischen den HDS-Knoten und der Cloud
                                                                                                                                                    dropdown icon
                                                                                                                                                    Konfigurieren von Tintenfisch für die Hybriddatensicherheit
                                                                                                                                                      WebSocket kann nicht über SquID Proxy verbunden werden
                                                                                                                                                  Bereitstellungsleitfaden für die Webex Hybrid Data Security
                                                                                                                                                  list-menuIn diesem Artikel
                                                                                                                                                  Vorwort

                                                                                                                                                  Neue und geänderte Informationen

                                                                                                                                                  Datum

                                                                                                                                                  Vorgenommene Änderungen

                                                                                                                                                  20. Oktober 2023

                                                                                                                                                  07. August 2023

                                                                                                                                                  Dienstag, 23. Mai 2023

                                                                                                                                                  06. Dezember 2022

                                                                                                                                                  23. November 2022

                                                                                                                                                  13. Oktober 2021

                                                                                                                                                  Docker Desktop muss ein Setup-Programm ausführen, bevor Sie HDS-Knoten installieren können. Siehe Docker Desktop-Anforderungen .

                                                                                                                                                  24. Juni 2021

                                                                                                                                                  Beachten Sie, dass Sie die Datei mit dem privaten Schlüssel und den CSR wiederverwenden können, um ein anderes Zertifikat anzufordern. Weitere Informationen finden Sie unter Verwenden von OpenSSL zum Generieren einer PKCS12-Datei .

                                                                                                                                                  30. April 2021

                                                                                                                                                  Die VM-Anforderung für lokalen Festplattenspeicher wurde auf 30 GB geändert. Weitere Informationen finden Sie unter „Anforderungen für virtuelle Gastgeber“.

                                                                                                                                                  Mittwoch, 24. Februar 2021

                                                                                                                                                  Das HDS Setup Tool kann jetzt hinter einem Proxy ausgeführt werden. Weitere Informationen finden Sie unter Erstellen einer Konfigurations-ISO für die HDS-Hosts .

                                                                                                                                                  2. Februar 2021

                                                                                                                                                  HDS kann jetzt ohne gemountete ISO-Datei ausgeführt werden. Weitere Informationen finden Sie unter (Optional) ISO nach HDS-Konfiguration abmontieren .

                                                                                                                                                  11. Januar 2021

                                                                                                                                                  Informationen zum HDS Setup-Tool und zu Proxys hinzugefügt Erstellen einer Konfigurations-ISO für die HDS-Hosts .

                                                                                                                                                  13. Oktober 2020

                                                                                                                                                  Aktualisiert Installationsdateien herunterladen .

                                                                                                                                                  8. Oktober 2020

                                                                                                                                                  Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts und Ändern Sie die Knotenkonfiguration mit Befehlen für FedRAMP-Umgebungen.

                                                                                                                                                  Freitag, 14. August 2020

                                                                                                                                                  Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts und Ändern Sie die Knotenkonfiguration mit Änderungen am Anmeldeprozess.

                                                                                                                                                  Mittwoch, 5. August 2020

                                                                                                                                                  Aktualisiert Testen Sie Ihre Hybrid-Datensicherheitsbereitstellung auf Änderungen in Protokollnachrichten.

                                                                                                                                                  Aktualisiert Anforderungen für virtuelle Gastgeber , um die maximale Anzahl an Hosts zu entfernen.

                                                                                                                                                  Dienstag, 16. Juni 2020

                                                                                                                                                  Aktualisiert Entfernen eines Knotens für Änderungen in der Control Hub-Benutzeroberfläche.

                                                                                                                                                  Donnerstag, 4. Juni 2020

                                                                                                                                                  Aktualisiert Erstellen Sie ein Konfigurations-ISO für die HDS-Hosts für Änderungen in den erweiterten Einstellungen, die Sie möglicherweise festlegen.

                                                                                                                                                  Freitag, 29. Mai 2020

                                                                                                                                                  Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts , um anzuzeigen, dass Sie TLS auch mit SQL Server-Datenbanken, UI-Änderungen und anderen Klarstellungen verwenden können.

                                                                                                                                                  Dienstag, 5. Mai 2020

                                                                                                                                                  Aktualisiert Anforderungen für virtuelle Gastgeber um neue Anforderungen für ESXi 6.5 anzuzeigen.

                                                                                                                                                  21. April 2020

                                                                                                                                                  Aktualisiert Externe Konnektivitätsanforderungen mit neuen CI-Hosts für Amerika.

                                                                                                                                                  1. April 2020

                                                                                                                                                  Aktualisiert Externe Konnektivitätsanforderungen mit Informationen zu regionalen CI-Hosts.

                                                                                                                                                  20. Februar 2020Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts mit Informationen zum neuen optionalen Bildschirm Erweiterte Einstellungen im HDS-Setup-Tool.
                                                                                                                                                  4. Februar 2020Aktualisierte Anforderungen für Proxyserver .
                                                                                                                                                  16. Dezember 2019Die Anforderung, dass der blockierte externe DNS-Auflösungsmodus unter „ Proxyserveranforderungen“ funktioniert, wurde klargestellt .
                                                                                                                                                  19. November 2019

                                                                                                                                                  Informationen zum blockierten externen DNS-Auflösungsmodus wurden in den folgenden Abschnitten hinzugefügt:

                                                                                                                                                  8. November 2019

                                                                                                                                                  Sie können jetzt die Netzwerkeinstellungen für einen Knoten konfigurieren, während Sie die OVA bereitstellen, und nicht erst danach.

                                                                                                                                                  Die folgenden Abschnitte wurden entsprechend aktualisiert:


                                                                                                                                                   

                                                                                                                                                  Die Option zum Konfigurieren von Netzwerkeinstellungen während der OVA-Bereitstellung wurde mit ESXi 6.5 getestet. Die Option ist in früheren Versionen möglicherweise nicht verfügbar.

                                                                                                                                                  6. September 2019

                                                                                                                                                  SQL Server Standard zu Datenbankserveranforderungen .

                                                                                                                                                  29. August 2019Hinzugefügt Konfigurieren von Squid-Proxys für Hybrid Data Security Anhang mit Anleitung zum Konfigurieren von Squid-Proxys zum Ignorieren von Websocket-Datenverkehr für den ordnungsgemäßen Betrieb.
                                                                                                                                                  20. August 2019

                                                                                                                                                  Abschnitte hinzugefügt und aktualisiert, um die Proxy-Unterstützung für die Kommunikation von hybriden Datensicherheitsknoten mit der Webex-Cloud abzudecken.

                                                                                                                                                  Informationen zum Zugriff auf den Inhalt der Proxy-Unterstützung für eine vorhandene Bereitstellung finden Sie im Hilfeartikel Proxy-Unterstützung für Hybrid Data Security und Webex-Videonetz .

                                                                                                                                                  Freitag, 13. Juni 2019Aktualisiert Ablauf der Testversion zur Produktionsaufgabe mit einer Erinnerung zur Synchronisierung der HdsTrialGroup gruppieren Sie ein Objekt, bevor Sie einen Test starten, wenn Ihre Organisation die Verzeichnissynchronisierung verwendet.
                                                                                                                                                  Freitag, 6. März 2019
                                                                                                                                                  Dienstag, 28. Februar 2019
                                                                                                                                                  • Es wurde die Menge des lokalen Festplattenspeichers pro Server korrigiert, den Sie bei der Vorbereitung der virtuellen Hosts, die zu den Hybrid-Datensicherheitsknoten werden, von 50 GB auf 20 GB beiseite legen sollten, um die Größe der Festplatte widerzuspiegeln, die die OVA erstellt.

                                                                                                                                                  26. Februar 2019

                                                                                                                                                  24. Januar 2019

                                                                                                                                                  • Hybrid Data Security unterstützt jetzt Microsoft SQL Server als Datenbank. SQL Server Always On (Always On Failover-Cluster und Always on Availability-Gruppen) wird von den JDBC-Treibern unterstützt, die in der Hybrid-Datensicherheit verwendet werden. Inhalt zur Bereitstellung mit SQL Server hinzugefügt.


                                                                                                                                                     

                                                                                                                                                    Die Unterstützung von Microsoft SQL Server ist nur für neue Bereitstellungen von Hybrid-Datensicherheit vorgesehen. Die Datenmigration von PostgreSQL zu Microsoft SQL Server in einer vorhandenen Bereitstellung wird derzeit nicht unterstützt.

                                                                                                                                                  5. November 2018
                                                                                                                                                  Dienstag, 19. Oktober 2018

                                                                                                                                                  31. Juli 2018

                                                                                                                                                  21. Mai 2018

                                                                                                                                                  Terminologie geändert, um das Rebranding von Cisco Spark widerzuspiegeln:

                                                                                                                                                  • Cisco Spark Hybrid Data Security heißt jetzt Hybrid Data Security.

                                                                                                                                                  • Die Cisco Spark-App ist jetzt die Webex-App.

                                                                                                                                                  • Die Cisco Collaboraton Cloud ist jetzt die Webex-Cloud.

                                                                                                                                                  Dienstag, 11. April 2018
                                                                                                                                                  22. Februar 2018
                                                                                                                                                  Donnerstag, 15. Februar 2018
                                                                                                                                                  • In der Tabelle X.509-Zertifikatanforderungen wurde festgelegt, dass das Zertifikat kein Wildcard-Zertifikat sein darf und dass das KMS die CN-Domäne verwendet, nicht eine Domäne, die in den x.509v3-SAN-Feldern definiert ist.

                                                                                                                                                  Donnerstag, 18. Januar 2018

                                                                                                                                                  2. November 2017

                                                                                                                                                  • Klarere Verzeichnissynchronisierung der HdsTrialGroup.

                                                                                                                                                  • Behobene Anweisungen zum Hochladen der ISO-Konfigurationsdatei zum Mounten auf die VM-Knoten.

                                                                                                                                                  Freitag, 18. August 2017

                                                                                                                                                  Erste Veröffentlichung

                                                                                                                                                  Erste Schritte mit der Hybrid-Datensicherheit

                                                                                                                                                  Übersicht über die Hybrid-Datensicherheit

                                                                                                                                                  Von Anfang an stand bei der Entwicklung der Webex App die Datensicherheit im Vordergrund. Der Grundstein dieser Sicherheit ist die durchgängige Inhaltsverschlüsselung, die durch die Interaktion von Webex App-Clients mit dem Schlüsselverwaltungsdienst (KMS) ermöglicht wird. Der KMS erstellt und verwaltet die Kryptografieschlüssel, mit denen die Clients ihre Nachrichten und Dateien dynamisch ver- und entschlüsseln.

                                                                                                                                                  Standardmäßig erhalten alle Webex-App-Kunden eine durchgängige Verschlüsselung mit dynamischen Schlüsseln, die im Cloud-KMS im Sicherheitsbereich von Cisco gespeichert sind. Mit Hybrid Data Security werden KMS und andere Sicherheitsfunktionen in das Rechenzentrum Ihres Unternehmens verschoben, damit die Schlüssel zu ihren verschlüsselten Inhalten ausschließlich bei Ihnen liegen.

                                                                                                                                                  Sicherheitsbereichsarchitektur

                                                                                                                                                  Die Webex Cloud-Architektur trennt verschiedene Servicetypen in separate Bereiche oder Vertrauensdomänen, wie unten dargestellt.

                                                                                                                                                  Bereiche der Trennung (ohne Hybrid-Datensicherheit)

                                                                                                                                                  Um die Hybrid-Datensicherheit weiter zu verstehen, werfen wir einen Blick auf diesen reinen Cloud-Fall, in dem Cisco alle Funktionen in seinen Cloud-Bereichen bereitstellt. Der Identitätsdienst, der einzige Ort, an dem Benutzer direkt mit ihren persönlichen Informationen wie E-Mail-Adresse korreliert werden können, ist logisch und physisch getrennt vom Sicherheitsbereich im Rechenzentrum B. Beide sind wiederum getrennt vom Bereich, in dem letztlich verschlüsselte Inhalte gespeichert werden, im Rechenzentrum C.

                                                                                                                                                  In diesem Diagramm ist der Client die Webex-App, die auf dem Laptop eines Benutzers ausgeführt wird und sich beim Identitätsdienst authentifiziert hat. Wenn der Benutzer eine Nachricht erstellt, die an einen Bereich gesendet werden soll, werden die folgenden Schritte ausgeführt:

                                                                                                                                                  1. Der Client stellt eine sichere Verbindung mit dem Schlüsselverwaltungsdienst (KMS) her und fordert dann einen Schlüssel zum Verschlüsseln der Nachricht an. Die sichere Verbindung verwendet ECDH, und das KMS verschlüsselt den Schlüssel mit einem AES-256-Master-Schlüssel.

                                                                                                                                                  2. Die Nachricht wird verschlüsselt, bevor sie den Client verlässt. Der Client sendet es an den Indexierungsdienst, der verschlüsselte Suchindizes erstellt, die bei der zukünftigen Suche nach den Inhalten helfen.

                                                                                                                                                  3. Die verschlüsselte Nachricht wird für Compliance-Prüfungen an den Compliance-Dienst gesendet.

                                                                                                                                                  4. Die verschlüsselte Nachricht wird im Speicherbereich gespeichert.

                                                                                                                                                  Wenn Sie Hybrid Data Security bereitstellen, verschieben Sie die Sicherheitsbereichsfunktionen (KMS, Indizierung und Compliance) in Ihr lokales Rechenzentrum. Die anderen Cloud-Dienste, aus denen Webex besteht (einschließlich Identitäts- und Inhaltsspeicher), verbleiben in den Bereichen von Cisco.

                                                                                                                                                  Zusammenarbeit mit anderen Organisationen

                                                                                                                                                  Benutzer in Ihrer Organisation verwenden möglicherweise regelmäßig die Webex-App, um mit externen Teilnehmern in anderen Organisationen zusammenzuarbeiten. Wenn einer Ihrer Benutzer einen Schlüssel für einen Bereich anfordert, der zu Ihrer Organisation gehört (da er von einem Ihrer Benutzer erstellt wurde), sendet KMS den Schlüssel über einen ECDH-sicheren Kanal an den Client. Wenn jedoch eine andere Organisation den Schlüssel für den Bereich besitzt, leitet Ihre KMS die Anforderung über einen separaten ECDH-Kanal an die Webex-Cloud weiter, um den Schlüssel von der entsprechenden KMS zu erhalten, und gibt den Schlüssel dann an Ihren Benutzer im ursprünglichen Kanal zurück.

                                                                                                                                                  Der auf Org A ausgeführte KMS-Dienst validiert die Verbindungen zu KMSs in anderen Organisationen mit x.509 PKI-Zertifikaten. Siehe Umgebung vorbereiten für Details zur Generierung eines x.509-Zertifikats für Ihre Hybrid-Datensicherheitsbereitstellung.

                                                                                                                                                  Erwartungen an die Bereitstellung der Hybrid-Datensicherheit

                                                                                                                                                  Eine Bereitstellung von Hybrid-Datensicherheit erfordert erhebliches Kundenengagement und ein Bewusstsein für die Risiken, die sich aus dem Besitz von Verschlüsselungscodes ergeben.

                                                                                                                                                  Um die Hybrid-Datensicherheit bereitzustellen, müssen Sie Folgendes bereitstellen:

                                                                                                                                                  Der vollständige Verlust der Konfigurations-ISO, die Sie für Hybrid Data Security erstellen, oder der von Ihnen bereitgestellten Datenbank führt zum Verlust der Schlüssel. Der Schlüsselverlust verhindert, dass Benutzer Bereichsinhalte und andere verschlüsselte Daten in der Webex-App entschlüsseln. In diesem Fall können Sie eine neue Bereitstellung erstellen, aber nur neue Inhalte werden angezeigt. Um den Verlust des Zugriffs auf Daten zu vermeiden, müssen Sie:

                                                                                                                                                  • Verwalten Sie die Sicherung und Wiederherstellung der Datenbank und der ISO-Konfiguration.

                                                                                                                                                  • Bereiten Sie sich auf eine schnelle Notfallwiederherstellung vor, wenn eine Katastrophe auftritt, z. B. ein Datenbankfestplattenausfall oder eine Datencenter-Katastrophe.


                                                                                                                                                   

                                                                                                                                                  Es gibt keinen Mechanismus, um Schlüssel nach einer HDS-Bereitstellung zurück in die Cloud zu verschieben.

                                                                                                                                                  Hochrangiger Einrichtungsprozess

                                                                                                                                                  Dieses Dokument behandelt die Einrichtung und Verwaltung einer Bereitstellung für Hybrid-Datensicherheit:

                                                                                                                                                  • Hybrid-Datensicherheit einrichten – Dazu gehören die Vorbereitung der erforderlichen Infrastruktur und die Installation der Hybrid-Datensicherheitssoftware, das Testen Ihrer Bereitstellung mit einer Teilmenge von Benutzern im Testmodus und die Umstellung auf die Produktion, sobald die Tests abgeschlossen sind. Dadurch wird die gesamte Organisation konvertiert, um Ihren Hybrid-Datensicherheitscluster für Sicherheitsfunktionen zu verwenden.

                                                                                                                                                    Die Einrichtungs-, Test- und Produktionsphasen werden in den nächsten drei Kapiteln ausführlich behandelt.

                                                                                                                                                  • Bereitstellen der Hybrid-Datensicherheit aufrechterhalten – Die Webex-Cloud stellt automatisch laufende Upgrades bereit. Ihre IT-Abteilung kann diese Bereitstellung mit Unterstützung der Stufe eins unterstützen und bei Bedarf den Cisco-Support einbeziehen. Sie können Benachrichtigungen auf dem Bildschirm verwenden und E-Mail-basierte Warnungen in Control Hub einrichten.

                                                                                                                                                  • Allgemeine Warnungen, Schritte zur Fehlerbehebung und bekannte Probleme – Wenn bei der Bereitstellung oder Verwendung von Hybrid Data Security Probleme auftreten, können Sie das letzte Kapitel dieses Handbuchs und der Anhang „Bekannte Probleme“ bei der Bestimmung und Behebung des Problems helfen.

                                                                                                                                                  Bereitstellungsmodell für Hybrid-Datensicherheit

                                                                                                                                                  Im Rechenzentrum Ihres Unternehmens stellen Sie die Hybrid-Datensicherheit als ein einzelnes Cluster von Knoten auf separaten virtuellen Hosts bereit. Die Knoten kommunizieren über sichere Websockets und sicheres HTTP mit der Webex-Cloud.

                                                                                                                                                  Während der Installation stellen wir Ihnen die OVA-Datei zur Verfügung, um die virtuelle Appliance auf den von Ihnen bereitgestellten VMs einzurichten. Mit dem HDS-Setup-Tool können Sie eine benutzerdefinierte ISO-Datei für die Clusterkonfiguration erstellen, die Sie auf jedem Knoten mounten. Der Hybrid-Datensicherheitscluster verwendet Ihren bereitgestellten Syslogd-Server und die PostgreSQL- oder Microsoft SQL Server-Datenbank. (Sie konfigurieren die Syslogd- und Datenbankverbindungsdetails im HDS Setup Tool.)

                                                                                                                                                  Bereitstellungsmodell für Hybrid-Datensicherheit

                                                                                                                                                  Die Mindestanzahl an Knoten, die Sie in einem Cluster haben können, beträgt zwei. Wir empfehlen mindestens drei und Sie können bis zu fünf haben. Wenn Sie mehrere Knoten haben, wird sichergestellt, dass der Dienst während eines Software-Upgrades oder einer anderen Wartungsaktivität auf einem Knoten nicht unterbrochen wird. (Die Webex-Cloud aktualisiert nur jeweils einen Knoten.)

                                                                                                                                                  Alle Knoten in einem Cluster greifen auf denselben Schlüsseldatastore zu und protokollieren die Aktivität mit demselben Syslog-Server. Die Knoten selbst sind staatenlos und bearbeiten wichtige Anfragen in Round-Robin-Manier, wie von der Cloud geleitet.

                                                                                                                                                  Knoten werden aktiv, wenn Sie sie in Control Hub registrieren. Um einen einzelnen Knoten außer Betrieb zu nehmen, können Sie die Registrierung aufheben und ihn bei Bedarf später erneut registrieren.

                                                                                                                                                  Wir unterstützen nur ein einzelnes Cluster pro Organisation.

                                                                                                                                                  Testmodus für Hybrid-Datensicherheit

                                                                                                                                                  Nachdem Sie eine Bereitstellung für Hybrid-Datensicherheit eingerichtet haben, versuchen Sie es zunächst mit einer Reihe von Pilotbenutzern. Während des Testzeitraums verwenden diese Benutzer Ihre lokale Hybrid-Datensicherheitsdomäne für Verschlüsselungscodes und andere Dienste des Sicherheitsbereichs. Ihre anderen Benutzer verwenden weiterhin den Cloud-Sicherheitsbereich.

                                                                                                                                                  Wenn Sie die Bereitstellung während des Testzeitraums nicht fortsetzen und den Dienst deaktivieren möchten, verlieren die Pilotbenutzer und alle Benutzer, mit denen sie während des Testzeitraums interagiert haben, den Zugriff auf die Nachrichten und Inhalte. Ihnen wird in der Webex-App „Diese Nachricht kann nicht entschlüsselt werden“ angezeigt.

                                                                                                                                                  Wenn Sie überzeugt sind, dass Ihre Bereitstellung für die Testbenutzer gut funktioniert und Sie bereit sind, die Hybrid-Datensicherheit auf alle Ihre Benutzer auszuweiten, verschieben Sie die Bereitstellung in die Produktion. Pilotbenutzer haben weiterhin Zugriff auf die Schlüssel, die während der Testphase verwendet wurden. Sie können jedoch nicht zwischen dem Produktionsmodus und der ursprünglichen Testversion hin- und herwechseln. Wenn Sie den Dienst deaktivieren müssen, um z. B. eine Notfallwiederherstellung durchzuführen, müssen Sie bei der erneuten Aktivierung einen neuen Test starten und die Anzahl der Pilotbenutzer für den neuen Test einrichten, bevor Sie in den Produktionsmodus zurückkehren. Ob die Benutzer zu diesem Zeitpunkt weiterhin Zugriff auf Daten haben, hängt davon ab, ob Sie Backups des Schlüsseldatenspeichers und der ISO-Konfigurationsdatei für die Hybrid-Datensicherheitsknoten in Ihrem Cluster erfolgreich durchgeführt haben.

                                                                                                                                                  Standby-Rechenzentrum für die Notfallwiederherstellung

                                                                                                                                                  Während der Bereitstellung richten Sie ein sicheres Standby-Rechenzentrum ein. Im Falle eines Rechenzentrums-Desasters können Sie Ihre Bereitstellung manuell auf das Standby-Rechenzentrum umlegen.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manuelles Failover zum Standby-Rechenzentrum

                                                                                                                                                  Die Datenbanken der aktiven und Standby-Rechenzentren sind miteinander synchronisiert, wodurch die Zeit für die Durchführung des Failovers minimiert wird. Die ISO-Datei des Standby-Rechenzentrums wird mit zusätzlichen Konfigurationen aktualisiert, die sicherstellen, dass die Knoten in der Organisation registriert sind, aber keinen Datenverkehr verarbeiten. Daher bleiben die Knoten des Standby-Rechenzentrums immer auf dem neuesten Stand mit der neuesten Version der HDS-Software.


                                                                                                                                                   

                                                                                                                                                  Die aktiven Hybrid-Datensicherheitsknoten müssen sich immer im selben Rechenzentrum wie der aktive Datenbankserver befinden.

                                                                                                                                                  Standby-Rechenzentrum für die Notfallwiederherstellung einrichten

                                                                                                                                                  Führen Sie die folgenden Schritte aus, um die ISO-Datei des Standby-Rechenzentrums zu konfigurieren:

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  • Das Standby-Rechenzentrum sollte die Produktionsumgebung von VMs und eine Backup-PostgreSQL- oder Microsoft SQL Server-Datenbank spiegeln. Wenn die Produktion beispielsweise über 3 VMs verfügt, auf denen HDS-Knoten ausgeführt werden, sollte die Backup-Umgebung über 3 VMs verfügen. (Siehe Standby Data Center for Disaster Recovery für eine Übersicht über dieses Failover-Modell.)

                                                                                                                                                  • Stellen Sie sicher, dass die Datenbanksynchronisierung zwischen der Datenbank aktiver und passiver Cluster-Knoten aktiviert ist.

                                                                                                                                                  1

                                                                                                                                                  Starten Sie das HDS-Setup-Tool und befolgen Sie die unter Erstellen einer Konfigurations-ISO für die HDS-Hosts genannten Schritte.


                                                                                                                                                   

                                                                                                                                                  Die ISO-Datei muss eine Kopie der ursprünglichen ISO-Datei des primären Rechenzentrums sein, auf das die folgenden Konfigurationsaktualisierungen vorgenommen werden sollen.

                                                                                                                                                  2

                                                                                                                                                  Klicken Sie nach der Konfiguration des Syslogd-Servers auf Erweiterte Einstellungen

                                                                                                                                                  3

                                                                                                                                                  Fügen Sie auf der Seite Erweiterte Einstellungen unten die Konfiguration hinzu, um den Knoten im passiven Modus zu platzieren. In diesem Modus wird der Knoten in der Organisation registriert und mit der Cloud verbunden, verarbeitet jedoch keinen Datenverkehr.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Schließen Sie den Konfigurationsvorgang ab und speichern Sie die ISO-Datei an einem leicht zu findenden Speicherort.

                                                                                                                                                  5

                                                                                                                                                  Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Halten Sie die Sicherungskopie sicher. Diese Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff nur auf Hybrid-Datensicherheitsadministratoren, die Konfigurationsänderungen vornehmen sollten.

                                                                                                                                                  6

                                                                                                                                                  Klicken Sie im linken Navigationsbereich des VMware vSphere-Clients mit der rechten Maustaste auf die VM und klicken Sie auf Einstellungen bearbeiten..

                                                                                                                                                  7

                                                                                                                                                  Klicken Sie auf Einstellungen bearbeiten > CD/DVD Laufwerk 1 und wählen Sie Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Stellen Sie sicher, dass „Verbunden“ und „Verbindung beim Einschalten“ aktiviert sind, damit aktualisierte Konfigurationsänderungen nach dem Starten der Knoten wirksam werden können.

                                                                                                                                                  8

                                                                                                                                                  Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 15 Minuten lang keine Alarme vorhanden sind.

                                                                                                                                                  9

                                                                                                                                                  Wiederholen Sie den Vorgang für jeden Knoten im Standby-Rechenzentrum.


                                                                                                                                                   

                                                                                                                                                  Überprüfen Sie die Syslogs, um sicherzustellen, dass sich die Knoten im passiven Modus befinden. Sie sollten in der Lage sein, die Meldung „KMS im passiven Modus konfiguriert“ in den Syslogs anzuzeigen.

                                                                                                                                                  Nächste Schritte

                                                                                                                                                  Nach der Konfiguration passiveMode in der ISO-Datei zu speichern, können Sie eine andere Kopie der ISO-Datei ohne die passiveMode konfigurieren und an einem sicheren Speicherort speichern. Diese Kopie der ISO-Datei ohne passiveMode konfiguriert kann bei einem schnellen Failover-Prozess während der Notfallwiederherstellung helfen. Siehe Notfallwiederherstellung mit Standby-Rechenzentrum für das detaillierte Failover-Verfahren.

                                                                                                                                                  Proxy-Unterstützung

                                                                                                                                                  Hybrid Data Security unterstützt explizite, transparente Inspektion und Nicht-Inspektion von Proxys. Sie können diese Proxys mit Ihrer Bereitstellung verknüpfen, sodass Sie den Datenverkehr vom Unternehmen in die Cloud absichern und überwachen können. Sie können eine Plattform-Admin-Oberfläche auf den Knoten für die Zertifikatsverwaltung und zum Überprüfen des allgemeinen Verbindungsstatus verwenden, nachdem Sie den Proxy auf den Knoten eingerichtet haben.

                                                                                                                                                  Die Hybrid-Datensicherheitsknoten unterstützen die folgenden Proxy-Optionen:

                                                                                                                                                  • Kein Proxy – Der Standard, wenn Sie nicht die HDS-Knoteneinrichtung Trust Store- und Proxy-Konfiguration verwenden, um einen Proxy zu integrieren. Es ist keine Zertifikataktualisierung erforderlich.

                                                                                                                                                  • Transparenter Proxy ohne Prüfung – Die Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert und erfordern keine Änderungen, damit sie mit einem Proxy ohne Prüfung funktionieren. Es ist keine Zertifikataktualisierung erforderlich.

                                                                                                                                                  • Transparentes Tunneln oder Prüfen des Proxy – Die Knoten sind nicht so konfiguriert, dass sie eine bestimmte Proxyserver-Adresse verwenden. Auf den Knoten sind keine HTTP- oder HTTPS-Konfigurationsänderungen erforderlich. Die Knoten benötigen jedoch ein Stammzertifikat, damit sie dem Proxy vertrauen können. In der Regel werden Proxys von der IT verwendet, um Richtlinien durchzusetzen, auf denen Websites besucht werden können und welche Arten von Inhalten nicht zulässig sind. Dieser Proxy-Typ entschlüsselt Ihren gesamten Datenverkehr (auch HTTPS).

                                                                                                                                                  • Expliziter Proxy – Mit explizitem Proxy teilen Sie den HDS-Knoten mit, welchen Proxyserver und welches Authentifizierungsschema verwendet werden soll. Um einen expliziten Proxy zu konfigurieren, müssen Sie auf jedem Knoten die folgenden Informationen eingeben:

                                                                                                                                                    1. Proxy-IP/FQDN : Adresse, die zum Erreichen der Proxymaschine verwendet werden kann.

                                                                                                                                                    2. Proxy-Port : Eine Portnummer, die der Proxy für die Überwachung des Proxyverkehrs verwendet.

                                                                                                                                                    3. Proxy-Protokoll : Je nachdem, was Ihr Proxy-Server unterstützt, wählen Sie zwischen den folgenden Protokollen:

                                                                                                                                                      • HTTP – Zeigt alle vom Client gesendeten Anfragen an und steuert sie.

                                                                                                                                                      • HTTPS: Stellt dem Server einen Kanal zur Verfügung. Der Client empfängt und validiert das Zertifikat des Servers.

                                                                                                                                                    4. Authentifizierungstyp : Wählen Sie einen der folgenden Authentifizierungstypen aus:

                                                                                                                                                      • Keine: Es ist keine weitere Authentifizierung erforderlich.

                                                                                                                                                        Verfügbar, wenn Sie HTTP oder HTTPS als Proxy-Protokoll auswählen.

                                                                                                                                                      • Basic – Wird für einen HTTP-Benutzeragenten verwendet, um bei einer Anforderung einen Benutzernamen und ein Kennwort anzugeben. Verwendet Base64-Codierung.

                                                                                                                                                        Verfügbar, wenn Sie HTTP oder HTTPS als Proxy-Protokoll auswählen.

                                                                                                                                                        Erfordert die Eingabe des Benutzernamens und des Kennworts auf den einzelnen Knoten.

                                                                                                                                                      • Ziffer : Wird verwendet, um das Konto zu bestätigen, bevor sensible Informationen gesendet werden. Wendet eine Hash-Funktion auf den Benutzernamen und das Kennwort an, bevor sie über das Netzwerk gesendet werden.

                                                                                                                                                        Nur verfügbar, wenn Sie HTTPS als Proxy-Protokoll auswählen.

                                                                                                                                                        Erfordert die Eingabe des Benutzernamens und des Kennworts auf den einzelnen Knoten.

                                                                                                                                                  Beispiel für hybride Datensicherheitsknoten und Proxy

                                                                                                                                                  Dieses Diagramm zeigt eine Beispielverbindung zwischen der Hybrid-Datensicherheit, dem Netzwerk und einem Proxy. Für die transparenten Inspektions- und HTTPS-Optionen zur expliziten Inspektion von Proxy muss dasselbe Stammzertifikat auf dem Proxy und auf den Hybrid-Datensicherheitsknoten installiert sein.

                                                                                                                                                  Blockierter externer DNS-Auflösungsmodus (Explizite Proxykonfigurationen)

                                                                                                                                                  Wenn Sie einen Knoten registrieren oder die Proxy-Konfiguration des Knotens überprüfen, testet der Prozess die DNS-Suche und die Konnektivität mit der Cisco Webex-Cloud. In Bereitstellungen mit expliziten Proxy-Konfigurationen, die keine externe DNS-Auflösung für interne Clients zulassen, wechselt der Knoten automatisch in den Modus für blockierte externe DNS-Auflösung, wenn er die DNS-Server nicht abfragen kann. In diesem Modus können die Knotenregistrierung und andere Proxy-Verbindungstests fortgesetzt werden.

                                                                                                                                                  Umgebung vorbereiten

                                                                                                                                                  Anforderungen an die Hybrid-Datensicherheit

                                                                                                                                                  Cisco Webex-Lizenzanforderungen

                                                                                                                                                  So stellen Sie die Hybrid-Datensicherheit bereit:

                                                                                                                                                  Docker Desktop-Anforderungen

                                                                                                                                                  Bevor Sie Ihre HDS-Knoten installieren, benötigen Sie Docker Desktop, um ein Setup-Programm auszuführen. Docker hat kürzlich sein Lizenzierungsmodell aktualisiert. Ihre Organisation benötigt möglicherweise ein kostenpflichtiges Abonnement für Docker Desktop. Weitere Informationen finden Sie im Docker-Blog „ Docker aktualisiert und erweitert unsere Produktabonnements ".

                                                                                                                                                  X.509-Zertifikatanforderungen

                                                                                                                                                  Die Zertifikatskette muss die folgenden Anforderungen erfüllen:

                                                                                                                                                  Tabelle 1: X.509-Zertifikatanforderungen für die Bereitstellung der Hybrid-Datensicherheit

                                                                                                                                                  Anforderung

                                                                                                                                                  Details

                                                                                                                                                  • Signiert von einer vertrauenswürdigen Zertifizierungsstelle (CA)

                                                                                                                                                  Standardmäßig vertrauen wir den CAs in der Mozilla-Liste (mit Ausnahme von WoSign und StartCom) auf https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Gibt einen Domänennamen mit allgemeinem Namen (Common Name, CN) an, der Ihre Bereitstellung für die Hybrid-Datensicherheit identifiziert

                                                                                                                                                  • Ist kein Wildcard-Zertifikat

                                                                                                                                                  Der CN muss nicht erreichbar sein oder ein Live-Host sein. Wir empfehlen Ihnen beispielsweise, einen Namen zu verwenden, der Ihre Organisation widerspiegelt. hds.company.com.

                                                                                                                                                  Der CN darf kein * (Platzhalter) enthalten.

                                                                                                                                                  Der CN wird verwendet, um die Hybrid-Datensicherheitsknoten für Webex-App-Clients zu verifizieren. Alle Hybrid-Datensicherheitsknoten in Ihrem Cluster verwenden dasselbe Zertifikat. Ihr KMS identifiziert sich mit der CN-Domäne, nicht mit einer Domäne, die in den SAN-Feldern x.509v3 definiert ist.

                                                                                                                                                  Sobald Sie einen Knoten mit diesem Zertifikat registriert haben, wird das Ändern des CN-Domänennamens nicht unterstützt. Wählen Sie eine Domäne aus, die sowohl für Test- als auch für Produktionsbereitstellungen gelten kann.

                                                                                                                                                  • Nicht-SHA1-Signatur

                                                                                                                                                  Die KMS-Software unterstützt keine SHA1-Signaturen für die Überprüfung von Verbindungen zu KMSs anderer Organisationen.

                                                                                                                                                  • Als passwortgeschützte PKCS #12-Datei formatiert

                                                                                                                                                  • Verwenden Sie den freundlichen Namen von kms-private-key um das Zertifikat, den privaten Schlüssel und alle Zwischenzertifikate zum Hochladen zu markieren.

                                                                                                                                                  Sie können einen Konverter wie OpenSSL verwenden, um das Format Ihres Zertifikats zu ändern.

                                                                                                                                                  Sie müssen das Kennwort eingeben, wenn Sie das HDS-Setup-Tool ausführen.

                                                                                                                                                  Die KMS-Software erzwingt keine Schlüsselnutzung oder erweiterte Schlüsselnutzungsbeschränkungen. Einige Zertifizierungsstellen verlangen, dass für jedes Zertifikat erweiterte Nutzungsbeschränkungen gelten, z. B. Serverauthentifizierung. Es ist in Ordnung, die Server-Authentifizierung oder andere Einstellungen zu verwenden.

                                                                                                                                                  Anforderungen an virtuelle Gastgeber

                                                                                                                                                  Die virtuellen Hosts, die Sie als Hybrid-Datensicherheitsknoten in Ihrem Cluster einrichten, haben die folgenden Anforderungen:

                                                                                                                                                  • Mindestens zwei separate Hosts (3 empfohlen) in demselben sicheren Rechenzentrum

                                                                                                                                                  • VMware ESXi 6.5 (oder höher) installiert und ausgeführt.


                                                                                                                                                     

                                                                                                                                                    Sie müssen ein Upgrade durchführen, wenn Sie über eine frühere ESXi-Version verfügen.

                                                                                                                                                  • Mindestens 4 vCPUs, 8 GB Hauptspeicher, 30 GB lokaler Festplattenspeicher pro Server

                                                                                                                                                  Anforderungen des Datenbankservers


                                                                                                                                                   

                                                                                                                                                  Erstellen Sie eine neue Datenbank für den Schlüsselspeicher. Verwenden Sie nicht die Standarddatenbank. Wenn die HDS-Anwendungen installiert sind, erstellen Sie das Datenbankschema.

                                                                                                                                                  Es gibt zwei Optionen für den Datenbankserver. Die Anforderungen für die einzelnen sind wie folgt:

                                                                                                                                                  Tabelle 2: Anforderungen des Datenbankservers nach Art der Datenbank

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL-Server

                                                                                                                                                  • PostgreSQL 14, 15 oder 16, installiert und ausgeführt.

                                                                                                                                                  • SQL Server 2016, 2017 oder 2019 (Enterprise oder Standard) installiert.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 erfordert Service Pack 2 und kumulatives Update 2 oder höher.

                                                                                                                                                  Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichender Festplattenspeicher und Überwachung, um sicherzustellen, dass er nicht überschritten wird (2 TB empfohlen, wenn Sie die Datenbank für längere Zeit ausführen möchten, ohne den Speicher erhöhen zu müssen)

                                                                                                                                                  Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichender Festplattenspeicher und Überwachung, um sicherzustellen, dass er nicht überschritten wird (2 TB empfohlen, wenn Sie die Datenbank für längere Zeit ausführen möchten, ohne den Speicher erhöhen zu müssen)

                                                                                                                                                  Die HDS-Software installiert derzeit folgende Treiberversionen für die Kommunikation mit dem Datenbankserver:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL-Server

                                                                                                                                                  Postgres JDBC-Treiber 42.2.5

                                                                                                                                                  SQL Server JDBC-Treiber 4.6

                                                                                                                                                  Diese Treiberversion unterstützt SQL Server Always On ( Always On Failover Cluster Instances und Always On Availability Groups ).

                                                                                                                                                  Zusätzliche Anforderungen für die Windows-Authentifizierung gegen Microsoft SQL Server

                                                                                                                                                  Wenn Sie möchten, dass HDS-Knoten die Windows-Authentifizierung verwenden, um Zugriff auf Ihre Keystore-Datenbank auf Microsoft SQL Server zu erhalten, benötigen Sie die folgende Konfiguration in Ihrer Umgebung:

                                                                                                                                                  • Die HDS-Knoten, die Active Directory-Infrastruktur und der MS SQL Server müssen mit NTP synchronisiert werden.

                                                                                                                                                  • Das Windows-Konto, das Sie HDS-Knoten zur Verfügung stellen, muss Lese-/Schreibzugriff auf die Datenbank haben.

                                                                                                                                                  • Die DNS-Server, die Sie den HDS-Knoten bereitstellen, müssen Ihr Key Distribution Center (KDC) auflösen können.

                                                                                                                                                  • Sie können die HDS-Datenbankinstanz auf Ihrem Microsoft SQL Server als Service Principal Name (SPN) in Ihrem Active Directory registrieren. Siehe Einen Service Principal Name für Kerberos Connections registrieren .

                                                                                                                                                    Das HDS-Setup-Tool, der HDS-Launcher und lokale KMS müssen alle die Windows-Authentifizierung verwenden, um auf die Keystore-Datenbank zuzugreifen. Sie verwenden die Details aus Ihrer ISO-Konfiguration, um den SPN zu konstruieren, wenn sie den Zugriff mit Kerberos-Authentifizierung anfordern.

                                                                                                                                                  Anforderungen an externe Konnektivität

                                                                                                                                                  Konfigurieren Sie Ihre Firewall so, dass die folgende Konnektivität für die HDS-Anwendungen zulässig ist:

                                                                                                                                                  Anwendung

                                                                                                                                                  Protokoll

                                                                                                                                                  Port

                                                                                                                                                  Richtung aus der App

                                                                                                                                                  Ziel

                                                                                                                                                  Hybrid-Datensicherheitsknoten

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Ausgehende HTTPS und WSS

                                                                                                                                                  HDS-Setup-Tool

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Ausgehende HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alle Common Identity-Gastgeber

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Die Hybrid-Datensicherheitsknoten funktionieren mit NAT (Network Access Translation) oder hinter einer Firewall, sofern die NAT oder Firewall die erforderlichen ausgehenden Verbindungen zu den Domänenzielen in der vorangehenden Tabelle zulässt. Bei eingehenden Verbindungen zu den Hybrid-Datensicherheitsknoten sollten keine Ports aus dem Internet sichtbar sein. Innerhalb Ihres Rechenzentrums benötigen Clients für administrative Zwecke Zugriff auf die Hybrid-Datensicherheitsknoten an den TCP-Ports 443 und 22.

                                                                                                                                                  Die URLs für die Common Identity (CI)-Hosts sind regionsspezifisch. Dies sind die aktuellen CI-Hosts:

                                                                                                                                                  Region

                                                                                                                                                  Gastgeber-URLs der gemeinsamen Benutzeridentität

                                                                                                                                                  Nord- und Südamerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Europäische Union

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Proxyserver-Anforderungen

                                                                                                                                                  • Wir unterstützen offiziell die folgenden Proxy-Lösungen, die in Ihre hybriden Datensicherheitsknoten integriert werden können.

                                                                                                                                                    • Transparenter Proxy: Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Expliziter Proxy: Squid.


                                                                                                                                                       

                                                                                                                                                      Squid-Proxys, die HTTPS-Datenverkehr prüfen, können die Einrichtung von Websocket beeinträchtigen (wss:) Verbindungen. Informationen zur Behebung dieses Problems finden Sie unter Konfigurieren von Squid-Proxys für Hybrid Data Security .

                                                                                                                                                  • Wir unterstützen die folgenden Authentifizierungstyp-Kombinationen für explizite Proxys:

                                                                                                                                                    • Keine Authentifizierung mit HTTP oder HTTPS

                                                                                                                                                    • Basisauthentifizierung mit HTTP oder HTTPS

                                                                                                                                                    • Digest-Authentifizierung nur mit HTTPS

                                                                                                                                                  • Für einen transparenten Prüfproxy oder einen expliziten HTTPS-Proxy müssen Sie über eine Kopie des Stammzertifikats des Proxys verfügen. In den Bereitstellungsanweisungen in diesem Handbuch erfahren Sie, wie Sie die Kopie in die Vertrauensspeicher der Hybrid-Datensicherheitsknoten hochladen.

                                                                                                                                                  • Das Netzwerk, das die HDS-Knoten hostet, muss so konfiguriert werden, dass ausgehender TCP-Datenverkehr auf Port 443 zur Weiterleitung durch den Proxy erzwungen wird.

                                                                                                                                                  • Proxys, die den Web-Datenverkehr überprüfen, können Web-Socket-Verbindungen stören. Wenn dieses Problem auftritt, den Datenverkehr umgehen (nicht kontrollieren) zu wbx2.com und ciscospark.com wird das Problem lösen.

                                                                                                                                                  Vervollständigen der Voraussetzungen für die Hybrid-Datensicherheit

                                                                                                                                                  Verwenden Sie diese Checkliste, um sicherzustellen, dass Sie bereit für die Installation und Konfiguration Ihres Hybrid-Datensicherheitsclusters sind.
                                                                                                                                                  1

                                                                                                                                                  Stellen Sie sicher, dass Ihre Webex-Organisation für Pro Pack für Cisco Webex Control Hub aktiviert ist, und erhalten Sie die Anmeldeinformationen eines Kontos mit vollständigen Administratorrechten für die Organisation. Wenden Sie sich an Ihren Cisco-Partner oder Account Manager, um Hilfe bei diesem Vorgang zu erhalten.

                                                                                                                                                  2

                                                                                                                                                  Wählen Sie einen Domänennamen für Ihre HDS-Bereitstellung (z. B. hds.company.com) und erhalten Sie eine Zertifikatskette mit einem X.509-Zertifikat, einem privaten Schlüssel und Zwischenzertifikaten. Die Zertifikatskette muss die Anforderungen in X.509 Zertifikatanforderungen erfüllen.

                                                                                                                                                  3

                                                                                                                                                  Bereiten Sie identische virtuelle Hosts vor, die Sie als Hybrid-Datensicherheitsknoten in Ihrem Cluster einrichten. Sie benötigen mindestens zwei separate Hosts (3 empfohlen) in demselben sicheren Rechenzentrum, die die Anforderungen unter „Anforderungen an virtuelle Hosts“ erfüllen.

                                                                                                                                                  4

                                                                                                                                                  Bereiten Sie den Datenbankserver vor, der als Schlüsseldatenspeicher für den Cluster fungieren wird, gemäß den Anforderungen des Datenbankservers . Der Datenbankserver muss im sicheren Rechenzentrum mit den virtuellen Hosts verbunden sein.

                                                                                                                                                  1. Erstellen Sie eine Datenbank für die Schlüsselspeicherung. (Sie müssen diese Datenbank erstellen. Verwenden Sie nicht die Standarddatenbank. Wenn die HDS-Anwendungen installiert sind, erstellen Sie das Datenbankschema.)

                                                                                                                                                  2. Erfassen Sie die Details, die die Knoten für die Kommunikation mit dem Datenbankserver verwenden:

                                                                                                                                                    • Hostname oder IP-Adresse (Host) und Port

                                                                                                                                                    • der Name der Datenbank (dbname) für die Schlüsselspeicherung

                                                                                                                                                    • Benutzername und Kennwort eines Benutzers mit allen Berechtigungen in der Schlüsselspeicherdatenbank

                                                                                                                                                  5

                                                                                                                                                  Richten Sie für eine schnelle Notfallwiederherstellung eine Sicherungsumgebung in einem anderen Rechenzentrum ein. Die Backup-Umgebung spiegelt die Produktionsumgebung von VMs und einem Backup-Datenbankserver wider. Wenn die Produktion beispielsweise über 3 VMs verfügt, auf denen HDS-Knoten ausgeführt werden, sollte die Sicherungsumgebung über 3 VMs verfügen.

                                                                                                                                                  6

                                                                                                                                                  Richten Sie einen Syslog-Host ein, um Protokolle von den Knoten im Cluster zu erfassen. Erfassen Sie die Netzwerkadresse und den Syslog-Port (standardmäßig UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Erstellen Sie eine sichere Sicherungsrichtlinie für die Hybrid-Datensicherheitsknoten, den Datenbankserver und den Syslog-Host. Um nicht wiederherstellbaren Datenverlust zu vermeiden, müssen Sie mindestens die Datenbank und die KonfigurationsISO-Datei sichern, die für die Hybrid-Datensicherheitsknoten generiert wurde.


                                                                                                                                                   

                                                                                                                                                  Da die Hybrid-Datensicherheitsknoten die für die Ver- und Entschlüsselung von Inhalten verwendeten Schlüssel speichern, führt das Versagen einer betrieblichen Bereitstellung zu einem NICHT WIEDERHERSTELLBAREN VERLUST dieses Inhalts.

                                                                                                                                                  Webex-App-Clients speichern ihre Schlüssel im Cache, sodass ein Ausfall nicht sofort erkennbar ist, sich aber im Laufe der Zeit bemerkbar macht. Während vorübergehende Ausfälle nicht zu verhindern sind, sind sie wiedergutzumachen. Der vollständige Verlust (keine Backups verfügbar) der Datenbank oder der ISO-Konfigurationsdatei führt jedoch zu nicht wiederherstellbaren Kundendaten. Von den Betreibern der Hybrid-Datensicherheitsknoten wird erwartet, dass sie häufige Backups der Datenbank und der ISO-Konfigurationsdatei führen und bereit sind, das Hybrid-Datensicherheitsrechenzentrum bei einem katastrophalen Ausfall neu zu erstellen.

                                                                                                                                                  8

                                                                                                                                                  Stellen Sie sicher, dass Ihre Firewall-Konfiguration Verbindungen für Ihre Hybrid-Datensicherheitsknoten zulässt, wie unter „Externe Verbindungsanforderungen“ beschrieben.

                                                                                                                                                  9

                                                                                                                                                  Installieren Sie Docker ( https://www.docker.com) auf jedem lokalen Computer mit einem unterstützten Betriebssystem (Microsoft Windows 10 Professional oder Enterprise 64-Bit oder Mac OSX Yosemite 10.10.3 oder höher) mit einem Webbrowser, der auf ihn zugreifen kann unter http://127.0.0.1:8080.

                                                                                                                                                  Sie verwenden die Docker-Instanz, um das HDS-Setup-Tool herunterzuladen und auszuführen, das die lokalen Konfigurationsinformationen für alle Hybrid-Datensicherheitsknoten erstellt. Möglicherweise benötigt Ihre Organisation eine Docker Desktop-Lizenz. Weitere Informationen finden Sie unter Docker Desktop-Anforderungen .

                                                                                                                                                  Um das HDS Setup Tool zu installieren und auszuführen, muss die lokale Maschine über die unter „Externe Verbindungsanforderungen“ beschriebene Konnektivität verfügen.

                                                                                                                                                  10

                                                                                                                                                  Wenn Sie einen Proxy in Hybrid Data Security integrieren, stellen Sie sicher, dass er die Proxyserveranforderungen erfüllt.

                                                                                                                                                  11

                                                                                                                                                  Wenn Ihre Organisation die Verzeichnissynchronisierung verwendet, erstellen Sie eine Gruppe im Active Directory mit dem Namen HdsTrialGroup, und Pilotbenutzer hinzufügen. Die Testgruppe kann bis zu 250 Benutzer haben. Die Datei HdsTrialGroup muss mit der Cloud synchronisiert werden, bevor Sie eine Testversion für Ihre Organisation starten können. Um ein Gruppenobjekt zu synchronisieren, wählen Sie es im Konfiguration > Objektauswahl Menü. (Detaillierte Anweisungen finden Sie im Bereitstellungshandbuch für Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Schlüssel für einen bestimmten Bereich werden vom Ersteller des Bereichs festgelegt. Beachten Sie bei der Auswahl von Pilotbenutzern, dass alle Benutzer den Zugriff auf Inhalte in den Bereichen verlieren, die von den Pilotbenutzern erstellt wurden, wenn Sie die Hybrid-Datensicherheitsbereitstellung dauerhaft deaktivieren. Der Verlust wird sichtbar, sobald die Apps der Benutzer ihre zwischengespeicherten Kopien der Inhalte aktualisieren.

                                                                                                                                                  Einrichten eines Hybrid-Datensicherheitsclusters

                                                                                                                                                  Ablauf der Bereitstellungsaufgabe für Hybrid-Datensicherheit

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  Umgebung vorbereiten

                                                                                                                                                  1

                                                                                                                                                  Installationsdateien herunterladen

                                                                                                                                                  Laden Sie die OVA-Datei für eine spätere Verwendung auf Ihren lokalen Computer herunter.

                                                                                                                                                  2

                                                                                                                                                  Erstellen einer Konfigurations-ISO für die HDS-Hosts

                                                                                                                                                  Verwenden Sie das HDS-Setup-Tool, um eine ISO-Konfigurationsdatei für die Hybrid-Datensicherheitsknoten zu erstellen.

                                                                                                                                                  3

                                                                                                                                                  Installieren der HDS-Host-OVA

                                                                                                                                                  Erstellen Sie eine virtuelle Maschine aus der OVA-Datei und führen Sie die Erstkonfiguration durch, z. B. Netzwerkeinstellungen.


                                                                                                                                                   

                                                                                                                                                  Die Option zum Konfigurieren von Netzwerkeinstellungen während der OVA-Bereitstellung wurde mit ESXi 6.5 getestet. Die Option ist in früheren Versionen möglicherweise nicht verfügbar.

                                                                                                                                                  4

                                                                                                                                                  Einrichten der Hybrid-DatensicherheitsVM

                                                                                                                                                  Melden Sie sich bei der VM-Konsole an und legen Sie die Anmeldeinformationen fest. Konfigurieren Sie die Netzwerkeinstellungen für den Knoten, wenn Sie sie zum Zeitpunkt der OVA-Bereitstellung nicht konfiguriert haben.

                                                                                                                                                  5

                                                                                                                                                  Hochladen und Einhängen der HDS-KonfigurationsISO

                                                                                                                                                  Konfigurieren Sie die VM über die ISO-Konfigurationsdatei, die Sie mit dem HDS Setup Tool erstellt haben.

                                                                                                                                                  6

                                                                                                                                                  Konfigurieren des HDS-Knotens für die Proxyintegration

                                                                                                                                                  Wenn die Netzwerkumgebung eine Proxy-Konfiguration erfordert, geben Sie den Proxy-Typ an, den Sie für den Knoten verwenden möchten, und fügen Sie das Proxy-Zertifikat bei Bedarf dem Vertrauensspeicher hinzu.

                                                                                                                                                  7

                                                                                                                                                  Registrieren des ersten Knotens im Cluster

                                                                                                                                                  Registrieren Sie die VM mit der Cisco Webex-Cloud als Hybrid-Datensicherheitsknoten.

                                                                                                                                                  8

                                                                                                                                                  Weitere Knoten erstellen und registrieren

                                                                                                                                                  Schließen Sie die Cluster-Einrichtung ab.

                                                                                                                                                  9

                                                                                                                                                  Ausführen einer Testversion und Verschieben in Produktion (nächstes Kapitel)

                                                                                                                                                  Bis Sie einen Test starten, erzeugen Ihre Knoten einen Alarm, der angibt, dass Ihr Dienst noch nicht aktiviert ist.

                                                                                                                                                  Installationsdateien herunterladen

                                                                                                                                                  Bei dieser Aufgabe laden Sie eine OVA-Datei auf Ihren Computer herunter (nicht auf die Server, die Sie als Hybrid-Datensicherheitsknoten einrichten). Sie verwenden diese Datei später im Installationsprozess.
                                                                                                                                                  1

                                                                                                                                                  Melden Sie sich bei https://admin.webex.com an und klicken Sie dann auf Services .

                                                                                                                                                  2

                                                                                                                                                  Suchen Sie im Abschnitt Hybrid-Dienste nach der Hybrid-Datensicherheitskarte und klicken Sie auf Einrichten .

                                                                                                                                                  Wenn die Karte deaktiviert ist oder Sie sie nicht sehen, wenden Sie sich an Ihr Kontoteam oder Ihre Partnerorganisation. Geben Sie ihnen Ihre Kontonummer und bitten Sie sie, Ihre Organisation für Hybrid-Datensicherheit zu aktivieren. Um die Kontonummer zu finden, klicken Sie oben rechts neben dem Namen Ihrer Organisation auf das Zahnrad.


                                                                                                                                                   

                                                                                                                                                  Sie können die OVA auch jederzeit über den Abschnitt Hilfe auf der Seite Einstellungen herunterladen. Klicken Sie auf der Hybrid-Datensicherheitskarte auf Einstellungen bearbeiten , um die Seite zu öffnen. Klicken Sie dann auf Download Hybrid Data Security software im Abschnitt Hilfe .


                                                                                                                                                   

                                                                                                                                                  Ältere Versionen des Softwarepakets (OVA) sind nicht mit den neuesten Upgrades für die Hybrid-Datensicherheit kompatibel. Dies kann zu Problemen während des Upgrades der Anwendung führen. Stellen Sie sicher, dass Sie die neueste Version der OVA-Datei herunterladen.

                                                                                                                                                  3

                                                                                                                                                  Wählen Sie No aus, um anzugeben, dass Sie den Knoten noch nicht eingerichtet haben, und klicken Sie dann auf Next .

                                                                                                                                                  Die OVA-Datei wird automatisch heruntergeladen. Speichern Sie die Datei an einem Speicherort auf Ihrem Computer.
                                                                                                                                                  4

                                                                                                                                                  Klicken Sie optional auf Bereitstellungsleitfaden öffnen , um zu überprüfen, ob eine neuere Version dieses Leitfadens verfügbar ist.

                                                                                                                                                  Erstellen einer Konfigurations-ISO für die HDS-Hosts

                                                                                                                                                  Der Einrichtungsprozess für die Hybrid-Datensicherheit erstellt eine ISO-Datei. Anschließend verwenden Sie ISO, um Ihren Hybrid-Datensicherheitshost zu konfigurieren.

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  • Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zuzugreifen, führen Sie Docker auf diesem Computer aus. Für die Einrichtung sind die Anmeldeinformationen eines Control Hub-Kontos mit vollständigen Administratorrechten für Ihre Organisation erforderlich.

                                                                                                                                                    Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxyeinstellungen (Server, Port, Anmeldeinformationen) über Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in Schritt 5 öffnen. In dieser Tabelle sind einige mögliche Umgebungsvariablen aufgeführt:

                                                                                                                                                    Beschreibung

                                                                                                                                                    Variable

                                                                                                                                                    HTTP-Proxy ohne Authentifizierung

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-Proxy ohne Authentifizierung

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-Proxy mit Authentifizierung

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-Proxy mit Authentifizierung

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Die von Ihnen generierte ISO-Konfigurationsdatei enthält den Master-Schlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die neueste Kopie dieser Datei, wenn Sie Konfigurationsänderungen vornehmen, z. B.:

                                                                                                                                                    • Datenbankanmeldeinformationen

                                                                                                                                                    • Zertifikatsaktualisierungen

                                                                                                                                                    • Änderungen an Autorisierungsrichtlinie

                                                                                                                                                  • Wenn Sie Datenbankverbindungen verschlüsseln möchten, richten Sie Ihre PostgreSQL- oder SQL Server-Bereitstellung für TLS ein.

                                                                                                                                                  1

                                                                                                                                                  Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

                                                                                                                                                  In normalen Umgebungen:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  In FedRAMP-Umgebungen:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Dieser Schritt bereinigt vorherige HDS-Setup-Tool-Images. Wenn keine vorherigen Bilder vorhanden sind, wird ein Fehler zurückgegeben, den Sie ignorieren können.

                                                                                                                                                  2

                                                                                                                                                  Geben Sie Folgendes ein, um sich bei der Docker-Image-Registrierung anzumelden:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Geben Sie bei der Passworteingabe diesen Hashwert ein:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Laden Sie das neueste stabile Image für Ihre Umgebung herunter:

                                                                                                                                                  In normalen Umgebungen:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  In FedRAMP-Umgebungen:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Geben Sie nach Abschluss des Pull-Vorgangs den entsprechenden Befehl für Ihre Umgebung ein:

                                                                                                                                                  • In regulären Umgebungen ohne Proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • In regulären Umgebungen mit einem HTTP-Proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In regulären Umgebungen mit einem HTTPS-Proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In FedRAMP-Umgebungen ohne Proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Wenn der Container ausgeführt wird, wird „Express-Server überwacht Port 8080“ angezeigt.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Das Setup-Tool unterstützt nicht die Verbindung mit localhost über http://localhost:8080 . Verwenden Sie http://127.0.0.1:8080 , um eine Verbindung zum Localhost herzustellen.

                                                                                                                                                  Navigieren Sie über einen Webbrowser zum Localhost, http://127.0.0.1:8080 und geben Sie den Benutzernamen des Kundenadministrators für Control Hub an der Eingabeaufforderung ein.

                                                                                                                                                  Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto festzulegen. Das Tool zeigt dann die Standardanmeldeaufforderung an.

                                                                                                                                                  7

                                                                                                                                                  Wenn Sie dazu aufgefordert werden, geben Sie die Anmeldeinformationen für den Control Hub-Kundenadministrator ein und klicken Sie dann auf Anmelden , um den Zugriff auf die für die Hybrid-Datensicherheit erforderlichen Dienste zu ermöglichen.

                                                                                                                                                  8

                                                                                                                                                  Klicken Sie auf der Setup-Tool-Übersichtsseite auf Erste Schritte .

                                                                                                                                                  9

                                                                                                                                                  Auf der Seite ISO Import stehen Ihnen folgende Optionen zur Verfügung:

                                                                                                                                                  • Nein – Wenn Sie Ihren ersten HDS-Knoten erstellen, müssen Sie keine ISO-Datei hochladen.
                                                                                                                                                  • Ja – Wenn Sie bereits HDS-Knoten erstellt haben, wählen Sie Ihre ISO-Datei im Durchsuchen aus und laden Sie sie hoch.
                                                                                                                                                  10

                                                                                                                                                  Überprüfen Sie, ob Ihr X.509-Zertifikat die Anforderungen unter X.509-Zertifikatanforderungen erfüllt.

                                                                                                                                                  • Wenn Sie noch nie ein Zertifikat hochgeladen haben, laden Sie das X.509-Zertifikat hoch, geben Sie das Passwort ein und klicken Sie auf Weiter .
                                                                                                                                                  • Wenn Ihr Zertifikat in Ordnung ist, klicken Sie auf Weiter .
                                                                                                                                                  • Wenn Ihr Zertifikat abgelaufen ist oder Sie es ersetzen möchten, wählen Sie No für Continue using HDS certificate chain and private key from previous ISO?. Laden Sie ein neues X.509-Zertifikat hoch, geben Sie das Kennwort ein und klicken Sie auf „Weiter“ .
                                                                                                                                                  11

                                                                                                                                                  Geben Sie die Datenbankadresse und das Konto für HDS ein, um auf Ihren wichtigen Datenspeicher zuzugreifen:

                                                                                                                                                  1. Wählen Sie den Datenbanktyp ( PostgreSQL oder Microsoft SQL Server ) aus.

                                                                                                                                                    Wenn Sie „Microsoft SQL Server“ auswählen, wird das Feld „Authentifizierungstyp“ angezeigt.

                                                                                                                                                  2. ( nur Microsoft SQL Server ) Wählen Sie Ihren Authentifizierungstyp :

                                                                                                                                                    • Standardauthentifizierung : Sie benötigen einen lokalen SQL Server-Kontonamen im Feld Benutzername .

                                                                                                                                                    • Windows-Authentifizierung : Sie benötigen ein Windows-Konto im Format username@DOMAIN im Feld Benutzername ein.

                                                                                                                                                  3. Geben Sie die Adresse des Datenbankservers in das Formular ein <hostname>:<port> oder <IP-address>:<port>.

                                                                                                                                                    Beispiel:
                                                                                                                                                    dbhost.example.org:1433 oder 198.51.100.17:1433

                                                                                                                                                    Sie können eine IP-Adresse für die Basisauthentifizierung verwenden, wenn die Knoten keinen DNS verwenden können, um den Host-Namen aufzulösen.

                                                                                                                                                    Wenn Sie die Windows-Authentifizierung verwenden, müssen Sie einen vollständig qualifizierten Domänennamen im folgenden Format eingeben: dbhost.example.org:1433

                                                                                                                                                  4. Geben Sie den Datenbanknamen ein.

                                                                                                                                                  5. Geben Sie den Benutzernamen und das Kennwort eines Benutzers mit allen Berechtigungen in der Schlüsselspeicherdatenbank ein.

                                                                                                                                                  12

                                                                                                                                                  Wählen Sie einen TLS-Datenbankverbindungsmodus :

                                                                                                                                                  Modus

                                                                                                                                                  Beschreibung

                                                                                                                                                  TLS bevorzugen (Standardoption)

                                                                                                                                                  HDS-Knoten benötigen kein TLS , um eine Verbindung mit dem Datenbankserver. Wenn Sie TLS auf dem Datenbankserver aktivieren, versuchen die Knoten, eine verschlüsselte Verbindung herzustellen.

                                                                                                                                                  TLS erforderlich

                                                                                                                                                  HDS-Knoten stellen nur dann eine Verbindung her, wenn der Datenbankserver TLS aushandeln kann.

                                                                                                                                                  TLS fordern und Zertifikatsignierer überprüfen


                                                                                                                                                   

                                                                                                                                                  Dieser Modus gilt nicht für SQL Server-Datenbanken.

                                                                                                                                                  • HDS-Knoten stellen nur dann eine Verbindung her, wenn der Datenbankserver TLS aushandeln kann.

                                                                                                                                                  • Nach dem Herstellen einer TLS-Verbindung vergleicht der Knoten den Unterzeichner des Zertifikats vom Datenbankserver mit der Zertifizierungsstelle im Datenbankstammzertifikat . Wenn sie nicht übereinstimmen, trennt der Knoten die Verbindung.

                                                                                                                                                  Verwenden Sie den Datenbank Stammzertifikat unter der Dropdown-Liste, um das Stammzertifikat für diese Option hochzuladen.

                                                                                                                                                  TLS anfordern und Zertifikatsignierer und Host-Name überprüfen

                                                                                                                                                  • HDS-Knoten stellen nur dann eine Verbindung her, wenn der Datenbankserver TLS aushandeln kann.

                                                                                                                                                  • Nach dem Herstellen einer TLS-Verbindung vergleicht der Knoten den Unterzeichner des Zertifikats vom Datenbankserver mit der Zertifizierungsstelle im Datenbankstammzertifikat . Wenn sie nicht übereinstimmen, trennt der Knoten die Verbindung.

                                                                                                                                                  • Die Knoten stellen außerdem sicher, dass der Hostname im Serverzertifikat mit dem Hostnamen im Feld Datenbankhost und Port übereinstimmt. Die Namen müssen genau übereinstimmen oder der Knoten trennt die Verbindung.

                                                                                                                                                  Verwenden Sie den Datenbank Stammzertifikat unter der Dropdown-Liste, um das Stammzertifikat für diese Option hochzuladen.

                                                                                                                                                  Wenn Sie das Stammzertifikat hochladen (falls erforderlich) und auf Weiter klicken, testet das HDS-Setup-Tool die TLS-Verbindung zum Datenbankserver. Das Tool überprüft auch den Unterzeichner des Zertifikats und den Host-Name, falls zutreffend. Wenn ein Test fehlschlägt, zeigt das Tool eine Fehlermeldung an, in der das Problem beschrieben wird. Sie können auswählen, ob Sie den Fehler ignorieren und mit der Einrichtung fortfahren möchten. (Aufgrund von Konnektivitätsunterschieden können die HDS-Knoten möglicherweise die TLS-Verbindung herstellen, auch wenn die HDS Setup Tool-Maschine sie nicht erfolgreich testen kann.)

                                                                                                                                                  13

                                                                                                                                                  Konfigurieren Sie auf der Seite "Systemprotokolle" Ihren Syslogd-Server:

                                                                                                                                                  1. Geben Sie die Syslog-Server-URL ein.

                                                                                                                                                    Wenn der Server nicht DNS-auflösbar von den Knoten für Ihren HDS-Cluster ist, verwenden Sie eine IP-Adresse in der URL.

                                                                                                                                                    Beispiel:
                                                                                                                                                    udp://10.92.43.23:514 zeigt die Protokollierung an Syslogd-Host 10.92.43.23 auf UDP-Port 514 an.
                                                                                                                                                  2. Wenn Sie Ihren Server für die Verwendung der TLS-Verschlüsselung konfigurieren, aktivieren Sie die Option Ist Ihr Syslog-Server für die SSL-Verschlüsselung konfiguriert?.

                                                                                                                                                    Wenn Sie dieses Kontrollkästchen aktivieren, stellen Sie sicher, dass Sie eine TCP-URL eingeben, z. B. tcp://10.92.43.23:514.

                                                                                                                                                  3. Wählen Sie in der Dropdown-Liste Syslog-Datensatzbeendigung auswählen die entsprechende Einstellung für Ihre ISO-Datei aus: Wählen oder Neuleitung wird für Graylog- und Rsyslog-TCP verwendet

                                                                                                                                                    • Null-Byte – \x00

                                                                                                                                                    • Neuzeile – \n – Wählen Sie diese Option für Graylog und Rsyslog TCP aus.

                                                                                                                                                  4. Klicken Sie auf Weiter.

                                                                                                                                                  14

                                                                                                                                                  (Optional) Sie können den Standardwert für einige Datenbankverbindungsparameter unter „Erweiterte Einstellungen“ ändern. Im Allgemeinen ist dieser Parameter der einzige, den Sie ändern möchten:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klicken Sie auf „Weiter“ im Bildschirm „Dienstkonten-Passwort zurücksetzen “.

                                                                                                                                                  Passwörter für Dienstkonten haben eine Lebensdauer von neun Monaten. Verwenden Sie diesen Bildschirm, wenn Ihre Passwörter bald ablaufen oder Sie sie zurücksetzen möchten, um frühere ISO-Dateien ungültig zu machen.

                                                                                                                                                  16

                                                                                                                                                  Klicken Sie auf ISO-Datei herunterladen . Speichern Sie die Datei an einem leicht auffindbaren Speicherort.

                                                                                                                                                  17

                                                                                                                                                  Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System.

                                                                                                                                                  Halten Sie die Sicherungskopie sicher. Diese Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff nur auf Hybrid-Datensicherheitsadministratoren, die Konfigurationsänderungen vornehmen sollten.

                                                                                                                                                  18

                                                                                                                                                  Geben Sie zum Herunterfahren des Setup-Tools CTRL+C.

                                                                                                                                                  Nächste Schritte

                                                                                                                                                  Sichern Sie die ISO-Konfigurationsdatei. Sie benötigen sie, um weitere Knoten für die Wiederherstellung zu erstellen oder Konfigurationsänderungen vorzunehmen. Wenn Sie alle Kopien der ISO-Datei verlieren, haben Sie auch den Master-Schlüssel verloren. Das Wiederherstellen der Schlüssel aus Ihrer PostgreSQL- oder Microsoft SQL Server-Datenbank ist nicht möglich.


                                                                                                                                                   

                                                                                                                                                  Wir haben nie eine Kopie dieses Schlüssels und können nicht helfen, wenn Sie ihn verlieren.

                                                                                                                                                  Installieren der HDS-Host-OVA

                                                                                                                                                  Verwenden Sie dieses Verfahren, um eine virtuelle Maschine aus der OVA-Datei zu erstellen.
                                                                                                                                                  1

                                                                                                                                                  Melden Sie sich mit dem VMware vSphere-Client auf Ihrem Computer beim virtuellen ESXi-Host an.

                                                                                                                                                  2

                                                                                                                                                  Wählen Sie Datei > OVF-Vorlage bereitstellen aus.

                                                                                                                                                  3

                                                                                                                                                  Geben Sie im Assistenten den Speicherort der OVA-Datei an, die Sie zuvor heruntergeladen haben, und klicken Sie dann auf Weiter .

                                                                                                                                                  4

                                                                                                                                                  Auf der Wählen Sie einen Namen und Ordner aus Seite, geben Sie einen Name der virtuellen Maschine Wählen Sie für den Knoten (z. B. „HDS _ N ode_ 1“) einen Standort aus, an dem sich die Bereitstellung des Knotens der virtuellen Maschine befinden kann, und klicken Sie dann auf Weiter .

                                                                                                                                                  5

                                                                                                                                                  Auf der Berechnungsressource auswählen Seite, wählen Sie die Zielberechnungsressource aus, und klicken Sie dann auf Weiter .

                                                                                                                                                  Eine Validierungsprüfung wird durchgeführt. Nach dem Abschluss werden die Vorlagendetails angezeigt.

                                                                                                                                                  6

                                                                                                                                                  Überprüfen Sie die Vorlagendetails und klicken Sie dann auf Weiter .

                                                                                                                                                  7

                                                                                                                                                  Wenn Sie aufgefordert werden, die Ressourcenkonfiguration auf dem Konfiguration Seite, klicken Sie auf <UNK> 4 CPU <UNK> und klicken Sie dann auf Weiter .

                                                                                                                                                  8

                                                                                                                                                  Auf der Speicher auswählen Seite, klicken Sie auf Weiter um das Standard-Festplattenformat und die VM-Speicherrichtlinie zu akzeptieren.

                                                                                                                                                  9

                                                                                                                                                  Auf der Netzwerke auswählen wählen Sie die Netzwerkoption aus der Liste der Einträge aus, um die gewünschte Konnektivität für die VM bereitzustellen.

                                                                                                                                                  10

                                                                                                                                                  Konfigurieren Sie auf der Seite Vorlage anpassen die folgenden Netzwerkeinstellungen:

                                                                                                                                                  • Host-Name : Geben Sie den FQDN (Host-Name und Domäne) oder einen einzelnen Word-Host-Namen für den Knoten ein.

                                                                                                                                                     
                                                                                                                                                    • Sie müssen die Domäne nicht mit der Domäne übereinstimmen, mit der Sie das X.509-Zertifikat erhalten haben.

                                                                                                                                                    • Um eine erfolgreiche Registrierung in der Cloud sicherzustellen, verwenden Sie im FQDN oder Hostnamen, den Sie für den Knoten festgelegt haben, nur Kleinbuchstaben. Großbuchstaben werden derzeit nicht unterstützt.

                                                                                                                                                    • Der FQDN darf insgesamt nicht länger als 64 Zeichen sein.

                                                                                                                                                  • IP-Adresse – Geben Sie die IP-Adresse für die interne Schnittstelle des Knotens ein.

                                                                                                                                                     

                                                                                                                                                    Ihr Knoten sollte eine interne IP-Adresse und einen DNS-Namen haben. DHCP wird nicht unterstützt.

                                                                                                                                                  • Maske – Geben Sie die Adresse der Subnetzmaske in Punkt-Dezimalnotation ein. Beispiel: 255.255.255.0 .
                                                                                                                                                  • Gateway – Geben Sie die Gateway-IP-Adresse ein. Ein Gateway ist ein Netzwerkknoten, der als Access Point zu einem anderen Netzwerk dient.
                                                                                                                                                  • DNS-Server: Geben Sie eine durch Komma getrennte Liste von DNS-Servern ein, die Domänennamen in numerische IP-Adressen übersetzen. (Bis zu 4 DNS-Einträge sind zulässig.)
                                                                                                                                                  • NTP-Server – Geben Sie den NTP-Server Ihrer Organisation oder einen anderen externen NTP-Server ein, der in Ihrer Organisation verwendet werden kann. Die Standard-NTP-Server funktionieren möglicherweise nicht für alle Unternehmen. Sie können auch eine durch Kommas getrennte Liste verwenden, um mehrere NTP-Server einzugeben.
                                                                                                                                                  • Stellen Sie alle Knoten im gleichen Subnetz oder VLAN bereit, sodass alle Knoten in einem Cluster zu administrativen Zwecken von Clients in Ihrem Netzwerk erreichbar sind.

                                                                                                                                                  Falls bevorzugt, können Sie die Konfiguration der Netzwerkeinstellungen überspringen und die Schritte unter Einrichten der Hybrid Data Security VM ausführen, um die Einstellungen über die Knotenkonsole zu konfigurieren.


                                                                                                                                                   

                                                                                                                                                  Die Option zum Konfigurieren von Netzwerkeinstellungen während der OVA-Bereitstellung wurde mit ESXi 6.5 getestet. Die Option ist in früheren Versionen möglicherweise nicht verfügbar.

                                                                                                                                                  11

                                                                                                                                                  Klicken Sie mit der rechten Maustaste auf die Knoten-VM, und wählen Sie Einschalten > Einschalten .

                                                                                                                                                  Die Hybrid Data Security-Software wird als Gast auf dem VM-Host installiert. Sie können sich jetzt bei der Konsole anmelden und den Knoten konfigurieren.

                                                                                                                                                  Tipps zur Fehlerbehebung

                                                                                                                                                  Es kann zu einer Verzögerung von einigen Minuten kommen, bis die Knotencontainer angezeigt werden. Beim erstmaligen Start wird eine Bridge-Firewall-Nachricht angezeigt, während der Sie sich anmelden können.

                                                                                                                                                  Einrichten der Hybrid-DatensicherheitsVM

                                                                                                                                                  Mit diesem Verfahren können Sie sich zum ersten Mal bei der VM-Konsole des Hybrid-Datensicherheitsknotens anmelden und die Anmeldeinformationen festlegen. Sie können auch die Konsole verwenden, um die Netzwerkeinstellungen für den Knoten zu konfigurieren, wenn Sie sie zum Zeitpunkt der OVA-Bereitstellung nicht konfiguriert haben.

                                                                                                                                                  1

                                                                                                                                                  Wählen Sie im VMware vSphere-Client Ihre VM mit Hybrid-Datensicherheitsknoten und anschließend die Registerkarte Konsole aus.

                                                                                                                                                  Die VM wird gestartet und eine Anmeldeaufforderung wird angezeigt. Drücken Sie die Eingabetaste, falls der Anmeldebildschirm nicht angezeigt wird.
                                                                                                                                                  2

                                                                                                                                                  Verwenden Sie die folgenden Standard-Anmeldedaten und das Passwort, um sich anzumelden und die Anmeldedaten zu ändern:

                                                                                                                                                  1. Benutzername: admin

                                                                                                                                                  2. Passwort: cisco

                                                                                                                                                  Da Sie sich zum ersten Mal bei Ihrer VM anmelden, müssen Sie das Administratorpasswort ändern.

                                                                                                                                                  3

                                                                                                                                                  Wenn Sie die Netzwerkeinstellungen bereits unter Installieren Sie die HDS-Host-OVA konfiguriert haben, überspringen Sie den Rest dieses Verfahrens. Andernfalls wählen Sie im Hauptmenü die Option Konfiguration bearbeiten aus.

                                                                                                                                                  4

                                                                                                                                                  Richten Sie eine statische Konfiguration mit IP-Adresse, Maske, Gateway- und DNS-Informationen ein. Ihr Knoten sollte eine interne IP-Adresse und einen DNS-Namen haben. DHCP wird nicht unterstützt.

                                                                                                                                                  5

                                                                                                                                                  (Optional) Ändern Sie bei Bedarf den Hostnamen, die Domäne oder die NTP-Server, um sie mit Ihrer Netzwerkrichtlinie abzugleichen.

                                                                                                                                                  Sie müssen die Domäne nicht mit der Domäne übereinstimmen, mit der Sie das X.509-Zertifikat erhalten haben.

                                                                                                                                                  6

                                                                                                                                                  Speichern Sie die Netzwerkkonfiguration und starten Sie die VM neu, damit die Änderungen wirksam werden.

                                                                                                                                                  Hochladen und Einhängen der HDS-KonfigurationsISO

                                                                                                                                                  Verwenden Sie dieses Verfahren, um die virtuelle Maschine über die ISO-Datei zu konfigurieren, die Sie mit dem HDS-Setup-Tool erstellt haben.

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  Da die ISO-Datei den Master-Schlüssel enthält, sollte sie nur auf der Basis des "Need-to-know"-Zugangs durch die Hybrid Data Security VMs und alle Administratoren, die Änderungen vornehmen müssen, offengelegt werden. Stellen Sie sicher, dass nur diese Administratoren auf den Datenspeicher zugreifen können.

                                                                                                                                                  1

                                                                                                                                                  Laden Sie die ISO-Datei von Ihrem Computer hoch:

                                                                                                                                                  1. Klicken Sie im linken Navigationsbereich des VMware vSphere-Clients auf den ESXi-Server.

                                                                                                                                                  2. Klicken Sie in der Hardware-Liste der Registerkarte „Konfiguration“ auf „Speicher“ .

                                                                                                                                                  3. Klicken Sie in der Datenspeicherliste mit der rechten Maustaste auf den Datenspeicher für Ihre VMs und klicken Sie auf Datenspeicher durchsuchen.

                                                                                                                                                  4. Klicken Sie auf das Symbol „Dateien hochladen“ und anschließend auf „Datei hochladen“ .

                                                                                                                                                  5. Navigieren Sie zu dem Speicherort, an dem Sie die ISO-Datei auf Ihren Computer heruntergeladen haben, und klicken Sie auf Öffnen .

                                                                                                                                                  6. Klicken Sie auf Ja , um die Warnung beim Hochladen/Herunterladen zu akzeptieren, und schließen Sie das Datenspeicherdialogfeld.

                                                                                                                                                  2

                                                                                                                                                  Binden Sie die ISO-Datei ein:

                                                                                                                                                  1. Klicken Sie im linken Navigationsbereich mit der rechten Maustaste auf die VM und klicken Sie auf Einstellungen bearbeiten .

                                                                                                                                                  2. Klicken Sie auf OK , um die Warnung mit eingeschränkten Bearbeitungsoptionen zu akzeptieren.

                                                                                                                                                  3. Klicken CD/DVD Drive 1, wählen Sie die Option zum Einhängen aus einer ISO-Datei aus und navigieren Sie zu dem Speicherort, an den Sie die ISO-Konfigurationsdatei hochgeladen haben.

                                                                                                                                                  4. Aktivieren Sie das Kontrollkästchen „Verbunden“ und „Beim Einschalten verbinden“ .

                                                                                                                                                  5. Speichern Sie Ihre Änderungen und starten Sie die virtuelle Maschine neu.

                                                                                                                                                  Nächste Schritte

                                                                                                                                                  Wenn Ihre IT-Richtlinie es erfordert, können Sie die ISO-Datei optional unmounten, nachdem alle Knoten die Konfigurationsänderungen übernommen haben. Weitere Informationen finden Sie unter (Optional) ISO nach HDS-Konfiguration abmontieren .

                                                                                                                                                  Konfigurieren des HDS-Knotens für die Proxyintegration

                                                                                                                                                  Wenn die Netzwerkumgebung einen Proxy erfordert, verwenden Sie dieses Verfahren, um den Proxytyp anzugeben, den Sie in die Hybrid-Datensicherheit integrieren möchten. Wenn Sie einen transparenten Prüfproxy oder einen expliziten HTTPS-Proxy auswählen, können Sie die Schnittstelle des Knotens verwenden, um das Stammzertifikat hochzuladen und zu installieren. Sie können auch die Proxy-Verbindung über die Schnittstelle überprüfen und potenzielle Probleme beheben.

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  1

                                                                                                                                                  HDS-Knoten-Setup-URL eingeben https://[HDS Node IP or FQDN]/setup Geben Sie in einem Webbrowser die Administratoranmeldeinformationen ein, die Sie für den Knoten eingerichtet haben, und klicken Sie dann auf Anmelden.

                                                                                                                                                  2

                                                                                                                                                  Gehen Sie zu Vertrauensspeicher und Proxy und wählen Sie eine Option aus:

                                                                                                                                                  • Kein Proxy – Die Standardoption, bevor Sie einen Proxy integrieren. Es ist keine Zertifikataktualisierung erforderlich.
                                                                                                                                                  • Transparenter Proxy ohne Inspektion – Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert und erfordern keine Änderungen an einem Proxy ohne Inspektion. Es ist keine Zertifikataktualisierung erforderlich.
                                                                                                                                                  • Transparenter Proxy für die Prüfung: Die Knoten sind nicht für die Verwendung einer bestimmten Proxyserver-Adresse konfiguriert. Bei der Hybrid Data Security-Bereitstellung sind keine HTTPS-Konfigurationsänderungen erforderlich. Die HDS-Knoten benötigen jedoch ein Stammzertifikat, damit sie dem Proxy vertrauen können. In der Regel werden Proxys von der IT verwendet, um Richtlinien durchzusetzen, auf denen Websites besucht werden können und welche Arten von Inhalten nicht zulässig sind. Dieser Proxy-Typ entschlüsselt Ihren gesamten Datenverkehr (auch HTTPS).
                                                                                                                                                  • Expliziter Proxy – Mit explizitem Proxy teilen Sie dem Client (HDS-Knoten) mit, welchen Proxyserver Sie verwenden sollen. Diese Option unterstützt mehrere Authentifizierungstypen. Nachdem Sie diese Option ausgewählt haben, müssen Sie die folgenden Informationen eingeben:
                                                                                                                                                    1. Proxy-IP/FQDN : Adresse, die zum Erreichen der Proxymaschine verwendet werden kann.

                                                                                                                                                    2. Proxy-Port : Eine Portnummer, die der Proxy für die Überwachung des Proxyverkehrs verwendet.

                                                                                                                                                    3. Proxy-Protokoll – Wählen Sie http (zeigt alle vom Client empfangenen Anfragen an und steuert sie) oder https (stellt einen Kanal für den Server bereit und der Client empfängt und validiert das Serverzertifikat). Wählen Sie eine Option basierend auf der Unterstützung Ihres Proxyservers aus.

                                                                                                                                                    4. Authentifizierungstyp : Wählen Sie einen der folgenden Authentifizierungstypen aus:

                                                                                                                                                      • Keine: Es ist keine weitere Authentifizierung erforderlich.

                                                                                                                                                        Verfügbar für HTTP- oder HTTPS-Proxys.

                                                                                                                                                      • Basic – Wird für einen HTTP-Benutzeragenten verwendet, um bei einer Anforderung einen Benutzernamen und ein Kennwort anzugeben. Verwendet Base64-Codierung.

                                                                                                                                                        Verfügbar für HTTP- oder HTTPS-Proxys.

                                                                                                                                                        Wenn Sie diese Option wählen, müssen Sie auch den Benutzernamen und das Kennwort eingeben.

                                                                                                                                                      • Ziffer : Wird verwendet, um das Konto zu bestätigen, bevor sensible Informationen gesendet werden. Wendet eine Hash-Funktion auf den Benutzernamen und das Kennwort an, bevor sie über das Netzwerk gesendet werden.

                                                                                                                                                        Nur für HTTPS-Proxys verfügbar.

                                                                                                                                                        Wenn Sie diese Option wählen, müssen Sie auch den Benutzernamen und das Kennwort eingeben.

                                                                                                                                                  Führen Sie die nächsten Schritte für einen transparenten Prüfproxy, einen HTTP-Proxy mit einfacher Authentifizierung oder einen HTTPS-Proxy aus.

                                                                                                                                                  3

                                                                                                                                                  Klicken Sie auf Stammzertifikat hochladen oder Entitätszertifikat beenden , und navigieren Sie dann zu einem Stammzertifikat für den Proxy.

                                                                                                                                                  Das Zertifikat ist hochgeladen, aber noch nicht installiert, da Sie den Knoten neu starten müssen, um das Zertifikat zu installieren. Klicken Sie auf den chevron-Pfeil nach dem Namen des Zertifikatsausstellers, um weitere Details zu erhalten, oder klicken Sie auf Löschen , wenn Sie einen Fehler gemacht haben und die Datei erneut hochladen möchten.

                                                                                                                                                  4

                                                                                                                                                  Klicken Sie auf Proxyverbindung prüfen , um die Netzwerkkonnektivität zwischen dem Knoten und dem Proxy zu testen.

                                                                                                                                                  Wenn der Verbindungstest fehlschlägt, wird eine Fehlermeldung mit dem Grund und wie Sie das Problem beheben können angezeigt.

                                                                                                                                                  Wenn eine Meldung angezeigt wird, dass die externe DNS-Auflösung nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen. Diese Bedingung wird in vielen expliziten Proxy-Konfigurationen erwartet. Sie können mit der Einrichtung fortfahren, und der Knoten funktioniert im Blockierten externen DNS-Auflösungsmodus. Wenn Sie der Meinung sind, dass es sich um einen Fehler handelt, führen Sie die folgenden Schritte aus, und lesen Sie anschließend Deaktivieren Sie den blockierten externen DNS-Auflösungsmodus .

                                                                                                                                                  5

                                                                                                                                                  Wenn der Verbindungstest bestanden hat und der explizite Proxy auf „Nur https“ festgelegt ist, aktivieren Sie den Umschalter auf „ Alle Port 443/444-https-Anfragen von diesem Knoten über den expliziten Proxy weiterleiten“ . Diese Einstellung benötigt 15 Sekunden, um wirksam zu werden.

                                                                                                                                                  6

                                                                                                                                                  Klicken Sie auf Installieren Sie alle Zertifikate in den Vertrauensspeicher (wird für einen expliziten HTTPS-Proxy oder einen transparenten Prüfproxy angezeigt) oder Reboot (wird für einen expliziten HTTP-Proxy angezeigt), lesen Sie die Eingabeaufforderung und klicken Sie anschließend auf Installieren , wenn Sie bereit sind.

                                                                                                                                                  Der Knoten wird innerhalb weniger Minuten neu gestartet.

                                                                                                                                                  7

                                                                                                                                                  Nachdem der Knoten neu gestartet wurde, melden Sie sich bei Bedarf erneut an und öffnen Sie die Seite „Übersicht“ , um die Konnektivitätsprüfungen zu überprüfen, um sicherzustellen, dass alle im grünen Status sind.

                                                                                                                                                  Die Proxy-Verbindungsprüfung testet nur eine Unterdomäne von webex.com. Wenn Verbindungsprobleme auftreten, besteht ein häufiges Problem darin, dass einige der in den Installationsanweisungen aufgeführten Cloud-Domänen am Proxy blockiert werden.

                                                                                                                                                  Registrieren des ersten Knotens im Cluster

                                                                                                                                                  Bei dieser Aufgabe wird der generische Knoten verwendet, den Sie unter „Hybrid Data Security VM einrichten“ erstellt haben, der Knoten wird in der Webex-Cloud registriert und in einen Hybrid Data Security-Knoten umgewandelt.

                                                                                                                                                  Bei der Registrierung Ihres ersten Knotens erstellen Sie ein Cluster, zu dem der Knoten zugewiesen wird. Ein Cluster enthält einen oder mehrere Knoten, die für Redundanz bereitgestellt werden.

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  • Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.

                                                                                                                                                  • Stellen Sie sicher, dass alle Popupblocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.

                                                                                                                                                  1

                                                                                                                                                  Melden Sie sich bei https://admin.webex.com an.

                                                                                                                                                  2

                                                                                                                                                  Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

                                                                                                                                                  3

                                                                                                                                                  Suchen Sie im Abschnitt Hybrid-Dienste nach Hybrid-Datensicherheit und klicken Sie auf Einrichten .

                                                                                                                                                  Die Seite „Hybrid-Datensicherheitsknoten registrieren“ wird angezeigt.
                                                                                                                                                  4

                                                                                                                                                  Wählen Sie Ja aus, um anzugeben, dass Sie den Knoten eingerichtet haben und bereit sind, ihn zu registrieren, und klicken Sie dann auf Weiter .

                                                                                                                                                  5

                                                                                                                                                  Geben Sie im ersten Feld einen Namen für das Cluster ein, dem Sie Ihren Hybrid-Datensicherheitsknoten zuweisen möchten.

                                                                                                                                                  Benennen Sie Ihre Cluster nach Möglichkeit nach dem geografischen Standort der Clusterknoten. Beispiele: "San Francisco" oder "New York" oder "Dallas"

                                                                                                                                                  6

                                                                                                                                                  Geben Sie im zweiten Feld die interne IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) Ihres Knotens ein und klicken Sie auf Weiter .

                                                                                                                                                  Diese IP-Adresse oder FQDN sollte mit der IP-Adresse oder dem Host-Namen und der Domäne übereinstimmen, die Sie bei „Einrichten der Hybrid-Datensicherheits-VM“ verwendet haben.

                                                                                                                                                  Es wird eine Meldung angezeigt, die angibt, dass Sie Ihren Knoten in Webex registrieren können.
                                                                                                                                                  7

                                                                                                                                                  Klicken Sie auf Zum Knoten wechseln.

                                                                                                                                                  8

                                                                                                                                                  Klicken Sie in der Warnmeldung auf Weiter.

                                                                                                                                                  Nach einigen Augenblicken werden Sie zu den Knotenverbindungstests für Webex-Dienste umgeleitet. Wenn alle Tests erfolgreich sind, wird die Seite „Zugriff auf Hybrid-Datensicherheitsknoten zulassen“ angezeigt. Dort bestätigen Sie, dass Sie Ihrer Webex-Organisation Berechtigungen für den Zugriff auf Ihren Knoten erteilen möchten.
                                                                                                                                                  9

                                                                                                                                                  Aktivieren Sie das Kontrollkästchen Zugriff auf Ihren Hybrid-Datensicherheitsknoten zulassen und klicken Sie dann auf Weiter .

                                                                                                                                                  Ihr Konto wird überprüft, und die Meldung „Registrierung abgeschlossen“ zeigt an, dass Ihr Knoten jetzt in der Webex-Cloud registriert ist.
                                                                                                                                                  10

                                                                                                                                                  Klicken Sie auf den Link oder schließen Sie die Registerkarte, um zur Seite „Control Hub Hybrid-Datensicherheit“ zurückzukehren.

                                                                                                                                                  Auf der Seite Hybrid-Datensicherheit wird das neue Cluster mit dem registrierten Knoten angezeigt. Der Knoten lädt die neueste Software automatisch aus der Cloud herunter.

                                                                                                                                                  Weitere Knoten erstellen und registrieren

                                                                                                                                                  Um Ihrem Cluster zusätzliche Knoten hinzuzufügen, erstellen Sie einfach zusätzliche VMs und mounten die gleiche ISO-Konfigurationsdatei. Registrieren Sie dann den Knoten. Wir empfehlen, dass Sie mindestens 3 Knoten haben.

                                                                                                                                                   

                                                                                                                                                  Zu diesem Zeitpunkt sind die Backup-VMs, die Sie unter Erfüllen der Voraussetzungen für Hybrid Data Security erstellt haben, Standby-Hosts, die nur im Falle einer Notfallwiederherstellung verwendet werden; sie sind bis dahin nicht beim System registriert. Weitere Informationen finden Sie unter Notfallwiederherstellung mit dem Standby-Rechenzentrum .

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  • Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.

                                                                                                                                                  • Stellen Sie sicher, dass alle Popupblocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.

                                                                                                                                                  1

                                                                                                                                                  Erstellen Sie eine neue virtuelle Maschine aus der OVA und wiederholen Sie die Schritte unter Installieren Sie die HDS-Host-OVA .

                                                                                                                                                  2

                                                                                                                                                  Richten Sie die Erstkonfiguration auf der neuen VM ein und wiederholen Sie die Schritte unter Richten Sie die Hybrid Data Security VM ein.

                                                                                                                                                  3

                                                                                                                                                  Wiederholen Sie auf der neuen VM die Schritte unter Hochladen und Einhängen der HDS-Konfiguration ISO .

                                                                                                                                                  4

                                                                                                                                                  Wenn Sie einen Proxy für Ihre Bereitstellung einrichten, wiederholen Sie die Schritte unter Konfigurieren des HDS-Knotens für die Proxy-Integration nach Bedarf für den neuen Knoten.

                                                                                                                                                  5

                                                                                                                                                  Registrieren Sie den Knoten.

                                                                                                                                                  1. Wählen Sie in https://admin.webex.com die Option Services aus dem Menü auf der linken Seite des Bildschirms.

                                                                                                                                                  2. Suchen Sie im Abschnitt Hybrid-Dienste nach der Hybrid-Datensicherheitskarte und klicken Sie auf Ressourcen .

                                                                                                                                                    Die Seite Hybrid-Datensicherheitsressourcen wird angezeigt.
                                                                                                                                                  3. Klicken Sie auf Ressource hinzufügen .

                                                                                                                                                  4. Wählen Sie im ersten Feld den Namen Ihres vorhandenen Clusters aus.

                                                                                                                                                  5. Geben Sie im zweiten Feld die interne IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) Ihres Knotens ein und klicken Sie auf Weiter .

                                                                                                                                                    Es wird eine Meldung angezeigt, die angibt, dass Sie Ihren Knoten in der Webex-Cloud registrieren können.
                                                                                                                                                  6. Klicken Sie auf Zum Knoten wechseln.

                                                                                                                                                    Nach einigen Augenblicken werden Sie zu den Knotenverbindungstests für Webex-Dienste umgeleitet. Wenn alle Tests erfolgreich sind, wird die Seite „Zugriff auf Hybrid-Datensicherheitsknoten zulassen“ angezeigt. Dort bestätigen Sie, dass Sie Ihrer Organisation Berechtigungen für den Zugriff auf Ihren Knoten erteilen möchten.
                                                                                                                                                  7. Aktivieren Sie das Kontrollkästchen Zugriff auf Ihren Hybrid-Datensicherheitsknoten zulassen und klicken Sie dann auf Weiter .

                                                                                                                                                    Ihr Konto wird überprüft, und die Meldung „Registrierung abgeschlossen“ zeigt an, dass Ihr Knoten jetzt in der Webex-Cloud registriert ist.
                                                                                                                                                  8. Klicken Sie auf den Link oder schließen Sie die Registerkarte, um zur Seite „Control Hub Hybrid-Datensicherheit“ zurückzukehren.

                                                                                                                                                  Ihr Knoten ist registriert. Beachten Sie, dass Ihre Knoten bis zum Starten einer Testversion einen Alarm generieren, der angibt, dass Ihr Dienst noch nicht aktiviert ist.

                                                                                                                                                  Nächste Schritte

                                                                                                                                                  Ausführen einer Testversion und Verschieben in Produktion (nächstes Kapitel)
                                                                                                                                                  Eine Testversion ausführen und zur Produktion wechseln

                                                                                                                                                  Ablauf der Testversion der Produktionsaufgabe

                                                                                                                                                  Nachdem Sie einen Hybrid-Datensicherheitscluster eingerichtet haben, können Sie einen Pilotversuch starten, Benutzer hinzufügen und damit beginnen, Ihre Bereitstellung zu testen und zu überprüfen, um auf die Produktion vorzubereiten.

                                                                                                                                                  1

                                                                                                                                                  Synchronisieren Sie ggf. die HdsTrialGroup Gruppenobjekt.

                                                                                                                                                  Wenn Ihre Organisation die Verzeichnissynchronisierung für Benutzer verwendet, müssen Sie die HdsTrialGroup Gruppenobjekt für die Synchronisierung mit der Cloud, bevor Sie einen Test starten können. Anweisungen finden Sie im Bereitstellungsleitfaden für den Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Testversion aktivieren

                                                                                                                                                  Starten Sie eine Testversion. Bis Sie diese Aufgabe ausführen, generieren Ihre Knoten einen Alarm, der angibt, dass der Dienst noch nicht aktiviert ist.

                                                                                                                                                  3

                                                                                                                                                  Testen Sie Ihre Hybrid-Datensicherheitsbereitstellung

                                                                                                                                                  Überprüfen Sie, ob wichtige Anforderungen an Ihre Hybrid-Datensicherheitsbereitstellung übergeben werden.

                                                                                                                                                  4

                                                                                                                                                  Hybrid-Datensicherheitsstatus überwachen

                                                                                                                                                  Überprüfen Sie den Status und richten Sie E-Mail-Benachrichtigungen für Alarme ein.

                                                                                                                                                  5

                                                                                                                                                  Hinzufügen oder Entfernen von Benutzern aus Ihrer Testversion

                                                                                                                                                  6

                                                                                                                                                  Schließen Sie die Testphase mit einer der folgenden Aktionen ab:

                                                                                                                                                  Testversion aktivieren

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  Wenn Ihre Organisation die Verzeichnissynchronisierung für Benutzer verwendet, müssen Sie die HdsTrialGroup Gruppenobjekt für die Synchronisierung mit der Cloud, bevor Sie eine Testversion für Ihre Organisation starten können. Anweisungen finden Sie im Bereitstellungsleitfaden für den Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Melden Sie sich bei https://admin.webex.com an und wählen Sie dann Dienste .

                                                                                                                                                  2

                                                                                                                                                  Klicken Sie unter „Hybrid-Datensicherheit“ auf „Einstellungen“ .

                                                                                                                                                  3

                                                                                                                                                  Klicken Sie im Abschnitt „Dienststatus“ auf Test starten .

                                                                                                                                                  Der Dienststatus ändert sich in den Testmodus.
                                                                                                                                                  4

                                                                                                                                                  Klicken Sie auf Benutzer hinzufügen und geben Sie die E-Mail-Adresse eines oder mehrerer Benutzer ein, um Ihre Hybrid-Datensicherheitsknoten für Verschlüsselungs- und Indexierungsdienste zu verwenden.

                                                                                                                                                  (Wenn Ihre Organisation die Verzeichnissynchronisierung verwendet, verwenden Sie Active Directory, um die Testgruppe zu verwalten, HdsTrialGroup.)

                                                                                                                                                  Testen Sie Ihre Hybrid-Datensicherheitsbereitstellung

                                                                                                                                                  Mit diesem Verfahren können Sie Szenarien für die Verschlüsselung der Hybrid-Datensicherheit testen.

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  • Richten Sie Ihre Bereitstellung für Hybrid-Datensicherheit ein.

                                                                                                                                                  • Aktivieren Sie die Testversion und fügen Sie mehrere Testbenutzer hinzu.

                                                                                                                                                  • Stellen Sie sicher, dass Sie Zugriff auf das Syslog haben, um zu überprüfen, ob wichtige Anforderungen an Ihre Bereitstellung für die Hybrid-Datensicherheit weitergeleitet werden.

                                                                                                                                                  1

                                                                                                                                                  Schlüssel für einen bestimmten Bereich werden vom Ersteller des Bereichs festgelegt. Melden Sie sich bei der Webex-App als einer der Pilotbenutzer an, erstellen Sie einen Bereich und laden Sie mindestens einen Pilotbenutzer und einen Nicht-Pilotbenutzer ein.


                                                                                                                                                   

                                                                                                                                                  Wenn Sie die Bereitstellung der Hybrid-Datensicherheit deaktivieren, sind Inhalte in Bereichen, die Pilotbenutzer erstellen, nicht mehr zugänglich, nachdem die zwischengespeicherten Kopien der Verschlüsselungscodes durch den Client ersetzt wurden.

                                                                                                                                                  2

                                                                                                                                                  Nachrichten an den neuen Bereich senden.

                                                                                                                                                  3

                                                                                                                                                  Überprüfen Sie die Syslog-Ausgabe, um zu überprüfen, ob die Schlüsselanforderungen an Ihre Hybrid-Datensicherheitsbereitstellung übergeben werden.

                                                                                                                                                  1. Um nach einem Benutzer zu suchen, der zuerst einen sicheren Kanal zum KMS eingerichtet hat, filtern Sie nach kms.data.method=create und kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Sie sollten einen Eintrag wie den folgenden finden (Bezeichner zur Lesbarkeit gekürzt):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Um nach einem Benutzer zu suchen, der einen vorhandenen Schlüssel vom KMS anfordert, filtern Sie auf kms.data.method=retrieve und kms.data.type=KEY:

                                                                                                                                                    Sie sollten einen Eintrag finden, wie:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Um nach einem Benutzer zu suchen, der die Erstellung eines neuen KMS-Schlüssels anfordert, filtern Sie nach kms.data.method=create und kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Sie sollten einen Eintrag finden, wie:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Um nach einem Benutzer zu suchen, der die Erstellung eines neuen KMS Resource Object (KRO) anfordert, wenn ein Bereich oder eine andere geschützte Ressource erstellt wird, filtern Sie nach kms.data.method=create und kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Sie sollten einen Eintrag finden, wie:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Hybrid-Datensicherheitsstatus überwachen

                                                                                                                                                  Eine Statusanzeige in Control Hub zeigt an, ob die Bereitstellung der Hybrid-Datensicherheit funktioniert. Melden Sie sich für proaktive Benachrichtigungen für E-Mail-Benachrichtigungen an. Sie werden benachrichtigt, wenn Warnungen oder Software-Upgrades auftreten, die sich auf den Dienst auswirken.
                                                                                                                                                  1

                                                                                                                                                  Wählen Sie in Control Hub im Menü auf der linken Seite des Bildschirms Dienste aus.

                                                                                                                                                  2

                                                                                                                                                  Suchen Sie im Abschnitt Hybrid-Dienste nach Hybrid Data Security und klicken Sie auf Einstellungen .

                                                                                                                                                  Die Seite „Hybrid-Datensicherheitseinstellungen“ wird angezeigt.
                                                                                                                                                  3

                                                                                                                                                  Geben Sie im Abschnitt E-Mail-Benachrichtigungen eine oder mehrere durch Kommas getrennte E-Mail-Adressen ein und drücken Sie die Eingabetaste.

                                                                                                                                                  Hinzufügen oder Entfernen von Benutzern aus Ihrer Testversion

                                                                                                                                                  Nachdem Sie eine Testversion aktiviert und die anfängliche Gruppe von Testbenutzern hinzugefügt haben, können Sie jederzeit Testmitglieder hinzufügen oder entfernen, während die Testversion aktiv ist.

                                                                                                                                                  Wenn Sie einen Benutzer aus der Testversion entfernen, fordert der Client des Benutzers die Schlüssel und die Schlüsselerstellung aus dem Cloud-KMS anstelle Ihres KMS an. Wenn der Client einen Schlüssel benötigt, der auf Ihrem KMS gespeichert ist, ruft der Cloud-KMS ihn im Namen des Benutzers ab.

                                                                                                                                                  Wenn Ihre Organisation die Verzeichnissynchronisierung verwendet, verwenden Sie Active Directory (anstelle dieses Verfahrens), um die Testgruppe zu verwalten, HdsTrialGroup; Sie können die Gruppenmitglieder in Control Hub anzeigen, aber nicht hinzufügen oder entfernen.

                                                                                                                                                  1

                                                                                                                                                  Melden Sie sich bei Control Hub an und wählen Sie dann „Dienste“ .

                                                                                                                                                  2

                                                                                                                                                  Klicken Sie unter „Hybrid-Datensicherheit“ auf „Einstellungen“ .

                                                                                                                                                  3

                                                                                                                                                  Klicken Sie im Testmodus des Dienststatusbereichs auf Benutzer hinzufügen oder klicken Sie auf Anzeigen und Bearbeiten , um Benutzer aus der Testversion zu entfernen.

                                                                                                                                                  4

                                                                                                                                                  Geben Sie die E-Mail-Adresse eines oder mehrerer Benutzer ein, die Sie hinzufügen möchten, oder klicken Sie auf das X-Zeichen neben einer Benutzer-ID, um den Benutzer aus der Testversion zu entfernen. Klicken Sie dann auf Speichern .

                                                                                                                                                  Übergang von der Testversion zur Produktion

                                                                                                                                                  Wenn Sie sicher sind, dass Ihre Bereitstellung für die Testbenutzer gut funktioniert, können Sie zur Produktion wechseln. Wenn Sie zur Produktion wechseln, verwenden alle Benutzer in der Organisation Ihre lokale Hybrid-Datensicherheitsdomäne für Verschlüsselungscodes und andere Dienste des Sicherheitsbereichs. Sie können von der Produktion nicht zurück in den Testmodus wechseln, es sei denn, Sie deaktivieren den Dienst im Rahmen der Notfallwiederherstellung. Wenn Sie den Dienst erneut aktivieren, müssen Sie eine neue Testversion einrichten.
                                                                                                                                                  1

                                                                                                                                                  Melden Sie sich bei Control Hub an und wählen Sie dann „Dienste“ .

                                                                                                                                                  2

                                                                                                                                                  Klicken Sie unter „Hybrid-Datensicherheit“ auf „Einstellungen“ .

                                                                                                                                                  3

                                                                                                                                                  Klicken Sie im Abschnitt „Dienststatus“ auf Zu Produktion wechseln .

                                                                                                                                                  4

                                                                                                                                                  Bestätigen Sie, dass Sie alle Benutzer in die Produktion verschieben möchten.

                                                                                                                                                  Beenden Sie Ihren Test, ohne zur Produktion zu wechseln

                                                                                                                                                  Wenn Sie während der Testphase Ihre Bereitstellung der Hybrid-Datensicherheit nicht fortsetzen möchten, können Sie die Hybrid-Datensicherheit deaktivieren, wodurch die Testversion beendet wird und die Testbenutzer zurück zu den Cloud-Datensicherheitsdiensten wechseln. Die Benutzer der Testversion verlieren den Zugriff auf die während der Testphase verschlüsselten Daten.
                                                                                                                                                  1

                                                                                                                                                  Melden Sie sich bei Control Hub an und wählen Sie dann „Dienste“ .

                                                                                                                                                  2

                                                                                                                                                  Klicken Sie unter „Hybrid-Datensicherheit“ auf „Einstellungen“ .

                                                                                                                                                  3

                                                                                                                                                  Klicken Sie im Abschnitt Deaktivieren auf Deaktivieren .

                                                                                                                                                  4

                                                                                                                                                  Bestätigen Sie, dass Sie den Dienst deaktivieren und den Test beenden möchten.

                                                                                                                                                  Verwalten Ihrer HDS-Bereitstellung

                                                                                                                                                  Verwalten der HDS-Bereitstellung

                                                                                                                                                  Verwenden Sie die hier beschriebenen Aufgaben, um Ihre Bereitstellung für die Hybrid-Datensicherheit zu verwalten.

                                                                                                                                                  Cluster-Upgrade-Zeitplan festlegen

                                                                                                                                                  Software-Upgrades für die Hybrid-Datensicherheit werden automatisch auf Cluster-Ebene durchgeführt, wodurch sichergestellt wird, dass alle Knoten immer die gleiche Software-Version ausführen. Die Upgrades werden gemäß des Upgrade-Zeitplans für das Cluster ausgeführt. Sie können neue verfügbare Software-Upgrades optional auch vor dem geplanten Upgrade-Zeitpunkt manuell installieren. Sie können einen eigenen Upgrade-Zeitplan festlegen oder den Standardzeitplan um 3 Uhr morgens täglich für USA: Amerika/Los Angeles verwenden. Bei Bedarf können Sie anstehende Upgrades auch verzögern.

                                                                                                                                                  So legen Sie den Upgrade-Zeitplan fest:

                                                                                                                                                  1

                                                                                                                                                  Melden Sie sich bei Control Hub an.

                                                                                                                                                  2

                                                                                                                                                  Wählen Sie auf der Übersichtsseite unter Hybriddienste die Option Hybrid-Datensicherheit .

                                                                                                                                                  3

                                                                                                                                                  Wählen Sie auf der Seite Hybrid-Datensicherheitsressourcen den Cluster aus.

                                                                                                                                                  4

                                                                                                                                                  Wählen Sie im Übersichtsbereich auf der rechten Seite unter Cluster-Einstellungen den Cluster-Namen aus.

                                                                                                                                                  5

                                                                                                                                                  Wählen Sie auf der Einstellungsseite unter Upgrade die Uhrzeit und die Zeitzone für den Upgrade-Zeitplan aus.

                                                                                                                                                  Hinweis: Unter der Zeitzone wird der nächste verfügbare Zeitpunkt für ein Upgrade angezeigt. Sie können das Upgrade bei Bedarf auf den folgenden Tag verzögern, indem Sie auf Verschieben klicken.

                                                                                                                                                  Knotenkonfiguration ändern

                                                                                                                                                  Gelegentlich müssen Sie die Konfiguration Ihres Hybrid-Datensicherheitsknotens möglicherweise aus folgenden Gründen ändern:
                                                                                                                                                  • x.509-Zertifikate werden vor Ablauf oder aus anderen Gründen geändert.


                                                                                                                                                     

                                                                                                                                                    Das Ändern des CN- Domänenname eines Zertifikats wird nicht unterstützt. Die Domäne muss mit der ursprünglichen Domäne übereinstimmen, die zum Registrieren des Clusters verwendet wurde.

                                                                                                                                                  • Aktualisieren der Datenbank , um zu einer Reproduktion der PostgreSQL- oder Microsoft SQL Server- Datenbank zu wechseln.


                                                                                                                                                     

                                                                                                                                                    Die Migration von Daten von PostgreSQL zu Microsoft SQL Server oder umgekehrt wird nicht unterstützt. Um die Datenbank zu wechseln, starten Sie eine neue Bereitstellung von Hybrid Data Security.

                                                                                                                                                  • Erstellen einer neuen Konfiguration zur Vorbereitung eines neuen Rechenzentrum.

                                                                                                                                                  Aus Sicherheitsgründen verwendet Hybrid Data Security Dienstkonten-Passwörter, die nach 9 Monaten ablaufen. Diese Passwörter werden durch das HDS Setup Tool generiert, und Sie können sie mittels der ISO-Konfigurationsdatei für Ihre einzelnen HDS-Knoten bereitstellen. Wenn die Passwörter Ihres Unternehmens bald ablaufen, erhalten Sie vom Webex-Team einen „Hinweis zum Passwortablauf“, in dem Sie gebeten werden, das Passwort für Ihr Computerkonto zurückzusetzen. (Die E-Mail enthält den Text „Verwenden Sie die Computerkonto- API , um das Passwort zu aktualisieren“.) Wenn Ihre Passwörter noch nicht abgelaufen sind, bietet Ihnen das Tool zwei Möglichkeiten:

                                                                                                                                                  • Weiches Zurücksetzen – Das alte und das neue Passwort sind beide bis zu 10 Tage gültig. Nutzen Sie diesen Zeitraum, um die ISO -Datei auf den Knoten schrittweise zu ersetzen.

                                                                                                                                                  • Hard-Reset – Die alten Passwörter funktionieren sofort nicht mehr.

                                                                                                                                                  Wenn Ihre Passwörter ohne Zurücksetzen ablaufen, wirkt sich dies auf Ihren HDS-Dienst aus und erfordert ein sofortiges Zurücksetzen und Ersetzen der ISO -Datei auf allen Knoten.

                                                                                                                                                  Mit diesem Verfahren können Sie eine neue ISO -Konfigurationsdatei generieren und auf Ihren Cluster anwenden.

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  • Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zuzugreifen, führen Sie Docker auf diesem Computer aus. Für die Einrichtung sind die Anmeldeinformationen eines Control Hub-Kontos mit vollständigen Administratorrechten für Ihre Organisation erforderlich.

                                                                                                                                                    Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxyeinstellungen (Server, Port, Anmeldeinformationen) über Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in 1.e öffnen. In dieser Tabelle sind einige mögliche Umgebungsvariablen aufgeführt:

                                                                                                                                                    Beschreibung

                                                                                                                                                    Variable

                                                                                                                                                    HTTP-Proxy ohne Authentifizierung

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-Proxy ohne Authentifizierung

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-Proxy mit Authentifizierung

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-Proxy mit Authentifizierung

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Um eine neue Konfiguration zu erstellen, benötigen Sie eine Kopie der aktuellen ISO-Konfigurationsdatei. Die ISO enthält den Master-Schlüssel, der die PostgreSQL- oder Microsoft SQL Server-Datenbank verschlüsselt. Sie benötigen das ISO , wenn Sie Konfigurationsänderungen vornehmen, einschließlich Datenbank , Zertifikatsaktualisierungen oder Änderungen an der Autorisierungsrichtlinie.

                                                                                                                                                  1

                                                                                                                                                  Führen Sie auf einem lokalen Computer, auf dem Docker läuft, das HDS Setup Tool aus.

                                                                                                                                                  1. Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

                                                                                                                                                    In normalen Umgebungen:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    In FedRAMP-Umgebungen:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Dieser Schritt bereinigt vorherige HDS-Setup-Tool-Images. Wenn keine vorherigen Bilder vorhanden sind, wird ein Fehler zurückgegeben, den Sie ignorieren können.

                                                                                                                                                  2. Geben Sie Folgendes ein, um sich bei der Docker-Image-Registrierung anzumelden:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Geben Sie bei der Passworteingabe diesen Hashwert ein:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Laden Sie das neueste stabile Image für Ihre Umgebung herunter:

                                                                                                                                                    In normalen Umgebungen:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    In FedRAMP-Umgebungen:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Stellen Sie sicher, dass Sie für hierfür per Pull das neueste Setup-Tool aufrufen. Versionen des Tools, die vor dem 22. Februar 2018 erstellt wurden, verfügen nicht über die Bildschirme für das Zurücksetzen des Passworts.

                                                                                                                                                  5. Geben Sie nach Abschluss des Pull-Vorgangs den entsprechenden Befehl für Ihre Umgebung ein:

                                                                                                                                                    • In regulären Umgebungen ohne Proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • In regulären Umgebungen mit einem HTTP-Proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In regulären Umgebungen mit einem HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In FedRAMP-Umgebungen ohne Proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Wenn der Container ausgeführt wird, wird „Express-Server überwacht Port 8080“ angezeigt.

                                                                                                                                                  6. Verwenden Sie einen Browser, um eine Verbindung mit dem Localhost herzustellen, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Das Setup-Tool unterstützt nicht die Verbindung mit localhost über http://localhost:8080 . Verwenden Sie http://127.0.0.1:8080 , um eine Verbindung zum Localhost herzustellen.

                                                                                                                                                  7. Wenn Sie dazu aufgefordert werden, geben Sie Ihre Kundenanmeldeinformationen ein und klicken Sie dann auf Annehmen, um fortzufahren.

                                                                                                                                                  8. Importieren Sie die aktuelle ISO-Konfigurationsdatei.

                                                                                                                                                  9. Folgen Sie den Anweisungen, um das Tool fertigzustellen und die aktualisierte Datei herunterzuladen.

                                                                                                                                                    Geben Sie zum Herunterfahren des Setup-Tools CTRL+C.

                                                                                                                                                  10. Erstellen Sie in einem anderen Rechenzentrum eine Sicherungskopie der aktualisierte Datei.

                                                                                                                                                  2

                                                                                                                                                  Wenn Sie nur einen HDS-Knoten mit ausführen, erstellen Sie eine neue -Knoten-VM und registrieren Sie sie mithilfe der neuen ISO-Konfigurationsdatei. Detaillierte Anweisungen finden Sie unter Weitere Knoten erstellen und registrieren .

                                                                                                                                                  1. Installieren Sie die HDS-Host-OVA.

                                                                                                                                                  2. Richten Sie die HDS-VM ein.

                                                                                                                                                  3. Binden Sie die aktualisierte Konfigurationsdatei ein.

                                                                                                                                                  4. Registrieren Sie den neuen Knoten in Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Für vorhandene HDS-Knoten, auf denen die ältere Konfigurationsdatei ausgeführt wird, mounten Sie die ISO -Datei. Führen Sie die folgenden Schritte nacheinander auf jedem Knoten aus und aktualisieren Sie dabei jeden Knoten, bevor Sie den nächsten Knoten ausschalten:

                                                                                                                                                  1. Deaktivieren Sie die Virtuelle Maschine.

                                                                                                                                                  2. Klicken Sie im linken Navigationsbereich mit der rechten Maustaste auf die VM und klicken Sie auf Einstellungen bearbeiten .

                                                                                                                                                  3. Klicken CD/DVD Drive 1 Klicken Sie auf CD/DVD Laufwerk 1, wählen Sie die Option für das Einbinden aus einer ISO-Datei aus und navigieren Sie zum Speicherort, an den Sie die neue ISO-Konfigurationsdatei heruntergeladen haben.

                                                                                                                                                  4. Aktivieren Sie Beim Aktivieren verbinden.

                                                                                                                                                  5. Speichern Sie Ihre Änderungen und aktivieren Sie die Virtuelle Maschine.

                                                                                                                                                  4

                                                                                                                                                  Wiederholen Sie Schritt 3, um bei jedem weiteren Knoten zu ersetzen, auf dem noch die alte Konfiguration ausgeführt wird, die Konfiguration zu ersetzen.

                                                                                                                                                  Blockierten externen DNS-Auflösungsmodus deaktivieren

                                                                                                                                                  Wenn Sie einen Knoten registrieren oder die Proxy-Konfiguration des Knotens überprüfen, testet der Prozess die DNS-Suche und die Konnektivität mit der Cisco Webex-Cloud. Wenn der DNS-Server des Knotens öffentliche DNS-Namen nicht auflösen kann, wechselt der Knoten automatisch in den Modus für die blockierte externe DNS-Auflösung.

                                                                                                                                                  Wenn Ihre Knoten in der Lage sind, öffentliche DNS-Namen über interne DNS-Server aufzulösen, können Sie diesen Modus deaktivieren, indem Sie den Proxy-Verbindungstest auf jedem Knoten erneut ausführen.

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  Stellen Sie sicher, dass Ihre internen DNS-Server öffentliche DNS-Namen auflösen können und dass Ihre Knoten mit diesen kommunizieren können.
                                                                                                                                                  1

                                                                                                                                                  Öffnen Sie in einem Webbrowser die Schnittstelle des hybriden Datensicherheitsknotens (IP-Adresse/Einrichtung, z. B. https://192.0.2.0/setup), geben Sie die Administratoranmeldeinformationen ein, die Sie für den Knoten eingerichtet haben, und klicken Sie dann auf Anmelden .

                                                                                                                                                  2

                                                                                                                                                  Gehen Sie zu „Übersicht“ (Standardseite).

                                                                                                                                                  Wenn aktiviert, Blockierte externe DNS Auflösung ist festgelegt auf Ja .

                                                                                                                                                  3

                                                                                                                                                  Gehen Sie zur Seite „Vertrauensspeicher und Proxy “.

                                                                                                                                                  4

                                                                                                                                                  Klicken Sie auf Proxyverbindung prüfen .

                                                                                                                                                  Wenn eine Meldung angezeigt wird, dass die externe DNS-Auflösung nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen und bleibt in diesem Modus. Andernfalls sollte nach dem Neustart des Knotens und dem Zurückkehren zur Übersichtsseite die blockierte externe DNS-Auflösung auf „Nein“ festgelegt werden.

                                                                                                                                                  Nächste Schritte

                                                                                                                                                  Wiederholen Sie den Proxy-Verbindungstest für jeden Knoten in Ihrem Hybrid-Datensicherheitscluster.

                                                                                                                                                  Knoten entfernen

                                                                                                                                                  Mit diesem Verfahren können Sie einen Hybrid-Datensicherheitsknoten aus der Webex-Cloud entfernen. Nachdem Sie den Knoten aus dem Cluster entfernt haben, löschen Sie die virtuelle Maschine, um weiteren Zugriff auf Ihre Sicherheitsdaten zu verhindern.
                                                                                                                                                  1

                                                                                                                                                  Verwenden Sie den VMware vSphere-Client auf Ihrem Computer, um sich beim virtuellen ESXi-Host anzumelden und die virtuelle Maschine auszuschalten.

                                                                                                                                                  2

                                                                                                                                                  Knoten entfernen:

                                                                                                                                                  1. Melden Sie sich bei Control Hub an und wählen Sie dann „Dienste“ .

                                                                                                                                                  2. Klicken Sie auf der Karte „Hybrid-Datensicherheit“ auf „Alle anzeigen“ , um die Seite „Hybrid-Datensicherheitsressourcen“ anzuzeigen.

                                                                                                                                                  3. Wählen Sie Ihren Cluster aus, um dessen Übersichtsbereich anzuzeigen.

                                                                                                                                                  4. Klicken Sie auf Knotenliste öffnen .

                                                                                                                                                  5. Wählen Sie auf der Registerkarte Knoten den Knoten aus, den Sie entfernen möchten.

                                                                                                                                                  6. Klicken Sie auf Aktionen > Registrierung des Knotens aufheben .

                                                                                                                                                  3

                                                                                                                                                  Löschen Sie im vSphere-Client die VM. (Klicken Sie im linken Navigationsbereich mit der rechten Maustaste auf die VM und klicken Sie auf Löschen .)

                                                                                                                                                  Wenn Sie die VM nicht löschen, denken Sie daran, die Konfiguration der ISO-Datei aufzuheben. Ohne die ISO-Datei können Sie die VM nicht für den Zugriff auf Ihre Sicherheitsdaten verwenden.

                                                                                                                                                  Notfallwiederherstellung mit Standby-Rechenzentrum

                                                                                                                                                  Der wichtigste Dienst, den Ihr Hybrid-Datensicherheitscluster bietet, ist die Erstellung und Speicherung von Schlüsseln, mit denen Nachrichten und andere in der Webex-Cloud gespeicherte Inhalte verschlüsselt werden. Für jeden Benutzer innerhalb der Organisation, der der Hybrid-Datensicherheit zugewiesen ist, werden neue Anforderungen zur Schlüsselerstellung an den Cluster weitergeleitet. Der Cluster ist auch dafür verantwortlich, die Schlüssel, die er erstellt hat, an alle Benutzer zurückzugeben, die zum Abrufen autorisiert sind, z. B. Mitglieder eines Konversationsbereichs.

                                                                                                                                                  Da der Cluster die wichtige Funktion zur Bereitstellung dieser Schlüssel ausführt, ist es zwingend erforderlich, dass der Cluster weiterhin ausgeführt wird und die ordnungsgemäßen Backups beibehalten werden. Der Verlust der Hybrid Data Security-Datenbank oder der für das Schema verwendeten Konfigurations-ISO führt zu einem NICHT WIEDERHERSTELLBAREN VERLUST von Kundeninhalten. Die folgenden Praktiken sind obligatorisch, um einen solchen Verlust zu verhindern:

                                                                                                                                                  Wenn eine Katastrophe dazu führt, dass die HDS-Bereitstellung im primären Rechenzentrum nicht mehr verfügbar ist, führen Sie die folgenden Schritte aus, um ein manuelles Failover zum Standby-Rechenzentrum durchzuführen.

                                                                                                                                                  1

                                                                                                                                                  Starten Sie das HDS-Setup-Tool und befolgen Sie die unter Erstellen einer Konfigurations-ISO für die HDS-Hosts genannten Schritte.

                                                                                                                                                  2

                                                                                                                                                  Klicken Sie nach der Konfiguration des Syslogd-Servers auf Erweiterte Einstellungen

                                                                                                                                                  3

                                                                                                                                                  Fügen Sie auf der Seite Erweiterte Einstellungen die folgende Konfiguration hinzu oder entfernen Sie die passiveMode Konfiguration, um den Knoten aktiv zu machen. Der Knoten kann den Datenverkehr verarbeiten, sobald dieser konfiguriert ist.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Schließen Sie den Konfigurationsvorgang ab und speichern Sie die ISO-Datei an einem leicht zu findenden Speicherort.

                                                                                                                                                  5

                                                                                                                                                  Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Halten Sie die Sicherungskopie sicher. Diese Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff nur auf Hybrid-Datensicherheitsadministratoren, die Konfigurationsänderungen vornehmen sollten.

                                                                                                                                                  6

                                                                                                                                                  Klicken Sie im linken Navigationsbereich des VMware vSphere-Clients mit der rechten Maustaste auf die VM und klicken Sie auf Einstellungen bearbeiten..

                                                                                                                                                  7

                                                                                                                                                  Klicken Sie auf Einstellungen bearbeiten > CD/DVD Laufwerk 1 und wählen Sie Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Stellen Sie sicher, dass „Verbunden“ und „Verbindung beim Einschalten“ aktiviert sind, damit aktualisierte Konfigurationsänderungen nach dem Starten der Knoten wirksam werden können.

                                                                                                                                                  8

                                                                                                                                                  Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 15 Minuten lang keine Alarme vorhanden sind.

                                                                                                                                                  9

                                                                                                                                                  Wiederholen Sie den Vorgang für jeden Knoten im Standby-Rechenzentrum.


                                                                                                                                                   

                                                                                                                                                  Überprüfen Sie die Syslog-Ausgabe, um sicherzustellen, dass sich die Knoten des Standby-Rechenzentrums nicht im passiven Modus befinden. „KMS im passiven Modus konfiguriert“ sollte nicht in den Syslogs angezeigt werden.

                                                                                                                                                  Nächste Schritte

                                                                                                                                                  Wenn das primäre Rechenzentrum nach dem Failover wieder aktiv wird, stellen Sie das Standby-Rechenzentrum erneut in den passiven Modus, indem Sie die unter „Standby-Rechenzentrum für die Notfallwiederherstellung einrichten“ beschriebenen Schritte ausführen.

                                                                                                                                                  (Optional) ISO nach HDS-Konfiguration entmounten

                                                                                                                                                  Die Standard-HDS-Konfiguration wird mit der ISO-Montierung ausgeführt. Einige Kunden ziehen es jedoch vor, ISO-Dateien nicht kontinuierlich eingehängt zu lassen. Sie können die ISO-Datei unmounten, nachdem alle HDS-Knoten die neue Konfiguration übernommen haben.

                                                                                                                                                  Sie verwenden weiterhin die ISO-Dateien, um Konfigurationsänderungen vorzunehmen. Wenn Sie eine neue ISO erstellen oder eine ISO über das Setup-Tool aktualisieren, müssen Sie die aktualisierte ISO auf allen HDS-Knoten mounten. Nachdem alle Ihre Knoten die Konfigurationsänderungen übernommen haben, können Sie die ISO-Datei mit diesem Verfahren erneut unmounten.

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  Aktualisieren Sie alle HDS-Knoten auf Version 2021.01.22.4720 oder höher.

                                                                                                                                                  1

                                                                                                                                                  Fahren Sie einen Ihrer HDS-Knoten herunter.

                                                                                                                                                  2

                                                                                                                                                  Wählen Sie in der vCenter Server Appliance den HDS-Knoten aus.

                                                                                                                                                  3

                                                                                                                                                  Wählen Sie Einstellungen bearbeiten > CD/DVD-Laufwerk und Deaktivieren Datastore ISO File .

                                                                                                                                                  4

                                                                                                                                                  Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 20 Minuten lang keine Alarme vorhanden sind.

                                                                                                                                                  5

                                                                                                                                                  Wiederholen Sie den Vorgang für jeden HDS-Knoten.

                                                                                                                                                  Fehlerbehebung bei Hybrid Data Security

                                                                                                                                                  Anzeigen von Warnungen und Fehlerbehebung

                                                                                                                                                  Eine Bereitstellung der Hybrid-Datensicherheit gilt als nicht verfügbar, wenn alle Knoten im Cluster nicht erreichbar sind oder der Cluster so langsam arbeitet, dass eine Zeitüberschreitung erforderlich ist. Wenn Benutzer Ihren Hybrid-Datensicherheitscluster nicht erreichen können, treten die folgenden Symptome auf:

                                                                                                                                                  • Neue Bereiche können nicht erstellt werden (neue Schlüssel können nicht erstellt werden)

                                                                                                                                                  • Nachrichten und Bereichstitel können nicht entschlüsselt werden für:

                                                                                                                                                    • Neue Benutzer zu einem Bereich hinzugefügt (Schlüssel können nicht abgerufen werden)

                                                                                                                                                    • Vorhandene Benutzer in einem Bereich mit einem neuen Client (Schlüssel können nicht abgerufen werden)

                                                                                                                                                  • Vorhandene Benutzer in einem Bereich werden weiterhin erfolgreich ausgeführt, solange ihre Clients über einen Cache mit den Verschlüsselungsschlüsseln verfügen.

                                                                                                                                                  Es ist wichtig, dass Sie Ihren Hybrid-Datensicherheitscluster ordnungsgemäß überwachen und alle Warnungen umgehend beheben, um Dienstunterbrechungen zu vermeiden.

                                                                                                                                                  Alerts

                                                                                                                                                  Wenn bei der Einrichtung der Hybrid-Datensicherheit ein Problem auftritt, zeigt Control Hub dem Organisationsadministrator Warnungen an und sendet E-Mails an die konfigurierte E-Mail-Adresse. Die Warnungen decken viele gängige Szenarien ab.

                                                                                                                                                  Tabelle 1: Allgemeine Probleme und Schritte zur Lösung dieser Probleme

                                                                                                                                                  Warnung

                                                                                                                                                  Aktion

                                                                                                                                                  Fehler beim Zugriff auf die lokale Datenbank.

                                                                                                                                                  Suchen Sie nach Datenbankfehlern oder lokalen Netzwerkproblemen.

                                                                                                                                                  Lokaler Datenbankverbindungsfehler.

                                                                                                                                                  Überprüfen Sie, ob der Datenbankserver verfügbar ist und die richtigen Dienstkonto-Anmeldeinformationen in der Knotenkonfiguration verwendet wurden.

                                                                                                                                                  Fehler beim Zugriff auf den Cloud-Dienst.

                                                                                                                                                  Überprüfen Sie, ob die Knoten wie unter „Externe Konnektivitätsanforderungen“ beschrieben auf die Webex-Server zugreifen können.

                                                                                                                                                  Erneute Registrierung des Cloud-Dienstes.

                                                                                                                                                  Die Registrierung bei Cloud-Diensten wurde aufgehoben. Die Erneuerung der Registrierung läuft.

                                                                                                                                                  Registrierung des Cloud-Dienstes wurde abgebrochen.

                                                                                                                                                  Die Registrierung bei Cloud-Diensten wurde beendet. Der Dienst wird heruntergefahren.

                                                                                                                                                  Dienst noch nicht aktiviert.

                                                                                                                                                  Aktivieren Sie eine Testversion oder schließen Sie die Übertragung der Testversion auf die Produktion ab.

                                                                                                                                                  Die konfigurierte Domäne stimmt nicht mit dem Serverzertifikat überein.

                                                                                                                                                  Stellen Sie sicher, dass Ihr Serverzertifikat mit der konfigurierten Serviceaktivierungsdomäne übereinstimmt.

                                                                                                                                                  Die wahrscheinlichste Ursache ist, dass der CN des Zertifikats vor Kurzem geändert wurde und sich nun vom CN unterscheidet, der bei der Ersteinrichtung verwendet wurde.

                                                                                                                                                  Authentifizierung bei Cloud-Diensten fehlgeschlagen.

                                                                                                                                                  Überprüfen Sie die Genauigkeit und den möglichen Ablauf der Anmeldeinformationen für das Dienstkonto.

                                                                                                                                                  Lokale Keystore-Datei konnte nicht geöffnet werden.

                                                                                                                                                  Überprüfen Sie die Integrität und Passwortgenauigkeit der lokalen Keystore-Datei.

                                                                                                                                                  Das lokale Serverzertifikat ist ungültig.

                                                                                                                                                  Überprüfen Sie das Ablaufdatum des Serverzertifikats und bestätigen Sie, dass es von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.

                                                                                                                                                  Metriken können nicht veröffentlicht werden.

                                                                                                                                                  Überprüfen Sie den lokalen Netzwerkzugriff auf externe Cloud-Dienste.

                                                                                                                                                  /media/configdrive/hds Verzeichnis existiert nicht.

                                                                                                                                                  Überprüfen Sie die ISO-Bereitstellungskonfiguration auf dem virtuellen Host. Stellen Sie sicher, dass die ISO-Datei vorhanden ist, dass sie für das Einhängen beim Neustart konfiguriert ist und dass sie erfolgreich eingehängt wird.

                                                                                                                                                  Fehlerbehebung bei Hybrid Data Security

                                                                                                                                                  Verwenden Sie die folgenden allgemeinen Richtlinien zur Fehlerbehebung bei Problemen mit der Hybrid-Datensicherheit.
                                                                                                                                                  1

                                                                                                                                                  Prüfen Sie Control Hub auf alle Warnungen und beheben Sie alle Elemente, die Sie dort finden.

                                                                                                                                                  2

                                                                                                                                                  Prüfen Sie die Syslog-Serverausgabe auf die Aktivität aus der Bereitstellung für Hybrid-Datensicherheit.

                                                                                                                                                  3

                                                                                                                                                  Kontaktieren Sie den Cisco Support .

                                                                                                                                                  Sonstige Hinweise

                                                                                                                                                  Bekannte Probleme bei der Hybrid-Datensicherheit

                                                                                                                                                  • Wenn Sie Ihren Hybrid-Datensicherheitscluster herunterfahren (indem Sie ihn in Control Hub löschen oder alle Knoten herunterfahren), Ihre ISO-Konfigurationsdatei verlieren oder den Zugriff auf die Keystore-Datenbank verlieren, können Ihre Webex-App-Benutzer keine Bereiche mehr in ihrer Personenliste verwenden, die mit Schlüsseln aus Ihrem KMS erstellt wurden. Dies gilt sowohl für Test- als auch für Produktionsbereitstellungen. Wir haben derzeit keine Problemumgehung oder Lösung für dieses Problem und bitten Sie dringend, Ihre HDS-Dienste nicht herunterzufahren, sobald sie aktive Benutzerkonten verarbeiten.

                                                                                                                                                  • Ein Client, der eine vorhandene ECDH-Verbindung zu einer KMS hat, hält diese Verbindung für einen bestimmten Zeitraum (wahrscheinlich eine Stunde) aufrecht. Wenn ein Benutzer Mitglied einer Testversion für Hybrid-Datensicherheit wird, verwendet der Client des Benutzers die vorhandene ECDH-Verbindung weiter, bis die Zeitüberschreitung auftritt. Alternativ kann sich der Benutzer bei der Webex-App abmelden und erneut anmelden, um den Standort zu aktualisieren, den die App für Verschlüsselungsschlüssel kontaktiert.

                                                                                                                                                    Dasselbe Verhalten tritt auf, wenn Sie eine Testversion für die Organisation in die Produktion verschieben. Alle Nicht-Testbenutzer mit bestehenden ECDH-Verbindungen zu den vorherigen Datensicherheitsdiensten werden diese Dienste weiterhin nutzen, bis die ECDH-Verbindung neu ausgehandelt wird (durch Zeitüberschreitung oder durch Abmelden und zurück).

                                                                                                                                                  Verwenden von OpenSSL zum Generieren einer PKCS12-Datei

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  • OpenSSL ist ein Tool, mit dem die PKCS12-Datei im richtigen Format zum Laden im HDS Setup Tool erstellt werden kann. Es gibt andere Möglichkeiten, dies zu tun, und wir unterstützen oder fördern nicht den einen Weg über den anderen.

                                                                                                                                                  • Wenn Sie sich für OpenSSL entscheiden, stellen wir Ihnen dieses Verfahren als Richtlinie zur Verfügung, um Ihnen zu helfen, eine Datei zu erstellen, die die X.509-Zertifikatanforderungen in X.509-Zertifikatanforderungen erfüllt. Machen Sie sich mit diesen Anforderungen vertraut, bevor Sie fortfahren.

                                                                                                                                                  • Installieren Sie OpenSSL in einer unterstützten Umgebung. Siehe https://www.openssl.org für die Software und Dokumentation.

                                                                                                                                                  • Erstellen Sie einen privaten Schlüssel.

                                                                                                                                                  • Starten Sie dieses Verfahren, wenn Sie das Serverzertifikat von Ihrer Certificate Authority (CA) erhalten.

                                                                                                                                                  1

                                                                                                                                                  Wenn Sie das Serverzertifikat von Ihrer CA erhalten, speichern Sie es als hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Zeigen Sie das Zertifikat als Text an und überprüfen Sie die Details.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Verwenden Sie einen Texteditor, um eine Zertifikatspaket-Datei mit dem Namen hdsnode-bundle.pem. Die Paketdatei muss das Serverzertifikat, alle CA-Zwischenzertifikate und die CA-Stammzertifikate im folgenden Format enthalten:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Erstellen Sie die .p12-Datei mit dem freundlichen Namen kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Überprüfen Sie die Details des Serverzertifikats.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Geben Sie ein Kennwort an der Eingabeaufforderung ein, um den privaten Schlüssel zu verschlüsseln, damit er in der Ausgabe aufgeführt ist. Überprüfen Sie dann, ob der private Schlüssel und das erste Zertifikat die Leitungen enthalten. friendlyName: kms-private-key.

                                                                                                                                                    Beispiel:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Nächste Schritte

                                                                                                                                                  Zurück zu Vervollständigen der Voraussetzungen für Hybrid-Datensicherheit . Sie werden die hdsnode.p12 Datei und das Kennwort, das Sie dafür festgelegt haben, unter Erstellen einer Konfigurations-ISO für die HDS-Hosts .


                                                                                                                                                   

                                                                                                                                                  Sie können diese Dateien wiederverwenden, um ein neues Zertifikat anzufordern, wenn das ursprüngliche Zertifikat abläuft.

                                                                                                                                                  Datenverkehr zwischen den HDS-Knoten und der Cloud

                                                                                                                                                  Datenverkehr bei Sammlung ausgehender Metriken

                                                                                                                                                  Die Hybrid-Datensicherheitsknoten senden bestimmte Metriken an die Webex-Cloud. Dazu gehören Systemmetriken für Heap max, Heap verwendet, CPU-Auslastung und Thread-Anzahl; Metriken zu synchronen und asynchronen Threads; Metriken zu Warnungen, die einen Schwellenwert für Verschlüsselungsverbindungen, Latenz oder eine Länge der Anforderungswarteschlange umfassen; Metriken zum Datenspeicher und Verschlüsselungsverbindungsmetriken. Die Knoten senden verschlüsseltes Schlüsselmaterial über einen Out-of-Band-Kanal (getrennt von der Anforderung).

                                                                                                                                                  Eingehender Verkehr

                                                                                                                                                  Die Hybrid-Datensicherheitsknoten erhalten die folgenden Arten von eingehendem Datenverkehr aus der Webex-Cloud:

                                                                                                                                                  • Verschlüsselungsanfragen von Clients, die vom Verschlüsselungsdienst weitergeleitet werden

                                                                                                                                                  • Upgrades auf die Knotensoftware

                                                                                                                                                  Squid-Proxys für Hybrid Data Security konfigurieren

                                                                                                                                                  Websocket kann keine Verbindung über Squid Proxy herstellen

                                                                                                                                                  Squid-Proxys, die HTTPS-Datenverkehr prüfen, können die Einrichtung von Websocket beeinträchtigen ( wss:) Verbindungen, die für die Hybrid-Datensicherheit erforderlich sind. In diesen Abschnitten finden Sie eine Anleitung, wie Sie verschiedene Versionen von Squid so konfigurieren, dass sie ignoriert werden. wss: Verkehr für den ordnungsgemäßen Betrieb der Dienste.

                                                                                                                                                  Tintenfisch 4 und 5

                                                                                                                                                  Fügen Sie die on_unsupported_protocol Direktive zu squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Tintenfisch 3.5.27

                                                                                                                                                  Wir haben die Hybrid-Datensicherheit erfolgreich getestet und die folgenden Regeln hinzugefügt: squid.conf. Diese Regeln können sich bei der Entwicklung von Funktionen und der Aktualisierung der Webex-Cloud ändern.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Vorwort

                                                                                                                                                  Neue und geänderte Informationen

                                                                                                                                                  Datum

                                                                                                                                                  Vorgenommene Änderungen

                                                                                                                                                  20. Oktober 2023

                                                                                                                                                  07. August 2023

                                                                                                                                                  Dienstag, 23. Mai 2023

                                                                                                                                                  06. Dezember 2022

                                                                                                                                                  23. November 2022

                                                                                                                                                  13. Oktober 2021

                                                                                                                                                  Docker Desktop muss ein Setup-Programm ausführen, bevor Sie HDS-Knoten installieren können. Siehe Docker Desktop-Anforderungen .

                                                                                                                                                  24. Juni 2021

                                                                                                                                                  Beachten Sie, dass Sie die Datei mit dem privaten Schlüssel und den CSR wiederverwenden können, um ein anderes Zertifikat anzufordern. Weitere Informationen finden Sie unter Verwenden von OpenSSL zum Generieren einer PKCS12-Datei .

                                                                                                                                                  30. April 2021

                                                                                                                                                  Die VM-Anforderung für lokalen Festplattenspeicher wurde auf 30 GB geändert. Weitere Informationen finden Sie unter „Anforderungen für virtuelle Gastgeber“.

                                                                                                                                                  Mittwoch, 24. Februar 2021

                                                                                                                                                  Das HDS Setup Tool kann jetzt hinter einem Proxy ausgeführt werden. Weitere Informationen finden Sie unter Erstellen einer Konfigurations-ISO für die HDS-Hosts .

                                                                                                                                                  2. Februar 2021

                                                                                                                                                  HDS kann jetzt ohne gemountete ISO-Datei ausgeführt werden. Weitere Informationen finden Sie unter (Optional) ISO nach HDS-Konfiguration abmontieren .

                                                                                                                                                  11. Januar 2021

                                                                                                                                                  Informationen zum HDS Setup-Tool und zu Proxys hinzugefügt Erstellen einer Konfigurations-ISO für die HDS-Hosts .

                                                                                                                                                  13. Oktober 2020

                                                                                                                                                  Aktualisiert Installationsdateien herunterladen .

                                                                                                                                                  8. Oktober 2020

                                                                                                                                                  Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts und Ändern Sie die Knotenkonfiguration mit Befehlen für FedRAMP-Umgebungen.

                                                                                                                                                  Freitag, 14. August 2020

                                                                                                                                                  Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts und Ändern Sie die Knotenkonfiguration mit Änderungen am Anmeldeprozess.

                                                                                                                                                  Mittwoch, 5. August 2020

                                                                                                                                                  Aktualisiert Testen Sie Ihre Hybrid-Datensicherheitsbereitstellung auf Änderungen in Protokollnachrichten.

                                                                                                                                                  Aktualisiert Anforderungen für virtuelle Gastgeber , um die maximale Anzahl an Hosts zu entfernen.

                                                                                                                                                  Dienstag, 16. Juni 2020

                                                                                                                                                  Aktualisiert Entfernen eines Knotens für Änderungen in der Control Hub-Benutzeroberfläche.

                                                                                                                                                  Donnerstag, 4. Juni 2020

                                                                                                                                                  Aktualisiert Erstellen Sie ein Konfigurations-ISO für die HDS-Hosts für Änderungen in den erweiterten Einstellungen, die Sie möglicherweise festlegen.

                                                                                                                                                  Freitag, 29. Mai 2020

                                                                                                                                                  Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts , um anzuzeigen, dass Sie TLS auch mit SQL Server-Datenbanken, UI-Änderungen und anderen Klarstellungen verwenden können.

                                                                                                                                                  Dienstag, 5. Mai 2020

                                                                                                                                                  Aktualisiert Anforderungen für virtuelle Gastgeber um neue Anforderungen für ESXi 6.5 anzuzeigen.

                                                                                                                                                  21. April 2020

                                                                                                                                                  Aktualisiert Externe Konnektivitätsanforderungen mit neuen CI-Hosts für Amerika.

                                                                                                                                                  1. April 2020

                                                                                                                                                  Aktualisiert Externe Konnektivitätsanforderungen mit Informationen zu regionalen CI-Hosts.

                                                                                                                                                  20. Februar 2020Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts mit Informationen zum neuen optionalen Bildschirm Erweiterte Einstellungen im HDS-Setup-Tool.
                                                                                                                                                  4. Februar 2020Aktualisierte Anforderungen für Proxyserver .
                                                                                                                                                  16. Dezember 2019Die Anforderung, dass der blockierte externe DNS-Auflösungsmodus unter „ Proxyserveranforderungen“ funktioniert, wurde klargestellt .
                                                                                                                                                  19. November 2019

                                                                                                                                                  Informationen zum blockierten externen DNS-Auflösungsmodus wurden in den folgenden Abschnitten hinzugefügt:

                                                                                                                                                  8. November 2019

                                                                                                                                                  Sie können jetzt die Netzwerkeinstellungen für einen Knoten konfigurieren, während Sie die OVA bereitstellen, und nicht erst danach.

                                                                                                                                                  Die folgenden Abschnitte wurden entsprechend aktualisiert:


                                                                                                                                                   

                                                                                                                                                  Die Option zum Konfigurieren von Netzwerkeinstellungen während der OVA-Bereitstellung wurde mit ESXi 6.5 getestet. Die Option ist in früheren Versionen möglicherweise nicht verfügbar.

                                                                                                                                                  6. September 2019

                                                                                                                                                  SQL Server Standard zu Datenbankserveranforderungen .

                                                                                                                                                  29. August 2019Hinzugefügt Konfigurieren von Squid-Proxys für Hybrid Data Security Anhang mit Anleitung zum Konfigurieren von Squid-Proxys zum Ignorieren von Websocket-Datenverkehr für den ordnungsgemäßen Betrieb.
                                                                                                                                                  20. August 2019

                                                                                                                                                  Abschnitte hinzugefügt und aktualisiert, um die Proxy-Unterstützung für die Kommunikation von hybriden Datensicherheitsknoten mit der Webex-Cloud abzudecken.

                                                                                                                                                  Informationen zum Zugriff auf den Inhalt der Proxy-Unterstützung für eine vorhandene Bereitstellung finden Sie im Hilfeartikel Proxy-Unterstützung für Hybrid Data Security und Webex-Videonetz .

                                                                                                                                                  Freitag, 13. Juni 2019Aktualisiert Ablauf der Testversion zur Produktionsaufgabe mit einer Erinnerung zur Synchronisierung der HdsTrialGroup gruppieren Sie ein Objekt, bevor Sie einen Test starten, wenn Ihre Organisation die Verzeichnissynchronisierung verwendet.
                                                                                                                                                  Freitag, 6. März 2019
                                                                                                                                                  Dienstag, 28. Februar 2019
                                                                                                                                                  • Es wurde die Menge des lokalen Festplattenspeichers pro Server korrigiert, den Sie bei der Vorbereitung der virtuellen Hosts, die zu den Hybrid-Datensicherheitsknoten werden, von 50 GB auf 20 GB beiseite legen sollten, um die Größe der Festplatte widerzuspiegeln, die die OVA erstellt.

                                                                                                                                                  26. Februar 2019

                                                                                                                                                  24. Januar 2019

                                                                                                                                                  • Hybrid Data Security unterstützt jetzt Microsoft SQL Server als Datenbank. SQL Server Always On (Always On Failover-Cluster und Always on Availability-Gruppen) wird von den JDBC-Treibern unterstützt, die in der Hybrid-Datensicherheit verwendet werden. Inhalt zur Bereitstellung mit SQL Server hinzugefügt.


                                                                                                                                                     

                                                                                                                                                    Die Unterstützung von Microsoft SQL Server ist nur für neue Bereitstellungen von Hybrid-Datensicherheit vorgesehen. Die Datenmigration von PostgreSQL zu Microsoft SQL Server in einer vorhandenen Bereitstellung wird derzeit nicht unterstützt.

                                                                                                                                                  5. November 2018
                                                                                                                                                  Dienstag, 19. Oktober 2018

                                                                                                                                                  31. Juli 2018

                                                                                                                                                  21. Mai 2018

                                                                                                                                                  Terminologie geändert, um das Rebranding von Cisco Spark widerzuspiegeln:

                                                                                                                                                  • Cisco Spark Hybrid Data Security heißt jetzt Hybrid Data Security.

                                                                                                                                                  • Die Cisco Spark-App ist jetzt die Webex-App.

                                                                                                                                                  • Die Cisco Collaboraton Cloud ist jetzt die Webex-Cloud.

                                                                                                                                                  Dienstag, 11. April 2018
                                                                                                                                                  22. Februar 2018
                                                                                                                                                  Donnerstag, 15. Februar 2018
                                                                                                                                                  • In der Tabelle X.509-Zertifikatanforderungen wurde festgelegt, dass das Zertifikat kein Wildcard-Zertifikat sein darf und dass das KMS die CN-Domäne verwendet, nicht eine Domäne, die in den x.509v3-SAN-Feldern definiert ist.

                                                                                                                                                  Donnerstag, 18. Januar 2018

                                                                                                                                                  2. November 2017

                                                                                                                                                  • Klarere Verzeichnissynchronisierung der HdsTrialGroup.

                                                                                                                                                  • Behobene Anweisungen zum Hochladen der ISO-Konfigurationsdatei zum Mounten auf die VM-Knoten.

                                                                                                                                                  Freitag, 18. August 2017

                                                                                                                                                  Erste Veröffentlichung

                                                                                                                                                  Erste Schritte mit der Hybrid-Datensicherheit

                                                                                                                                                  Übersicht über die Hybrid-Datensicherheit

                                                                                                                                                  Von Anfang an stand bei der Entwicklung der Webex App die Datensicherheit im Vordergrund. Der Grundstein dieser Sicherheit ist die durchgängige Inhaltsverschlüsselung, die durch die Interaktion von Webex App-Clients mit dem Schlüsselverwaltungsdienst (KMS) ermöglicht wird. Der KMS erstellt und verwaltet die Kryptografieschlüssel, mit denen die Clients ihre Nachrichten und Dateien dynamisch ver- und entschlüsseln.

                                                                                                                                                  Standardmäßig erhalten alle Webex-App-Kunden eine durchgängige Verschlüsselung mit dynamischen Schlüsseln, die im Cloud-KMS im Sicherheitsbereich von Cisco gespeichert sind. Mit Hybrid Data Security werden KMS und andere Sicherheitsfunktionen in das Rechenzentrum Ihres Unternehmens verschoben, damit die Schlüssel zu ihren verschlüsselten Inhalten ausschließlich bei Ihnen liegen.

                                                                                                                                                  Sicherheitsbereichsarchitektur

                                                                                                                                                  Die Webex Cloud-Architektur trennt verschiedene Servicetypen in separate Bereiche oder Vertrauensdomänen, wie unten dargestellt.

                                                                                                                                                  Bereiche der Trennung (ohne Hybrid-Datensicherheit)

                                                                                                                                                  Um die Hybrid-Datensicherheit weiter zu verstehen, werfen wir einen Blick auf diesen reinen Cloud-Fall, in dem Cisco alle Funktionen in seinen Cloud-Bereichen bereitstellt. Der Identitätsdienst, der einzige Ort, an dem Benutzer direkt mit ihren persönlichen Informationen wie E-Mail-Adresse korreliert werden können, ist logisch und physisch getrennt vom Sicherheitsbereich im Rechenzentrum B. Beide sind wiederum getrennt vom Bereich, in dem letztlich verschlüsselte Inhalte gespeichert werden, im Rechenzentrum C.

                                                                                                                                                  In diesem Diagramm ist der Client die Webex-App, die auf dem Laptop eines Benutzers ausgeführt wird und sich beim Identitätsdienst authentifiziert hat. Wenn der Benutzer eine Nachricht erstellt, die an einen Bereich gesendet werden soll, werden die folgenden Schritte ausgeführt:

                                                                                                                                                  1. Der Client stellt eine sichere Verbindung mit dem Schlüsselverwaltungsdienst (KMS) her und fordert dann einen Schlüssel zum Verschlüsseln der Nachricht an. Die sichere Verbindung verwendet ECDH, und das KMS verschlüsselt den Schlüssel mit einem AES-256-Master-Schlüssel.

                                                                                                                                                  2. Die Nachricht wird verschlüsselt, bevor sie den Client verlässt. Der Client sendet es an den Indexierungsdienst, der verschlüsselte Suchindizes erstellt, die bei der zukünftigen Suche nach den Inhalten helfen.

                                                                                                                                                  3. Die verschlüsselte Nachricht wird für Compliance-Prüfungen an den Compliance-Dienst gesendet.

                                                                                                                                                  4. Die verschlüsselte Nachricht wird im Speicherbereich gespeichert.

                                                                                                                                                  Wenn Sie Hybrid Data Security bereitstellen, verschieben Sie die Sicherheitsbereichsfunktionen (KMS, Indizierung und Compliance) in Ihr lokales Rechenzentrum. Die anderen Cloud-Dienste, aus denen Webex besteht (einschließlich Identitäts- und Inhaltsspeicher), verbleiben in den Bereichen von Cisco.

                                                                                                                                                  Zusammenarbeit mit anderen Organisationen

                                                                                                                                                  Benutzer in Ihrer Organisation verwenden möglicherweise regelmäßig die Webex-App, um mit externen Teilnehmern in anderen Organisationen zusammenzuarbeiten. Wenn einer Ihrer Benutzer einen Schlüssel für einen Bereich anfordert, der zu Ihrer Organisation gehört (da er von einem Ihrer Benutzer erstellt wurde), sendet KMS den Schlüssel über einen ECDH-sicheren Kanal an den Client. Wenn jedoch eine andere Organisation den Schlüssel für den Bereich besitzt, leitet Ihre KMS die Anforderung über einen separaten ECDH-Kanal an die Webex-Cloud weiter, um den Schlüssel von der entsprechenden KMS zu erhalten, und gibt den Schlüssel dann an Ihren Benutzer im ursprünglichen Kanal zurück.

                                                                                                                                                  Der auf Org A ausgeführte KMS-Dienst validiert die Verbindungen zu KMSs in anderen Organisationen mit x.509 PKI-Zertifikaten. Siehe Umgebung vorbereiten für Details zur Generierung eines x.509-Zertifikats für Ihre Hybrid-Datensicherheitsbereitstellung.

                                                                                                                                                  Erwartungen an die Bereitstellung der Hybrid-Datensicherheit

                                                                                                                                                  Eine Bereitstellung von Hybrid-Datensicherheit erfordert erhebliches Kundenengagement und ein Bewusstsein für die Risiken, die sich aus dem Besitz von Verschlüsselungscodes ergeben.

                                                                                                                                                  Um die Hybrid-Datensicherheit bereitzustellen, müssen Sie Folgendes bereitstellen:

                                                                                                                                                  Der vollständige Verlust der Konfigurations-ISO, die Sie für Hybrid Data Security erstellen, oder der von Ihnen bereitgestellten Datenbank führt zum Verlust der Schlüssel. Der Schlüsselverlust verhindert, dass Benutzer Bereichsinhalte und andere verschlüsselte Daten in der Webex-App entschlüsseln. In diesem Fall können Sie eine neue Bereitstellung erstellen, aber nur neue Inhalte werden angezeigt. Um den Verlust des Zugriffs auf Daten zu vermeiden, müssen Sie:

                                                                                                                                                  • Verwalten Sie die Sicherung und Wiederherstellung der Datenbank und der ISO-Konfiguration.

                                                                                                                                                  • Bereiten Sie sich auf eine schnelle Notfallwiederherstellung vor, wenn eine Katastrophe auftritt, z. B. ein Datenbankfestplattenausfall oder eine Datencenter-Katastrophe.


                                                                                                                                                   

                                                                                                                                                  Es gibt keinen Mechanismus, um Schlüssel nach einer HDS-Bereitstellung zurück in die Cloud zu verschieben.

                                                                                                                                                  Hochrangiger Einrichtungsprozess

                                                                                                                                                  Dieses Dokument behandelt die Einrichtung und Verwaltung einer Bereitstellung für Hybrid-Datensicherheit:

                                                                                                                                                  • Hybrid-Datensicherheit einrichten – Dazu gehören die Vorbereitung der erforderlichen Infrastruktur und die Installation der Hybrid-Datensicherheitssoftware, das Testen Ihrer Bereitstellung mit einer Teilmenge von Benutzern im Testmodus und die Umstellung auf die Produktion, sobald die Tests abgeschlossen sind. Dadurch wird die gesamte Organisation konvertiert, um Ihren Hybrid-Datensicherheitscluster für Sicherheitsfunktionen zu verwenden.

                                                                                                                                                    Die Einrichtungs-, Test- und Produktionsphasen werden in den nächsten drei Kapiteln ausführlich behandelt.

                                                                                                                                                  • Bereitstellen der Hybrid-Datensicherheit aufrechterhalten – Die Webex-Cloud stellt automatisch laufende Upgrades bereit. Ihre IT-Abteilung kann diese Bereitstellung mit Unterstützung der Stufe eins unterstützen und bei Bedarf den Cisco-Support einbeziehen. Sie können Benachrichtigungen auf dem Bildschirm verwenden und E-Mail-basierte Warnungen in Control Hub einrichten.

                                                                                                                                                  • Allgemeine Warnungen, Schritte zur Fehlerbehebung und bekannte Probleme – Wenn bei der Bereitstellung oder Verwendung von Hybrid Data Security Probleme auftreten, können Sie das letzte Kapitel dieses Handbuchs und der Anhang „Bekannte Probleme“ bei der Bestimmung und Behebung des Problems helfen.

                                                                                                                                                  Bereitstellungsmodell für Hybrid-Datensicherheit

                                                                                                                                                  Im Rechenzentrum Ihres Unternehmens stellen Sie die Hybrid-Datensicherheit als ein einzelnes Cluster von Knoten auf separaten virtuellen Hosts bereit. Die Knoten kommunizieren über sichere Websockets und sicheres HTTP mit der Webex-Cloud.

                                                                                                                                                  Während der Installation stellen wir Ihnen die OVA-Datei zur Verfügung, um die virtuelle Appliance auf den von Ihnen bereitgestellten VMs einzurichten. Mit dem HDS-Setup-Tool können Sie eine benutzerdefinierte ISO-Datei für die Clusterkonfiguration erstellen, die Sie auf jedem Knoten mounten. Der Hybrid-Datensicherheitscluster verwendet Ihren bereitgestellten Syslogd-Server und die PostgreSQL- oder Microsoft SQL Server-Datenbank. (Sie konfigurieren die Syslogd- und Datenbankverbindungsdetails im HDS Setup Tool.)

                                                                                                                                                  Bereitstellungsmodell für Hybrid-Datensicherheit

                                                                                                                                                  Die Mindestanzahl an Knoten, die Sie in einem Cluster haben können, beträgt zwei. Wir empfehlen mindestens drei und Sie können bis zu fünf haben. Wenn Sie mehrere Knoten haben, wird sichergestellt, dass der Dienst während eines Software-Upgrades oder einer anderen Wartungsaktivität auf einem Knoten nicht unterbrochen wird. (Die Webex-Cloud aktualisiert nur jeweils einen Knoten.)

                                                                                                                                                  Alle Knoten in einem Cluster greifen auf denselben Schlüsseldatastore zu und protokollieren die Aktivität mit demselben Syslog-Server. Die Knoten selbst sind staatenlos und bearbeiten wichtige Anfragen in Round-Robin-Manier, wie von der Cloud geleitet.

                                                                                                                                                  Knoten werden aktiv, wenn Sie sie in Control Hub registrieren. Um einen einzelnen Knoten außer Betrieb zu nehmen, können Sie die Registrierung aufheben und ihn bei Bedarf später erneut registrieren.

                                                                                                                                                  Wir unterstützen nur ein einzelnes Cluster pro Organisation.

                                                                                                                                                  Testmodus für Hybrid-Datensicherheit

                                                                                                                                                  Nachdem Sie eine Bereitstellung für Hybrid-Datensicherheit eingerichtet haben, versuchen Sie es zunächst mit einer Reihe von Pilotbenutzern. Während des Testzeitraums verwenden diese Benutzer Ihre lokale Hybrid-Datensicherheitsdomäne für Verschlüsselungscodes und andere Dienste des Sicherheitsbereichs. Ihre anderen Benutzer verwenden weiterhin den Cloud-Sicherheitsbereich.

                                                                                                                                                  Wenn Sie die Bereitstellung während des Testzeitraums nicht fortsetzen und den Dienst deaktivieren möchten, verlieren die Pilotbenutzer und alle Benutzer, mit denen sie während des Testzeitraums interagiert haben, den Zugriff auf die Nachrichten und Inhalte. Ihnen wird in der Webex-App „Diese Nachricht kann nicht entschlüsselt werden“ angezeigt.

                                                                                                                                                  Wenn Sie überzeugt sind, dass Ihre Bereitstellung für die Testbenutzer gut funktioniert und Sie bereit sind, die Hybrid-Datensicherheit auf alle Ihre Benutzer auszuweiten, verschieben Sie die Bereitstellung in die Produktion. Pilotbenutzer haben weiterhin Zugriff auf die Schlüssel, die während der Testphase verwendet wurden. Sie können jedoch nicht zwischen dem Produktionsmodus und der ursprünglichen Testversion hin- und herwechseln. Wenn Sie den Dienst deaktivieren müssen, um z. B. eine Notfallwiederherstellung durchzuführen, müssen Sie bei der erneuten Aktivierung einen neuen Test starten und die Anzahl der Pilotbenutzer für den neuen Test einrichten, bevor Sie in den Produktionsmodus zurückkehren. Ob die Benutzer zu diesem Zeitpunkt weiterhin Zugriff auf Daten haben, hängt davon ab, ob Sie Backups des Schlüsseldatenspeichers und der ISO-Konfigurationsdatei für die Hybrid-Datensicherheitsknoten in Ihrem Cluster erfolgreich durchgeführt haben.

                                                                                                                                                  Standby-Rechenzentrum für die Notfallwiederherstellung

                                                                                                                                                  Während der Bereitstellung richten Sie ein sicheres Standby-Rechenzentrum ein. Im Falle eines Rechenzentrums-Desasters können Sie Ihre Bereitstellung manuell auf das Standby-Rechenzentrum umlegen.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manuelles Failover zum Standby-Rechenzentrum

                                                                                                                                                  Die Datenbanken der aktiven und Standby-Rechenzentren sind miteinander synchronisiert, wodurch die Zeit für die Durchführung des Failovers minimiert wird. Die ISO-Datei des Standby-Rechenzentrums wird mit zusätzlichen Konfigurationen aktualisiert, die sicherstellen, dass die Knoten in der Organisation registriert sind, aber keinen Datenverkehr verarbeiten. Daher bleiben die Knoten des Standby-Rechenzentrums immer auf dem neuesten Stand mit der neuesten Version der HDS-Software.


                                                                                                                                                   

                                                                                                                                                  Die aktiven Hybrid-Datensicherheitsknoten müssen sich immer im selben Rechenzentrum wie der aktive Datenbankserver befinden.

                                                                                                                                                  Standby-Rechenzentrum für die Notfallwiederherstellung einrichten

                                                                                                                                                  Führen Sie die folgenden Schritte aus, um die ISO-Datei des Standby-Rechenzentrums zu konfigurieren:

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  • Das Standby-Rechenzentrum sollte die Produktionsumgebung von VMs und eine Backup-PostgreSQL- oder Microsoft SQL Server-Datenbank spiegeln. Wenn die Produktion beispielsweise über 3 VMs verfügt, auf denen HDS-Knoten ausgeführt werden, sollte die Backup-Umgebung über 3 VMs verfügen. (Siehe Standby Data Center for Disaster Recovery für eine Übersicht über dieses Failover-Modell.)

                                                                                                                                                  • Stellen Sie sicher, dass die Datenbanksynchronisierung zwischen der Datenbank aktiver und passiver Cluster-Knoten aktiviert ist.

                                                                                                                                                  1

                                                                                                                                                  Starten Sie das HDS-Setup-Tool und befolgen Sie die unter Erstellen einer Konfigurations-ISO für die HDS-Hosts genannten Schritte.


                                                                                                                                                   

                                                                                                                                                  Die ISO-Datei muss eine Kopie der ursprünglichen ISO-Datei des primären Rechenzentrums sein, auf das die folgenden Konfigurationsaktualisierungen vorgenommen werden sollen.

                                                                                                                                                  2

                                                                                                                                                  Klicken Sie nach der Konfiguration des Syslogd-Servers auf Erweiterte Einstellungen

                                                                                                                                                  3

                                                                                                                                                  Fügen Sie auf der Seite Erweiterte Einstellungen unten die Konfiguration hinzu, um den Knoten im passiven Modus zu platzieren. In diesem Modus wird der Knoten in der Organisation registriert und mit der Cloud verbunden, verarbeitet jedoch keinen Datenverkehr.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Schließen Sie den Konfigurationsvorgang ab und speichern Sie die ISO-Datei an einem leicht zu findenden Speicherort.

                                                                                                                                                  5

                                                                                                                                                  Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Halten Sie die Sicherungskopie sicher. Diese Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff nur auf Hybrid-Datensicherheitsadministratoren, die Konfigurationsänderungen vornehmen sollten.

                                                                                                                                                  6

                                                                                                                                                  Klicken Sie im linken Navigationsbereich des VMware vSphere-Clients mit der rechten Maustaste auf die VM und klicken Sie auf Einstellungen bearbeiten..

                                                                                                                                                  7

                                                                                                                                                  Klicken Sie auf Einstellungen bearbeiten > CD/DVD Laufwerk 1 und wählen Sie Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Stellen Sie sicher, dass „Verbunden“ und „Verbindung beim Einschalten“ aktiviert sind, damit aktualisierte Konfigurationsänderungen nach dem Starten der Knoten wirksam werden können.

                                                                                                                                                  8

                                                                                                                                                  Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 15 Minuten lang keine Alarme vorhanden sind.

                                                                                                                                                  9

                                                                                                                                                  Wiederholen Sie den Vorgang für jeden Knoten im Standby-Rechenzentrum.


                                                                                                                                                   

                                                                                                                                                  Überprüfen Sie die Syslogs, um sicherzustellen, dass sich die Knoten im passiven Modus befinden. Sie sollten in der Lage sein, die Meldung „KMS im passiven Modus konfiguriert“ in den Syslogs anzuzeigen.

                                                                                                                                                  Nächste Schritte

                                                                                                                                                  Nach der Konfiguration passiveMode in der ISO-Datei zu speichern, können Sie eine andere Kopie der ISO-Datei ohne die passiveMode konfigurieren und an einem sicheren Speicherort speichern. Diese Kopie der ISO-Datei ohne passiveMode konfiguriert kann bei einem schnellen Failover-Prozess während der Notfallwiederherstellung helfen. Siehe Notfallwiederherstellung mit Standby-Rechenzentrum für das detaillierte Failover-Verfahren.

                                                                                                                                                  Proxy-Unterstützung

                                                                                                                                                  Hybrid Data Security unterstützt explizite, transparente Inspektion und Nicht-Inspektion von Proxys. Sie können diese Proxys mit Ihrer Bereitstellung verknüpfen, sodass Sie den Datenverkehr vom Unternehmen in die Cloud absichern und überwachen können. Sie können eine Plattform-Admin-Oberfläche auf den Knoten für die Zertifikatsverwaltung und zum Überprüfen des allgemeinen Verbindungsstatus verwenden, nachdem Sie den Proxy auf den Knoten eingerichtet haben.

                                                                                                                                                  Die Hybrid-Datensicherheitsknoten unterstützen die folgenden Proxy-Optionen:

                                                                                                                                                  • Kein Proxy – Der Standard, wenn Sie nicht die HDS-Knoteneinrichtung Trust Store- und Proxy-Konfiguration verwenden, um einen Proxy zu integrieren. Es ist keine Zertifikataktualisierung erforderlich.

                                                                                                                                                  • Transparenter Proxy ohne Prüfung – Die Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert und erfordern keine Änderungen, damit sie mit einem Proxy ohne Prüfung funktionieren. Es ist keine Zertifikataktualisierung erforderlich.

                                                                                                                                                  • Transparentes Tunneln oder Prüfen des Proxy – Die Knoten sind nicht so konfiguriert, dass sie eine bestimmte Proxyserver-Adresse verwenden. Auf den Knoten sind keine HTTP- oder HTTPS-Konfigurationsänderungen erforderlich. Die Knoten benötigen jedoch ein Stammzertifikat, damit sie dem Proxy vertrauen können. In der Regel werden Proxys von der IT verwendet, um Richtlinien durchzusetzen, auf denen Websites besucht werden können und welche Arten von Inhalten nicht zulässig sind. Dieser Proxy-Typ entschlüsselt Ihren gesamten Datenverkehr (auch HTTPS).

                                                                                                                                                  • Expliziter Proxy – Mit explizitem Proxy teilen Sie den HDS-Knoten mit, welchen Proxyserver und welches Authentifizierungsschema verwendet werden soll. Um einen expliziten Proxy zu konfigurieren, müssen Sie auf jedem Knoten die folgenden Informationen eingeben:

                                                                                                                                                    1. Proxy-IP/FQDN : Adresse, die zum Erreichen der Proxymaschine verwendet werden kann.

                                                                                                                                                    2. Proxy-Port : Eine Portnummer, die der Proxy für die Überwachung des Proxyverkehrs verwendet.

                                                                                                                                                    3. Proxy-Protokoll : Je nachdem, was Ihr Proxy-Server unterstützt, wählen Sie zwischen den folgenden Protokollen:

                                                                                                                                                      • HTTP – Zeigt alle vom Client gesendeten Anfragen an und steuert sie.

                                                                                                                                                      • HTTPS: Stellt dem Server einen Kanal zur Verfügung. Der Client empfängt und validiert das Zertifikat des Servers.

                                                                                                                                                    4. Authentifizierungstyp : Wählen Sie einen der folgenden Authentifizierungstypen aus:

                                                                                                                                                      • Keine: Es ist keine weitere Authentifizierung erforderlich.

                                                                                                                                                        Verfügbar, wenn Sie HTTP oder HTTPS als Proxy-Protokoll auswählen.

                                                                                                                                                      • Basic – Wird für einen HTTP-Benutzeragenten verwendet, um bei einer Anforderung einen Benutzernamen und ein Kennwort anzugeben. Verwendet Base64-Codierung.

                                                                                                                                                        Verfügbar, wenn Sie HTTP oder HTTPS als Proxy-Protokoll auswählen.

                                                                                                                                                        Erfordert die Eingabe des Benutzernamens und des Kennworts auf den einzelnen Knoten.

                                                                                                                                                      • Ziffer : Wird verwendet, um das Konto zu bestätigen, bevor sensible Informationen gesendet werden. Wendet eine Hash-Funktion auf den Benutzernamen und das Kennwort an, bevor sie über das Netzwerk gesendet werden.

                                                                                                                                                        Nur verfügbar, wenn Sie HTTPS als Proxy-Protokoll auswählen.

                                                                                                                                                        Erfordert die Eingabe des Benutzernamens und des Kennworts auf den einzelnen Knoten.

                                                                                                                                                  Beispiel für hybride Datensicherheitsknoten und Proxy

                                                                                                                                                  Dieses Diagramm zeigt eine Beispielverbindung zwischen der Hybrid-Datensicherheit, dem Netzwerk und einem Proxy. Für die transparenten Inspektions- und HTTPS-Optionen zur expliziten Inspektion von Proxy muss dasselbe Stammzertifikat auf dem Proxy und auf den Hybrid-Datensicherheitsknoten installiert sein.

                                                                                                                                                  Blockierter externer DNS-Auflösungsmodus (Explizite Proxykonfigurationen)

                                                                                                                                                  Wenn Sie einen Knoten registrieren oder die Proxy-Konfiguration des Knotens überprüfen, testet der Prozess die DNS-Suche und die Konnektivität mit der Cisco Webex-Cloud. In Bereitstellungen mit expliziten Proxy-Konfigurationen, die keine externe DNS-Auflösung für interne Clients zulassen, wechselt der Knoten automatisch in den Modus für blockierte externe DNS-Auflösung, wenn er die DNS-Server nicht abfragen kann. In diesem Modus können die Knotenregistrierung und andere Proxy-Verbindungstests fortgesetzt werden.

                                                                                                                                                  Umgebung vorbereiten

                                                                                                                                                  Anforderungen an die Hybrid-Datensicherheit

                                                                                                                                                  Cisco Webex-Lizenzanforderungen

                                                                                                                                                  So stellen Sie die Hybrid-Datensicherheit bereit:

                                                                                                                                                  Docker Desktop-Anforderungen

                                                                                                                                                  Bevor Sie Ihre HDS-Knoten installieren, benötigen Sie Docker Desktop, um ein Setup-Programm auszuführen. Docker hat kürzlich sein Lizenzierungsmodell aktualisiert. Ihre Organisation benötigt möglicherweise ein kostenpflichtiges Abonnement für Docker Desktop. Weitere Informationen finden Sie im Docker-Blog „ Docker aktualisiert und erweitert unsere Produktabonnements ".

                                                                                                                                                  X.509-Zertifikatanforderungen

                                                                                                                                                  Die Zertifikatskette muss die folgenden Anforderungen erfüllen:

                                                                                                                                                  Tabelle 1: X.509-Zertifikatanforderungen für die Bereitstellung der Hybrid-Datensicherheit

                                                                                                                                                  Anforderung

                                                                                                                                                  Details

                                                                                                                                                  • Signiert von einer vertrauenswürdigen Zertifizierungsstelle (CA)

                                                                                                                                                  Standardmäßig vertrauen wir den CAs in der Mozilla-Liste (mit Ausnahme von WoSign und StartCom) auf https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Gibt einen Domänennamen mit allgemeinem Namen (Common Name, CN) an, der Ihre Bereitstellung für die Hybrid-Datensicherheit identifiziert

                                                                                                                                                  • Ist kein Wildcard-Zertifikat

                                                                                                                                                  Der CN muss nicht erreichbar sein oder ein Live-Host sein. Wir empfehlen Ihnen beispielsweise, einen Namen zu verwenden, der Ihre Organisation widerspiegelt. hds.company.com.

                                                                                                                                                  Der CN darf kein * (Platzhalter) enthalten.

                                                                                                                                                  Der CN wird verwendet, um die Hybrid-Datensicherheitsknoten für Webex-App-Clients zu verifizieren. Alle Hybrid-Datensicherheitsknoten in Ihrem Cluster verwenden dasselbe Zertifikat. Ihr KMS identifiziert sich mit der CN-Domäne, nicht mit einer Domäne, die in den SAN-Feldern x.509v3 definiert ist.

                                                                                                                                                  Sobald Sie einen Knoten mit diesem Zertifikat registriert haben, wird das Ändern des CN-Domänennamens nicht unterstützt. Wählen Sie eine Domäne aus, die sowohl für Test- als auch für Produktionsbereitstellungen gelten kann.

                                                                                                                                                  • Nicht-SHA1-Signatur

                                                                                                                                                  Die KMS-Software unterstützt keine SHA1-Signaturen für die Überprüfung von Verbindungen zu KMSs anderer Organisationen.

                                                                                                                                                  • Als passwortgeschützte PKCS #12-Datei formatiert

                                                                                                                                                  • Verwenden Sie den freundlichen Namen von kms-private-key um das Zertifikat, den privaten Schlüssel und alle Zwischenzertifikate zum Hochladen zu markieren.

                                                                                                                                                  Sie können einen Konverter wie OpenSSL verwenden, um das Format Ihres Zertifikats zu ändern.

                                                                                                                                                  Sie müssen das Kennwort eingeben, wenn Sie das HDS-Setup-Tool ausführen.

                                                                                                                                                  Die KMS-Software erzwingt keine Schlüsselnutzung oder erweiterte Schlüsselnutzungsbeschränkungen. Einige Zertifizierungsstellen verlangen, dass für jedes Zertifikat erweiterte Nutzungsbeschränkungen gelten, z. B. Serverauthentifizierung. Es ist in Ordnung, die Server-Authentifizierung oder andere Einstellungen zu verwenden.

                                                                                                                                                  Anforderungen an virtuelle Gastgeber

                                                                                                                                                  Die virtuellen Hosts, die Sie als Hybrid-Datensicherheitsknoten in Ihrem Cluster einrichten, haben die folgenden Anforderungen:

                                                                                                                                                  • Mindestens zwei separate Hosts (3 empfohlen) in demselben sicheren Rechenzentrum

                                                                                                                                                  • VMware ESXi 6.5 (oder höher) installiert und ausgeführt.


                                                                                                                                                     

                                                                                                                                                    Sie müssen ein Upgrade durchführen, wenn Sie über eine frühere ESXi-Version verfügen.

                                                                                                                                                  • Mindestens 4 vCPUs, 8 GB Hauptspeicher, 30 GB lokaler Festplattenspeicher pro Server

                                                                                                                                                  Anforderungen des Datenbankservers


                                                                                                                                                   

                                                                                                                                                  Erstellen Sie eine neue Datenbank für den Schlüsselspeicher. Verwenden Sie nicht die Standarddatenbank. Wenn die HDS-Anwendungen installiert sind, erstellen Sie das Datenbankschema.

                                                                                                                                                  Es gibt zwei Optionen für den Datenbankserver. Die Anforderungen für die einzelnen sind wie folgt:

                                                                                                                                                  Tabelle 2: Anforderungen des Datenbankservers nach Art der Datenbank

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL-Server

                                                                                                                                                  • PostgreSQL 14, 15 oder 16, installiert und ausgeführt.

                                                                                                                                                  • SQL Server 2016, 2017 oder 2019 (Enterprise oder Standard) installiert.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 erfordert Service Pack 2 und kumulatives Update 2 oder höher.

                                                                                                                                                  Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichender Festplattenspeicher und Überwachung, um sicherzustellen, dass er nicht überschritten wird (2 TB empfohlen, wenn Sie die Datenbank für längere Zeit ausführen möchten, ohne den Speicher erhöhen zu müssen)

                                                                                                                                                  Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichender Festplattenspeicher und Überwachung, um sicherzustellen, dass er nicht überschritten wird (2 TB empfohlen, wenn Sie die Datenbank für längere Zeit ausführen möchten, ohne den Speicher erhöhen zu müssen)

                                                                                                                                                  Die HDS-Software installiert derzeit folgende Treiberversionen für die Kommunikation mit dem Datenbankserver:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL-Server

                                                                                                                                                  Postgres JDBC-Treiber 42.2.5

                                                                                                                                                  SQL Server JDBC-Treiber 4.6

                                                                                                                                                  Diese Treiberversion unterstützt SQL Server Always On ( Always On Failover Cluster Instances und Always On Availability Groups ).

                                                                                                                                                  Zusätzliche Anforderungen für die Windows-Authentifizierung gegen Microsoft SQL Server

                                                                                                                                                  Wenn Sie möchten, dass HDS-Knoten die Windows-Authentifizierung verwenden, um Zugriff auf Ihre Keystore-Datenbank auf Microsoft SQL Server zu erhalten, benötigen Sie die folgende Konfiguration in Ihrer Umgebung:

                                                                                                                                                  • Die HDS-Knoten, die Active Directory-Infrastruktur und der MS SQL Server müssen mit NTP synchronisiert werden.

                                                                                                                                                  • Das Windows-Konto, das Sie HDS-Knoten zur Verfügung stellen, muss Lese-/Schreibzugriff auf die Datenbank haben.

                                                                                                                                                  • Die DNS-Server, die Sie den HDS-Knoten bereitstellen, müssen Ihr Key Distribution Center (KDC) auflösen können.

                                                                                                                                                  • Sie können die HDS-Datenbankinstanz auf Ihrem Microsoft SQL Server als Service Principal Name (SPN) in Ihrem Active Directory registrieren. Siehe Einen Service Principal Name für Kerberos Connections registrieren .

                                                                                                                                                    Das HDS-Setup-Tool, der HDS-Launcher und lokale KMS müssen alle die Windows-Authentifizierung verwenden, um auf die Keystore-Datenbank zuzugreifen. Sie verwenden die Details aus Ihrer ISO-Konfiguration, um den SPN zu konstruieren, wenn sie den Zugriff mit Kerberos-Authentifizierung anfordern.

                                                                                                                                                  Anforderungen an externe Konnektivität

                                                                                                                                                  Konfigurieren Sie Ihre Firewall so, dass die folgende Konnektivität für die HDS-Anwendungen zulässig ist:

                                                                                                                                                  Anwendung

                                                                                                                                                  Protokoll

                                                                                                                                                  Port

                                                                                                                                                  Richtung aus der App

                                                                                                                                                  Ziel

                                                                                                                                                  Hybrid-Datensicherheitsknoten

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Ausgehende HTTPS und WSS

                                                                                                                                                  HDS-Setup-Tool

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Ausgehende HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alle Common Identity-Gastgeber

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Die Hybrid-Datensicherheitsknoten funktionieren mit NAT (Network Access Translation) oder hinter einer Firewall, sofern die NAT oder Firewall die erforderlichen ausgehenden Verbindungen zu den Domänenzielen in der vorangehenden Tabelle zulässt. Bei eingehenden Verbindungen zu den Hybrid-Datensicherheitsknoten sollten keine Ports aus dem Internet sichtbar sein. Innerhalb Ihres Rechenzentrums benötigen Clients für administrative Zwecke Zugriff auf die Hybrid-Datensicherheitsknoten an den TCP-Ports 443 und 22.

                                                                                                                                                  Die URLs für die Common Identity (CI)-Hosts sind regionsspezifisch. Dies sind die aktuellen CI-Hosts:

                                                                                                                                                  Region

                                                                                                                                                  Gastgeber-URLs der gemeinsamen Benutzeridentität

                                                                                                                                                  Nord- und Südamerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Europäische Union

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Proxyserver-Anforderungen

                                                                                                                                                  • Wir unterstützen offiziell die folgenden Proxy-Lösungen, die in Ihre hybriden Datensicherheitsknoten integriert werden können.

                                                                                                                                                    • Transparenter Proxy: Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Expliziter Proxy: Squid.


                                                                                                                                                       

                                                                                                                                                      Squid-Proxys, die HTTPS-Datenverkehr prüfen, können die Einrichtung von Websocket beeinträchtigen (wss:) Verbindungen. Informationen zur Behebung dieses Problems finden Sie unter Konfigurieren von Squid-Proxys für Hybrid Data Security .

                                                                                                                                                  • Wir unterstützen die folgenden Authentifizierungstyp-Kombinationen für explizite Proxys:

                                                                                                                                                    • Keine Authentifizierung mit HTTP oder HTTPS

                                                                                                                                                    • Basisauthentifizierung mit HTTP oder HTTPS

                                                                                                                                                    • Digest-Authentifizierung nur mit HTTPS

                                                                                                                                                  • Für einen transparenten Prüfproxy oder einen expliziten HTTPS-Proxy müssen Sie über eine Kopie des Stammzertifikats des Proxys verfügen. In den Bereitstellungsanweisungen in diesem Handbuch erfahren Sie, wie Sie die Kopie in die Vertrauensspeicher der Hybrid-Datensicherheitsknoten hochladen.

                                                                                                                                                  • Das Netzwerk, das die HDS-Knoten hostet, muss so konfiguriert werden, dass ausgehender TCP-Datenverkehr auf Port 443 zur Weiterleitung durch den Proxy erzwungen wird.

                                                                                                                                                  • Proxys, die den Web-Datenverkehr überprüfen, können Web-Socket-Verbindungen stören. Wenn dieses Problem auftritt, den Datenverkehr umgehen (nicht kontrollieren) zu wbx2.com und ciscospark.com wird das Problem lösen.

                                                                                                                                                  Vervollständigen der Voraussetzungen für die Hybrid-Datensicherheit

                                                                                                                                                  Verwenden Sie diese Checkliste, um sicherzustellen, dass Sie bereit für die Installation und Konfiguration Ihres Hybrid-Datensicherheitsclusters sind.
                                                                                                                                                  1

                                                                                                                                                  Stellen Sie sicher, dass Ihre Webex-Organisation für Pro Pack für Cisco Webex Control Hub aktiviert ist, und erhalten Sie die Anmeldeinformationen eines Kontos mit vollständigen Administratorrechten für die Organisation. Wenden Sie sich an Ihren Cisco-Partner oder Account Manager, um Hilfe bei diesem Vorgang zu erhalten.

                                                                                                                                                  2

                                                                                                                                                  Wählen Sie einen Domänennamen für Ihre HDS-Bereitstellung (z. B. hds.company.com) und erhalten Sie eine Zertifikatskette mit einem X.509-Zertifikat, einem privaten Schlüssel und Zwischenzertifikaten. Die Zertifikatskette muss die Anforderungen in X.509 Zertifikatanforderungen erfüllen.

                                                                                                                                                  3

                                                                                                                                                  Bereiten Sie identische virtuelle Hosts vor, die Sie als Hybrid-Datensicherheitsknoten in Ihrem Cluster einrichten. Sie benötigen mindestens zwei separate Hosts (3 empfohlen) in demselben sicheren Rechenzentrum, die die Anforderungen unter „Anforderungen an virtuelle Hosts“ erfüllen.

                                                                                                                                                  4

                                                                                                                                                  Bereiten Sie den Datenbankserver vor, der als Schlüsseldatenspeicher für den Cluster fungieren wird, gemäß den Anforderungen des Datenbankservers . Der Datenbankserver muss im sicheren Rechenzentrum mit den virtuellen Hosts verbunden sein.

                                                                                                                                                  1. Erstellen Sie eine Datenbank für die Schlüsselspeicherung. (Sie müssen diese Datenbank erstellen. Verwenden Sie nicht die Standarddatenbank. Wenn die HDS-Anwendungen installiert sind, erstellen Sie das Datenbankschema.)

                                                                                                                                                  2. Erfassen Sie die Details, die die Knoten für die Kommunikation mit dem Datenbankserver verwenden:

                                                                                                                                                    • Hostname oder IP-Adresse (Host) und Port

                                                                                                                                                    • der Name der Datenbank (dbname) für die Schlüsselspeicherung

                                                                                                                                                    • Benutzername und Kennwort eines Benutzers mit allen Berechtigungen in der Schlüsselspeicherdatenbank

                                                                                                                                                  5

                                                                                                                                                  Richten Sie für eine schnelle Notfallwiederherstellung eine Sicherungsumgebung in einem anderen Rechenzentrum ein. Die Backup-Umgebung spiegelt die Produktionsumgebung von VMs und einem Backup-Datenbankserver wider. Wenn die Produktion beispielsweise über 3 VMs verfügt, auf denen HDS-Knoten ausgeführt werden, sollte die Sicherungsumgebung über 3 VMs verfügen.

                                                                                                                                                  6

                                                                                                                                                  Richten Sie einen Syslog-Host ein, um Protokolle von den Knoten im Cluster zu erfassen. Erfassen Sie die Netzwerkadresse und den Syslog-Port (standardmäßig UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Erstellen Sie eine sichere Sicherungsrichtlinie für die Hybrid-Datensicherheitsknoten, den Datenbankserver und den Syslog-Host. Um nicht wiederherstellbaren Datenverlust zu vermeiden, müssen Sie mindestens die Datenbank und die KonfigurationsISO-Datei sichern, die für die Hybrid-Datensicherheitsknoten generiert wurde.


                                                                                                                                                   

                                                                                                                                                  Da die Hybrid-Datensicherheitsknoten die für die Ver- und Entschlüsselung von Inhalten verwendeten Schlüssel speichern, führt das Versagen einer betrieblichen Bereitstellung zu einem NICHT WIEDERHERSTELLBAREN VERLUST dieses Inhalts.

                                                                                                                                                  Webex-App-Clients speichern ihre Schlüssel im Cache, sodass ein Ausfall nicht sofort erkennbar ist, sich aber im Laufe der Zeit bemerkbar macht. Während vorübergehende Ausfälle nicht zu verhindern sind, sind sie wiedergutzumachen. Der vollständige Verlust (keine Backups verfügbar) der Datenbank oder der ISO-Konfigurationsdatei führt jedoch zu nicht wiederherstellbaren Kundendaten. Von den Betreibern der Hybrid-Datensicherheitsknoten wird erwartet, dass sie häufige Backups der Datenbank und der ISO-Konfigurationsdatei führen und bereit sind, das Hybrid-Datensicherheitsrechenzentrum bei einem katastrophalen Ausfall neu zu erstellen.

                                                                                                                                                  8

                                                                                                                                                  Stellen Sie sicher, dass Ihre Firewall-Konfiguration Verbindungen für Ihre Hybrid-Datensicherheitsknoten zulässt, wie unter „Externe Verbindungsanforderungen“ beschrieben.

                                                                                                                                                  9

                                                                                                                                                  Installieren Sie Docker ( https://www.docker.com) auf jedem lokalen Computer mit einem unterstützten Betriebssystem (Microsoft Windows 10 Professional oder Enterprise 64-Bit oder Mac OSX Yosemite 10.10.3 oder höher) mit einem Webbrowser, der auf ihn zugreifen kann unter http://127.0.0.1:8080.

                                                                                                                                                  Sie verwenden die Docker-Instanz, um das HDS-Setup-Tool herunterzuladen und auszuführen, das die lokalen Konfigurationsinformationen für alle Hybrid-Datensicherheitsknoten erstellt. Möglicherweise benötigt Ihre Organisation eine Docker Desktop-Lizenz. Weitere Informationen finden Sie unter Docker Desktop-Anforderungen .

                                                                                                                                                  Um das HDS Setup Tool zu installieren und auszuführen, muss die lokale Maschine über die unter „Externe Verbindungsanforderungen“ beschriebene Konnektivität verfügen.

                                                                                                                                                  10

                                                                                                                                                  Wenn Sie einen Proxy in Hybrid Data Security integrieren, stellen Sie sicher, dass er die Proxyserveranforderungen erfüllt.

                                                                                                                                                  11

                                                                                                                                                  Wenn Ihre Organisation die Verzeichnissynchronisierung verwendet, erstellen Sie eine Gruppe im Active Directory mit dem Namen HdsTrialGroup, und Pilotbenutzer hinzufügen. Die Testgruppe kann bis zu 250 Benutzer haben. Die Datei HdsTrialGroup muss mit der Cloud synchronisiert werden, bevor Sie eine Testversion für Ihre Organisation starten können. Um ein Gruppenobjekt zu synchronisieren, wählen Sie es im Konfiguration > Objektauswahl Menü. (Detaillierte Anweisungen finden Sie im Bereitstellungshandbuch für Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Schlüssel für einen bestimmten Bereich werden vom Ersteller des Bereichs festgelegt. Beachten Sie bei der Auswahl von Pilotbenutzern, dass alle Benutzer den Zugriff auf Inhalte in den Bereichen verlieren, die von den Pilotbenutzern erstellt wurden, wenn Sie die Hybrid-Datensicherheitsbereitstellung dauerhaft deaktivieren. Der Verlust wird sichtbar, sobald die Apps der Benutzer ihre zwischengespeicherten Kopien der Inhalte aktualisieren.

                                                                                                                                                  Einrichten eines Hybrid-Datensicherheitsclusters

                                                                                                                                                  Ablauf der Bereitstellungsaufgabe für Hybrid-Datensicherheit

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  Umgebung vorbereiten

                                                                                                                                                  1

                                                                                                                                                  Installationsdateien herunterladen

                                                                                                                                                  Laden Sie die OVA-Datei für eine spätere Verwendung auf Ihren lokalen Computer herunter.

                                                                                                                                                  2

                                                                                                                                                  Erstellen einer Konfigurations-ISO für die HDS-Hosts

                                                                                                                                                  Verwenden Sie das HDS-Setup-Tool, um eine ISO-Konfigurationsdatei für die Hybrid-Datensicherheitsknoten zu erstellen.

                                                                                                                                                  3

                                                                                                                                                  Installieren der HDS-Host-OVA

                                                                                                                                                  Erstellen Sie eine virtuelle Maschine aus der OVA-Datei und führen Sie die Erstkonfiguration durch, z. B. Netzwerkeinstellungen.


                                                                                                                                                   

                                                                                                                                                  Die Option zum Konfigurieren von Netzwerkeinstellungen während der OVA-Bereitstellung wurde mit ESXi 6.5 getestet. Die Option ist in früheren Versionen möglicherweise nicht verfügbar.

                                                                                                                                                  4

                                                                                                                                                  Einrichten der Hybrid-DatensicherheitsVM

                                                                                                                                                  Melden Sie sich bei der VM-Konsole an und legen Sie die Anmeldeinformationen fest. Konfigurieren Sie die Netzwerkeinstellungen für den Knoten, wenn Sie sie zum Zeitpunkt der OVA-Bereitstellung nicht konfiguriert haben.

                                                                                                                                                  5

                                                                                                                                                  Hochladen und Einhängen der HDS-KonfigurationsISO

                                                                                                                                                  Konfigurieren Sie die VM über die ISO-Konfigurationsdatei, die Sie mit dem HDS Setup Tool erstellt haben.

                                                                                                                                                  6

                                                                                                                                                  Konfigurieren des HDS-Knotens für die Proxyintegration

                                                                                                                                                  Wenn die Netzwerkumgebung eine Proxy-Konfiguration erfordert, geben Sie den Proxy-Typ an, den Sie für den Knoten verwenden möchten, und fügen Sie das Proxy-Zertifikat bei Bedarf dem Vertrauensspeicher hinzu.

                                                                                                                                                  7

                                                                                                                                                  Registrieren des ersten Knotens im Cluster

                                                                                                                                                  Registrieren Sie die VM mit der Cisco Webex-Cloud als Hybrid-Datensicherheitsknoten.

                                                                                                                                                  8

                                                                                                                                                  Weitere Knoten erstellen und registrieren

                                                                                                                                                  Schließen Sie die Cluster-Einrichtung ab.

                                                                                                                                                  9

                                                                                                                                                  Ausführen einer Testversion und Verschieben in Produktion (nächstes Kapitel)

                                                                                                                                                  Bis Sie einen Test starten, erzeugen Ihre Knoten einen Alarm, der angibt, dass Ihr Dienst noch nicht aktiviert ist.

                                                                                                                                                  Installationsdateien herunterladen

                                                                                                                                                  Bei dieser Aufgabe laden Sie eine OVA-Datei auf Ihren Computer herunter (nicht auf die Server, die Sie als Hybrid-Datensicherheitsknoten einrichten). Sie verwenden diese Datei später im Installationsprozess.
                                                                                                                                                  1

                                                                                                                                                  Melden Sie sich bei https://admin.webex.com an und klicken Sie dann auf Services .

                                                                                                                                                  2

                                                                                                                                                  Suchen Sie im Abschnitt Hybrid-Dienste nach der Hybrid-Datensicherheitskarte und klicken Sie auf Einrichten .

                                                                                                                                                  Wenn die Karte deaktiviert ist oder Sie sie nicht sehen, wenden Sie sich an Ihr Kontoteam oder Ihre Partnerorganisation. Geben Sie ihnen Ihre Kontonummer und bitten Sie sie, Ihre Organisation für Hybrid-Datensicherheit zu aktivieren. Um die Kontonummer zu finden, klicken Sie oben rechts neben dem Namen Ihrer Organisation auf das Zahnrad.


                                                                                                                                                   

                                                                                                                                                  Sie können die OVA auch jederzeit über den Abschnitt Hilfe auf der Seite Einstellungen herunterladen. Klicken Sie auf der Hybrid-Datensicherheitskarte auf Einstellungen bearbeiten , um die Seite zu öffnen. Klicken Sie dann auf Download Hybrid Data Security software im Abschnitt Hilfe .


                                                                                                                                                   

                                                                                                                                                  Ältere Versionen des Softwarepakets (OVA) sind nicht mit den neuesten Upgrades für die Hybrid-Datensicherheit kompatibel. Dies kann zu Problemen während des Upgrades der Anwendung führen. Stellen Sie sicher, dass Sie die neueste Version der OVA-Datei herunterladen.

                                                                                                                                                  3

                                                                                                                                                  Wählen Sie No aus, um anzugeben, dass Sie den Knoten noch nicht eingerichtet haben, und klicken Sie dann auf Next .

                                                                                                                                                  Die OVA-Datei wird automatisch heruntergeladen. Speichern Sie die Datei an einem Speicherort auf Ihrem Computer.
                                                                                                                                                  4

                                                                                                                                                  Klicken Sie optional auf Bereitstellungsleitfaden öffnen , um zu überprüfen, ob eine neuere Version dieses Leitfadens verfügbar ist.

                                                                                                                                                  Erstellen einer Konfigurations-ISO für die HDS-Hosts

                                                                                                                                                  Der Einrichtungsprozess für die Hybrid-Datensicherheit erstellt eine ISO-Datei. Anschließend verwenden Sie ISO, um Ihren Hybrid-Datensicherheitshost zu konfigurieren.

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  • Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zuzugreifen, führen Sie Docker auf diesem Computer aus. Für die Einrichtung sind die Anmeldeinformationen eines Control Hub-Kontos mit vollständigen Administratorrechten für Ihre Organisation erforderlich.

                                                                                                                                                    Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxyeinstellungen (Server, Port, Anmeldeinformationen) über Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in Schritt 5 öffnen. In dieser Tabelle sind einige mögliche Umgebungsvariablen aufgeführt:

                                                                                                                                                    Beschreibung

                                                                                                                                                    Variable

                                                                                                                                                    HTTP-Proxy ohne Authentifizierung

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-Proxy ohne Authentifizierung

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-Proxy mit Authentifizierung

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-Proxy mit Authentifizierung

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Die von Ihnen generierte ISO-Konfigurationsdatei enthält den Master-Schlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die neueste Kopie dieser Datei, wenn Sie Konfigurationsänderungen vornehmen, z. B.:

                                                                                                                                                    • Datenbankanmeldeinformationen

                                                                                                                                                    • Zertifikatsaktualisierungen

                                                                                                                                                    • Änderungen an Autorisierungsrichtlinie

                                                                                                                                                  • Wenn Sie Datenbankverbindungen verschlüsseln möchten, richten Sie Ihre PostgreSQL- oder SQL Server-Bereitstellung für TLS ein.

                                                                                                                                                  1

                                                                                                                                                  Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

                                                                                                                                                  In normalen Umgebungen:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  In FedRAMP-Umgebungen:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Dieser Schritt bereinigt vorherige HDS-Setup-Tool-Images. Wenn keine vorherigen Bilder vorhanden sind, wird ein Fehler zurückgegeben, den Sie ignorieren können.

                                                                                                                                                  2

                                                                                                                                                  Geben Sie Folgendes ein, um sich bei der Docker-Image-Registrierung anzumelden:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Geben Sie bei der Passworteingabe diesen Hashwert ein:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Laden Sie das neueste stabile Image für Ihre Umgebung herunter:

                                                                                                                                                  In normalen Umgebungen:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  In FedRAMP-Umgebungen:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Geben Sie nach Abschluss des Pull-Vorgangs den entsprechenden Befehl für Ihre Umgebung ein:

                                                                                                                                                  • In regulären Umgebungen ohne Proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • In regulären Umgebungen mit einem HTTP-Proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In regulären Umgebungen mit einem HTTPS-Proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In FedRAMP-Umgebungen ohne Proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Wenn der Container ausgeführt wird, wird „Express-Server überwacht Port 8080“ angezeigt.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Das Setup-Tool unterstützt nicht die Verbindung mit localhost über http://localhost:8080 . Verwenden Sie http://127.0.0.1:8080 , um eine Verbindung zum Localhost herzustellen.

                                                                                                                                                  Navigieren Sie über einen Webbrowser zum Localhost, http://127.0.0.1:8080 und geben Sie den Benutzernamen des Kundenadministrators für Control Hub an der Eingabeaufforderung ein.

                                                                                                                                                  Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto festzulegen. Das Tool zeigt dann die Standardanmeldeaufforderung an.

                                                                                                                                                  7

                                                                                                                                                  Wenn Sie dazu aufgefordert werden, geben Sie die Anmeldeinformationen für den Control Hub-Kundenadministrator ein und klicken Sie dann auf Anmelden , um den Zugriff auf die für die Hybrid-Datensicherheit erforderlichen Dienste zu ermöglichen.

                                                                                                                                                  8

                                                                                                                                                  Klicken Sie auf der Setup-Tool-Übersichtsseite auf Erste Schritte .

                                                                                                                                                  9

                                                                                                                                                  Auf der Seite ISO Import stehen Ihnen folgende Optionen zur Verfügung:

                                                                                                                                                  • Nein – Wenn Sie Ihren ersten HDS-Knoten erstellen, müssen Sie keine ISO-Datei hochladen.
                                                                                                                                                  • Ja – Wenn Sie bereits HDS-Knoten erstellt haben, wählen Sie Ihre ISO-Datei im Durchsuchen aus und laden Sie sie hoch.
                                                                                                                                                  10

                                                                                                                                                  Überprüfen Sie, ob Ihr X.509-Zertifikat die Anforderungen unter X.509-Zertifikatanforderungen erfüllt.

                                                                                                                                                  • Wenn Sie noch nie ein Zertifikat hochgeladen haben, laden Sie das X.509-Zertifikat hoch, geben Sie das Passwort ein und klicken Sie auf Weiter .
                                                                                                                                                  • Wenn Ihr Zertifikat in Ordnung ist, klicken Sie auf Weiter .
                                                                                                                                                  • Wenn Ihr Zertifikat abgelaufen ist oder Sie es ersetzen möchten, wählen Sie No für Continue using HDS certificate chain and private key from previous ISO?. Laden Sie ein neues X.509-Zertifikat hoch, geben Sie das Kennwort ein und klicken Sie auf „Weiter“ .
                                                                                                                                                  11

                                                                                                                                                  Geben Sie die Datenbankadresse und das Konto für HDS ein, um auf Ihren wichtigen Datenspeicher zuzugreifen:

                                                                                                                                                  1. Wählen Sie den Datenbanktyp ( PostgreSQL oder Microsoft SQL Server ) aus.

                                                                                                                                                    Wenn Sie „Microsoft SQL Server“ auswählen, wird das Feld „Authentifizierungstyp“ angezeigt.

                                                                                                                                                  2. ( nur Microsoft SQL Server ) Wählen Sie Ihren Authentifizierungstyp :

                                                                                                                                                    • Standardauthentifizierung : Sie benötigen einen lokalen SQL Server-Kontonamen im Feld Benutzername .

                                                                                                                                                    • Windows-Authentifizierung : Sie benötigen ein Windows-Konto im Format username@DOMAIN im Feld Benutzername ein.

                                                                                                                                                  3. Geben Sie die Adresse des Datenbankservers in das Formular ein <hostname>:<port> oder <IP-address>:<port>.

                                                                                                                                                    Beispiel:
                                                                                                                                                    dbhost.example.org:1433 oder 198.51.100.17:1433

                                                                                                                                                    Sie können eine IP-Adresse für die Basisauthentifizierung verwenden, wenn die Knoten keinen DNS verwenden können, um den Host-Namen aufzulösen.

                                                                                                                                                    Wenn Sie die Windows-Authentifizierung verwenden, müssen Sie einen vollständig qualifizierten Domänennamen im folgenden Format eingeben: dbhost.example.org:1433

                                                                                                                                                  4. Geben Sie den Datenbanknamen ein.

                                                                                                                                                  5. Geben Sie den Benutzernamen und das Kennwort eines Benutzers mit allen Berechtigungen in der Schlüsselspeicherdatenbank ein.

                                                                                                                                                  12

                                                                                                                                                  Wählen Sie einen TLS-Datenbankverbindungsmodus :

                                                                                                                                                  Modus

                                                                                                                                                  Beschreibung

                                                                                                                                                  TLS bevorzugen (Standardoption)

                                                                                                                                                  HDS-Knoten benötigen kein TLS , um eine Verbindung mit dem Datenbankserver. Wenn Sie TLS auf dem Datenbankserver aktivieren, versuchen die Knoten, eine verschlüsselte Verbindung herzustellen.

                                                                                                                                                  TLS erforderlich

                                                                                                                                                  HDS-Knoten stellen nur dann eine Verbindung her, wenn der Datenbankserver TLS aushandeln kann.

                                                                                                                                                  TLS fordern und Zertifikatsignierer überprüfen


                                                                                                                                                   

                                                                                                                                                  Dieser Modus gilt nicht für SQL Server-Datenbanken.

                                                                                                                                                  • HDS-Knoten stellen nur dann eine Verbindung her, wenn der Datenbankserver TLS aushandeln kann.

                                                                                                                                                  • Nach dem Herstellen einer TLS-Verbindung vergleicht der Knoten den Unterzeichner des Zertifikats vom Datenbankserver mit der Zertifizierungsstelle im Datenbankstammzertifikat . Wenn sie nicht übereinstimmen, trennt der Knoten die Verbindung.

                                                                                                                                                  Verwenden Sie den Datenbank Stammzertifikat unter der Dropdown-Liste, um das Stammzertifikat für diese Option hochzuladen.

                                                                                                                                                  TLS anfordern und Zertifikatsignierer und Host-Name überprüfen

                                                                                                                                                  • HDS-Knoten stellen nur dann eine Verbindung her, wenn der Datenbankserver TLS aushandeln kann.

                                                                                                                                                  • Nach dem Herstellen einer TLS-Verbindung vergleicht der Knoten den Unterzeichner des Zertifikats vom Datenbankserver mit der Zertifizierungsstelle im Datenbankstammzertifikat . Wenn sie nicht übereinstimmen, trennt der Knoten die Verbindung.

                                                                                                                                                  • Die Knoten stellen außerdem sicher, dass der Hostname im Serverzertifikat mit dem Hostnamen im Feld Datenbankhost und Port übereinstimmt. Die Namen müssen genau übereinstimmen oder der Knoten trennt die Verbindung.

                                                                                                                                                  Verwenden Sie den Datenbank Stammzertifikat unter der Dropdown-Liste, um das Stammzertifikat für diese Option hochzuladen.

                                                                                                                                                  Wenn Sie das Stammzertifikat hochladen (falls erforderlich) und auf Weiter klicken, testet das HDS-Setup-Tool die TLS-Verbindung zum Datenbankserver. Das Tool überprüft auch den Unterzeichner des Zertifikats und den Host-Name, falls zutreffend. Wenn ein Test fehlschlägt, zeigt das Tool eine Fehlermeldung an, in der das Problem beschrieben wird. Sie können auswählen, ob Sie den Fehler ignorieren und mit der Einrichtung fortfahren möchten. (Aufgrund von Konnektivitätsunterschieden können die HDS-Knoten möglicherweise die TLS-Verbindung herstellen, auch wenn die HDS Setup Tool-Maschine sie nicht erfolgreich testen kann.)

                                                                                                                                                  13

                                                                                                                                                  Konfigurieren Sie auf der Seite "Systemprotokolle" Ihren Syslogd-Server:

                                                                                                                                                  1. Geben Sie die Syslog-Server-URL ein.

                                                                                                                                                    Wenn der Server nicht DNS-auflösbar von den Knoten für Ihren HDS-Cluster ist, verwenden Sie eine IP-Adresse in der URL.

                                                                                                                                                    Beispiel:
                                                                                                                                                    udp://10.92.43.23:514 zeigt die Protokollierung an Syslogd-Host 10.92.43.23 auf UDP-Port 514 an.
                                                                                                                                                  2. Wenn Sie Ihren Server für die Verwendung der TLS-Verschlüsselung konfigurieren, aktivieren Sie die Option Ist Ihr Syslog-Server für die SSL-Verschlüsselung konfiguriert?.

                                                                                                                                                    Wenn Sie dieses Kontrollkästchen aktivieren, stellen Sie sicher, dass Sie eine TCP-URL eingeben, z. B. tcp://10.92.43.23:514.

                                                                                                                                                  3. Wählen Sie in der Dropdown-Liste Syslog-Datensatzbeendigung auswählen die entsprechende Einstellung für Ihre ISO-Datei aus: Wählen oder Neuleitung wird für Graylog- und Rsyslog-TCP verwendet

                                                                                                                                                    • Null-Byte – \x00

                                                                                                                                                    • Neuzeile – \n – Wählen Sie diese Option für Graylog und Rsyslog TCP aus.

                                                                                                                                                  4. Klicken Sie auf Weiter.

                                                                                                                                                  14

                                                                                                                                                  (Optional) Sie können den Standardwert für einige Datenbankverbindungsparameter unter „Erweiterte Einstellungen“ ändern. Im Allgemeinen ist dieser Parameter der einzige, den Sie ändern möchten:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klicken Sie auf „Weiter“ im Bildschirm „Dienstkonten-Passwort zurücksetzen “.

                                                                                                                                                  Passwörter für Dienstkonten haben eine Lebensdauer von neun Monaten. Verwenden Sie diesen Bildschirm, wenn Ihre Passwörter bald ablaufen oder Sie sie zurücksetzen möchten, um frühere ISO-Dateien ungültig zu machen.

                                                                                                                                                  16

                                                                                                                                                  Klicken Sie auf ISO-Datei herunterladen . Speichern Sie die Datei an einem leicht auffindbaren Speicherort.

                                                                                                                                                  17

                                                                                                                                                  Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System.

                                                                                                                                                  Halten Sie die Sicherungskopie sicher. Diese Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff nur auf Hybrid-Datensicherheitsadministratoren, die Konfigurationsänderungen vornehmen sollten.

                                                                                                                                                  18

                                                                                                                                                  Geben Sie zum Herunterfahren des Setup-Tools CTRL+C.

                                                                                                                                                  Nächste Schritte

                                                                                                                                                  Sichern Sie die ISO-Konfigurationsdatei. Sie benötigen sie, um weitere Knoten für die Wiederherstellung zu erstellen oder Konfigurationsänderungen vorzunehmen. Wenn Sie alle Kopien der ISO-Datei verlieren, haben Sie auch den Master-Schlüssel verloren. Das Wiederherstellen der Schlüssel aus Ihrer PostgreSQL- oder Microsoft SQL Server-Datenbank ist nicht möglich.


                                                                                                                                                   

                                                                                                                                                  Wir haben nie eine Kopie dieses Schlüssels und können nicht helfen, wenn Sie ihn verlieren.

                                                                                                                                                  Installieren der HDS-Host-OVA

                                                                                                                                                  Verwenden Sie dieses Verfahren, um eine virtuelle Maschine aus der OVA-Datei zu erstellen.
                                                                                                                                                  1

                                                                                                                                                  Melden Sie sich mit dem VMware vSphere-Client auf Ihrem Computer beim virtuellen ESXi-Host an.

                                                                                                                                                  2

                                                                                                                                                  Wählen Sie Datei > OVF-Vorlage bereitstellen aus.

                                                                                                                                                  3

                                                                                                                                                  Geben Sie im Assistenten den Speicherort der OVA-Datei an, die Sie zuvor heruntergeladen haben, und klicken Sie dann auf Weiter .

                                                                                                                                                  4

                                                                                                                                                  Auf der Wählen Sie einen Namen und Ordner aus Seite, geben Sie einen Name der virtuellen Maschine Wählen Sie für den Knoten (z. B. „HDS _ N ode_ 1“) einen Standort aus, an dem sich die Bereitstellung des Knotens der virtuellen Maschine befinden kann, und klicken Sie dann auf Weiter .

                                                                                                                                                  5

                                                                                                                                                  Auf der Berechnungsressource auswählen Seite, wählen Sie die Zielberechnungsressource aus, und klicken Sie dann auf Weiter .

                                                                                                                                                  Eine Validierungsprüfung wird durchgeführt. Nach dem Abschluss werden die Vorlagendetails angezeigt.

                                                                                                                                                  6

                                                                                                                                                  Überprüfen Sie die Vorlagendetails und klicken Sie dann auf Weiter .

                                                                                                                                                  7

                                                                                                                                                  Wenn Sie aufgefordert werden, die Ressourcenkonfiguration auf dem Konfiguration Seite, klicken Sie auf <UNK> 4 CPU <UNK> und klicken Sie dann auf Weiter .

                                                                                                                                                  8

                                                                                                                                                  Auf der Speicher auswählen Seite, klicken Sie auf Weiter um das Standard-Festplattenformat und die VM-Speicherrichtlinie zu akzeptieren.

                                                                                                                                                  9

                                                                                                                                                  Auf der Netzwerke auswählen wählen Sie die Netzwerkoption aus der Liste der Einträge aus, um die gewünschte Konnektivität für die VM bereitzustellen.

                                                                                                                                                  10

                                                                                                                                                  Konfigurieren Sie auf der Seite Vorlage anpassen die folgenden Netzwerkeinstellungen:

                                                                                                                                                  • Host-Name : Geben Sie den FQDN (Host-Name und Domäne) oder einen einzelnen Word-Host-Namen für den Knoten ein.

                                                                                                                                                     
                                                                                                                                                    • Sie müssen die Domäne nicht mit der Domäne übereinstimmen, mit der Sie das X.509-Zertifikat erhalten haben.

                                                                                                                                                    • Um eine erfolgreiche Registrierung in der Cloud sicherzustellen, verwenden Sie im FQDN oder Hostnamen, den Sie für den Knoten festgelegt haben, nur Kleinbuchstaben. Großbuchstaben werden derzeit nicht unterstützt.

                                                                                                                                                    • Der FQDN darf insgesamt nicht länger als 64 Zeichen sein.

                                                                                                                                                  • IP-Adresse – Geben Sie die IP-Adresse für die interne Schnittstelle des Knotens ein.

                                                                                                                                                     

                                                                                                                                                    Ihr Knoten sollte eine interne IP-Adresse und einen DNS-Namen haben. DHCP wird nicht unterstützt.

                                                                                                                                                  • Maske – Geben Sie die Adresse der Subnetzmaske in Punkt-Dezimalnotation ein. Beispiel: 255.255.255.0 .
                                                                                                                                                  • Gateway – Geben Sie die Gateway-IP-Adresse ein. Ein Gateway ist ein Netzwerkknoten, der als Access Point zu einem anderen Netzwerk dient.
                                                                                                                                                  • DNS-Server: Geben Sie eine durch Komma getrennte Liste von DNS-Servern ein, die Domänennamen in numerische IP-Adressen übersetzen. (Bis zu 4 DNS-Einträge sind zulässig.)
                                                                                                                                                  • NTP-Server – Geben Sie den NTP-Server Ihrer Organisation oder einen anderen externen NTP-Server ein, der in Ihrer Organisation verwendet werden kann. Die Standard-NTP-Server funktionieren möglicherweise nicht für alle Unternehmen. Sie können auch eine durch Kommas getrennte Liste verwenden, um mehrere NTP-Server einzugeben.
                                                                                                                                                  • Stellen Sie alle Knoten im gleichen Subnetz oder VLAN bereit, sodass alle Knoten in einem Cluster zu administrativen Zwecken von Clients in Ihrem Netzwerk erreichbar sind.

                                                                                                                                                  Falls bevorzugt, können Sie die Konfiguration der Netzwerkeinstellungen überspringen und die Schritte unter Einrichten der Hybrid Data Security VM ausführen, um die Einstellungen über die Knotenkonsole zu konfigurieren.


                                                                                                                                                   

                                                                                                                                                  Die Option zum Konfigurieren von Netzwerkeinstellungen während der OVA-Bereitstellung wurde mit ESXi 6.5 getestet. Die Option ist in früheren Versionen möglicherweise nicht verfügbar.

                                                                                                                                                  11

                                                                                                                                                  Klicken Sie mit der rechten Maustaste auf die Knoten-VM, und wählen Sie Einschalten > Einschalten .

                                                                                                                                                  Die Hybrid Data Security-Software wird als Gast auf dem VM-Host installiert. Sie können sich jetzt bei der Konsole anmelden und den Knoten konfigurieren.

                                                                                                                                                  Tipps zur Fehlerbehebung

                                                                                                                                                  Es kann zu einer Verzögerung von einigen Minuten kommen, bis die Knotencontainer angezeigt werden. Beim erstmaligen Start wird eine Bridge-Firewall-Nachricht angezeigt, während der Sie sich anmelden können.

                                                                                                                                                  Einrichten der Hybrid-DatensicherheitsVM

                                                                                                                                                  Mit diesem Verfahren können Sie sich zum ersten Mal bei der VM-Konsole des Hybrid-Datensicherheitsknotens anmelden und die Anmeldeinformationen festlegen. Sie können auch die Konsole verwenden, um die Netzwerkeinstellungen für den Knoten zu konfigurieren, wenn Sie sie zum Zeitpunkt der OVA-Bereitstellung nicht konfiguriert haben.

                                                                                                                                                  1

                                                                                                                                                  Wählen Sie im VMware vSphere-Client Ihre VM mit Hybrid-Datensicherheitsknoten und anschließend die Registerkarte Konsole aus.

                                                                                                                                                  Die VM wird gestartet und eine Anmeldeaufforderung wird angezeigt. Drücken Sie die Eingabetaste, falls der Anmeldebildschirm nicht angezeigt wird.
                                                                                                                                                  2

                                                                                                                                                  Verwenden Sie die folgenden Standard-Anmeldedaten und das Passwort, um sich anzumelden und die Anmeldedaten zu ändern:

                                                                                                                                                  1. Benutzername: admin

                                                                                                                                                  2. Passwort: cisco

                                                                                                                                                  Da Sie sich zum ersten Mal bei Ihrer VM anmelden, müssen Sie das Administratorpasswort ändern.

                                                                                                                                                  3

                                                                                                                                                  Wenn Sie die Netzwerkeinstellungen bereits unter Installieren Sie die HDS-Host-OVA konfiguriert haben, überspringen Sie den Rest dieses Verfahrens. Andernfalls wählen Sie im Hauptmenü die Option Konfiguration bearbeiten aus.

                                                                                                                                                  4

                                                                                                                                                  Richten Sie eine statische Konfiguration mit IP-Adresse, Maske, Gateway- und DNS-Informationen ein. Ihr Knoten sollte eine interne IP-Adresse und einen DNS-Namen haben. DHCP wird nicht unterstützt.

                                                                                                                                                  5

                                                                                                                                                  (Optional) Ändern Sie bei Bedarf den Hostnamen, die Domäne oder die NTP-Server, um sie mit Ihrer Netzwerkrichtlinie abzugleichen.

                                                                                                                                                  Sie müssen die Domäne nicht mit der Domäne übereinstimmen, mit der Sie das X.509-Zertifikat erhalten haben.

                                                                                                                                                  6

                                                                                                                                                  Speichern Sie die Netzwerkkonfiguration und starten Sie die VM neu, damit die Änderungen wirksam werden.

                                                                                                                                                  Hochladen und Einhängen der HDS-KonfigurationsISO

                                                                                                                                                  Verwenden Sie dieses Verfahren, um die virtuelle Maschine über die ISO-Datei zu konfigurieren, die Sie mit dem HDS-Setup-Tool erstellt haben.

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  Da die ISO-Datei den Master-Schlüssel enthält, sollte sie nur auf der Basis des "Need-to-know"-Zugangs durch die Hybrid Data Security VMs und alle Administratoren, die Änderungen vornehmen müssen, offengelegt werden. Stellen Sie sicher, dass nur diese Administratoren auf den Datenspeicher zugreifen können.

                                                                                                                                                  1

                                                                                                                                                  Laden Sie die ISO-Datei von Ihrem Computer hoch:

                                                                                                                                                  1. Klicken Sie im linken Navigationsbereich des VMware vSphere-Clients auf den ESXi-Server.

                                                                                                                                                  2. Klicken Sie in der Hardware-Liste der Registerkarte „Konfiguration“ auf „Speicher“ .

                                                                                                                                                  3. Klicken Sie in der Datenspeicherliste mit der rechten Maustaste auf den Datenspeicher für Ihre VMs und klicken Sie auf Datenspeicher durchsuchen.

                                                                                                                                                  4. Klicken Sie auf das Symbol „Dateien hochladen“ und anschließend auf „Datei hochladen“ .

                                                                                                                                                  5. Navigieren Sie zu dem Speicherort, an dem Sie die ISO-Datei auf Ihren Computer heruntergeladen haben, und klicken Sie auf Öffnen .

                                                                                                                                                  6. Klicken Sie auf Ja , um die Warnung beim Hochladen/Herunterladen zu akzeptieren, und schließen Sie das Datenspeicherdialogfeld.

                                                                                                                                                  2

                                                                                                                                                  Binden Sie die ISO-Datei ein:

                                                                                                                                                  1. Klicken Sie im linken Navigationsbereich mit der rechten Maustaste auf die VM und klicken Sie auf Einstellungen bearbeiten .

                                                                                                                                                  2. Klicken Sie auf OK , um die Warnung mit eingeschränkten Bearbeitungsoptionen zu akzeptieren.

                                                                                                                                                  3. Klicken CD/DVD Drive 1, wählen Sie die Option zum Einhängen aus einer ISO-Datei aus und navigieren Sie zu dem Speicherort, an den Sie die ISO-Konfigurationsdatei hochgeladen haben.

                                                                                                                                                  4. Aktivieren Sie das Kontrollkästchen „Verbunden“ und „Beim Einschalten verbinden“ .

                                                                                                                                                  5. Speichern Sie Ihre Änderungen und starten Sie die virtuelle Maschine neu.

                                                                                                                                                  Nächste Schritte

                                                                                                                                                  Wenn Ihre IT-Richtlinie es erfordert, können Sie die ISO-Datei optional unmounten, nachdem alle Knoten die Konfigurationsänderungen übernommen haben. Weitere Informationen finden Sie unter (Optional) ISO nach HDS-Konfiguration abmontieren .

                                                                                                                                                  Konfigurieren des HDS-Knotens für die Proxyintegration

                                                                                                                                                  Wenn die Netzwerkumgebung einen Proxy erfordert, verwenden Sie dieses Verfahren, um den Proxytyp anzugeben, den Sie in die Hybrid-Datensicherheit integrieren möchten. Wenn Sie einen transparenten Prüfproxy oder einen expliziten HTTPS-Proxy auswählen, können Sie die Schnittstelle des Knotens verwenden, um das Stammzertifikat hochzuladen und zu installieren. Sie können auch die Proxy-Verbindung über die Schnittstelle überprüfen und potenzielle Probleme beheben.

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  1

                                                                                                                                                  HDS-Knoten-Setup-URL eingeben https://[HDS Node IP or FQDN]/setup Geben Sie in einem Webbrowser die Administratoranmeldeinformationen ein, die Sie für den Knoten eingerichtet haben, und klicken Sie dann auf Anmelden.

                                                                                                                                                  2

                                                                                                                                                  Gehen Sie zu Vertrauensspeicher und Proxy und wählen Sie eine Option aus:

                                                                                                                                                  • Kein Proxy – Die Standardoption, bevor Sie einen Proxy integrieren. Es ist keine Zertifikataktualisierung erforderlich.
                                                                                                                                                  • Transparenter Proxy ohne Inspektion – Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert und erfordern keine Änderungen an einem Proxy ohne Inspektion. Es ist keine Zertifikataktualisierung erforderlich.
                                                                                                                                                  • Transparenter Proxy für die Prüfung: Die Knoten sind nicht für die Verwendung einer bestimmten Proxyserver-Adresse konfiguriert. Bei der Hybrid Data Security-Bereitstellung sind keine HTTPS-Konfigurationsänderungen erforderlich. Die HDS-Knoten benötigen jedoch ein Stammzertifikat, damit sie dem Proxy vertrauen können. In der Regel werden Proxys von der IT verwendet, um Richtlinien durchzusetzen, auf denen Websites besucht werden können und welche Arten von Inhalten nicht zulässig sind. Dieser Proxy-Typ entschlüsselt Ihren gesamten Datenverkehr (auch HTTPS).
                                                                                                                                                  • Expliziter Proxy – Mit explizitem Proxy teilen Sie dem Client (HDS-Knoten) mit, welchen Proxyserver Sie verwenden sollen. Diese Option unterstützt mehrere Authentifizierungstypen. Nachdem Sie diese Option ausgewählt haben, müssen Sie die folgenden Informationen eingeben:
                                                                                                                                                    1. Proxy-IP/FQDN : Adresse, die zum Erreichen der Proxymaschine verwendet werden kann.

                                                                                                                                                    2. Proxy-Port : Eine Portnummer, die der Proxy für die Überwachung des Proxyverkehrs verwendet.

                                                                                                                                                    3. Proxy-Protokoll – Wählen Sie http (zeigt alle vom Client empfangenen Anfragen an und steuert sie) oder https (stellt einen Kanal für den Server bereit und der Client empfängt und validiert das Serverzertifikat). Wählen Sie eine Option basierend auf der Unterstützung Ihres Proxyservers aus.

                                                                                                                                                    4. Authentifizierungstyp : Wählen Sie einen der folgenden Authentifizierungstypen aus:

                                                                                                                                                      • Keine: Es ist keine weitere Authentifizierung erforderlich.

                                                                                                                                                        Verfügbar für HTTP- oder HTTPS-Proxys.

                                                                                                                                                      • Basic – Wird für einen HTTP-Benutzeragenten verwendet, um bei einer Anforderung einen Benutzernamen und ein Kennwort anzugeben. Verwendet Base64-Codierung.

                                                                                                                                                        Verfügbar für HTTP- oder HTTPS-Proxys.

                                                                                                                                                        Wenn Sie diese Option wählen, müssen Sie auch den Benutzernamen und das Kennwort eingeben.

                                                                                                                                                      • Ziffer : Wird verwendet, um das Konto zu bestätigen, bevor sensible Informationen gesendet werden. Wendet eine Hash-Funktion auf den Benutzernamen und das Kennwort an, bevor sie über das Netzwerk gesendet werden.

                                                                                                                                                        Nur für HTTPS-Proxys verfügbar.

                                                                                                                                                        Wenn Sie diese Option wählen, müssen Sie auch den Benutzernamen und das Kennwort eingeben.

                                                                                                                                                  Führen Sie die nächsten Schritte für einen transparenten Prüfproxy, einen HTTP-Proxy mit einfacher Authentifizierung oder einen HTTPS-Proxy aus.

                                                                                                                                                  3

                                                                                                                                                  Klicken Sie auf Stammzertifikat hochladen oder Entitätszertifikat beenden , und navigieren Sie dann zu einem Stammzertifikat für den Proxy.

                                                                                                                                                  Das Zertifikat ist hochgeladen, aber noch nicht installiert, da Sie den Knoten neu starten müssen, um das Zertifikat zu installieren. Klicken Sie auf den chevron-Pfeil nach dem Namen des Zertifikatsausstellers, um weitere Details zu erhalten, oder klicken Sie auf Löschen , wenn Sie einen Fehler gemacht haben und die Datei erneut hochladen möchten.

                                                                                                                                                  4

                                                                                                                                                  Klicken Sie auf Proxyverbindung prüfen , um die Netzwerkkonnektivität zwischen dem Knoten und dem Proxy zu testen.

                                                                                                                                                  Wenn der Verbindungstest fehlschlägt, wird eine Fehlermeldung mit dem Grund und wie Sie das Problem beheben können angezeigt.

                                                                                                                                                  Wenn eine Meldung angezeigt wird, dass die externe DNS-Auflösung nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen. Diese Bedingung wird in vielen expliziten Proxy-Konfigurationen erwartet. Sie können mit der Einrichtung fortfahren, und der Knoten funktioniert im Blockierten externen DNS-Auflösungsmodus. Wenn Sie der Meinung sind, dass es sich um einen Fehler handelt, führen Sie die folgenden Schritte aus, und lesen Sie anschließend Deaktivieren Sie den blockierten externen DNS-Auflösungsmodus .

                                                                                                                                                  5

                                                                                                                                                  Wenn der Verbindungstest bestanden hat und der explizite Proxy auf „Nur https“ festgelegt ist, aktivieren Sie den Umschalter auf „ Alle Port 443/444-https-Anfragen von diesem Knoten über den expliziten Proxy weiterleiten“ . Diese Einstellung benötigt 15 Sekunden, um wirksam zu werden.

                                                                                                                                                  6

                                                                                                                                                  Klicken Sie auf Installieren Sie alle Zertifikate in den Vertrauensspeicher (wird für einen expliziten HTTPS-Proxy oder einen transparenten Prüfproxy angezeigt) oder Reboot (wird für einen expliziten HTTP-Proxy angezeigt), lesen Sie die Eingabeaufforderung und klicken Sie anschließend auf Installieren , wenn Sie bereit sind.

                                                                                                                                                  Der Knoten wird innerhalb weniger Minuten neu gestartet.

                                                                                                                                                  7

                                                                                                                                                  Nachdem der Knoten neu gestartet wurde, melden Sie sich bei Bedarf erneut an und öffnen Sie die Seite „Übersicht“ , um die Konnektivitätsprüfungen zu überprüfen, um sicherzustellen, dass alle im grünen Status sind.

                                                                                                                                                  Die Proxy-Verbindungsprüfung testet nur eine Unterdomäne von webex.com. Wenn Verbindungsprobleme auftreten, besteht ein häufiges Problem darin, dass einige der in den Installationsanweisungen aufgeführten Cloud-Domänen am Proxy blockiert werden.

                                                                                                                                                  Registrieren des ersten Knotens im Cluster

                                                                                                                                                  Bei dieser Aufgabe wird der generische Knoten verwendet, den Sie unter „Hybrid Data Security VM einrichten“ erstellt haben, der Knoten wird in der Webex-Cloud registriert und in einen Hybrid Data Security-Knoten umgewandelt.

                                                                                                                                                  Bei der Registrierung Ihres ersten Knotens erstellen Sie ein Cluster, zu dem der Knoten zugewiesen wird. Ein Cluster enthält einen oder mehrere Knoten, die für Redundanz bereitgestellt werden.

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  • Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.

                                                                                                                                                  • Stellen Sie sicher, dass alle Popupblocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.

                                                                                                                                                  1

                                                                                                                                                  Melden Sie sich bei https://admin.webex.com an.

                                                                                                                                                  2

                                                                                                                                                  Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

                                                                                                                                                  3

                                                                                                                                                  Suchen Sie im Abschnitt Hybrid-Dienste nach Hybrid-Datensicherheit und klicken Sie auf Einrichten .

                                                                                                                                                  Die Seite „Hybrid-Datensicherheitsknoten registrieren“ wird angezeigt.
                                                                                                                                                  4

                                                                                                                                                  Wählen Sie Ja aus, um anzugeben, dass Sie den Knoten eingerichtet haben und bereit sind, ihn zu registrieren, und klicken Sie dann auf Weiter .

                                                                                                                                                  5

                                                                                                                                                  Geben Sie im ersten Feld einen Namen für das Cluster ein, dem Sie Ihren Hybrid-Datensicherheitsknoten zuweisen möchten.

                                                                                                                                                  Benennen Sie Ihre Cluster nach Möglichkeit nach dem geografischen Standort der Clusterknoten. Beispiele: "San Francisco" oder "New York" oder "Dallas"

                                                                                                                                                  6

                                                                                                                                                  Geben Sie im zweiten Feld die interne IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) Ihres Knotens ein und klicken Sie auf Weiter .

                                                                                                                                                  Diese IP-Adresse oder FQDN sollte mit der IP-Adresse oder dem Host-Namen und der Domäne übereinstimmen, die Sie bei „Einrichten der Hybrid-Datensicherheits-VM“ verwendet haben.

                                                                                                                                                  Es wird eine Meldung angezeigt, die angibt, dass Sie Ihren Knoten in Webex registrieren können.
                                                                                                                                                  7

                                                                                                                                                  Klicken Sie auf Zum Knoten wechseln.

                                                                                                                                                  8

                                                                                                                                                  Klicken Sie in der Warnmeldung auf Weiter.

                                                                                                                                                  Nach einigen Augenblicken werden Sie zu den Knotenverbindungstests für Webex-Dienste umgeleitet. Wenn alle Tests erfolgreich sind, wird die Seite „Zugriff auf Hybrid-Datensicherheitsknoten zulassen“ angezeigt. Dort bestätigen Sie, dass Sie Ihrer Webex-Organisation Berechtigungen für den Zugriff auf Ihren Knoten erteilen möchten.
                                                                                                                                                  9

                                                                                                                                                  Aktivieren Sie das Kontrollkästchen Zugriff auf Ihren Hybrid-Datensicherheitsknoten zulassen und klicken Sie dann auf Weiter .

                                                                                                                                                  Ihr Konto wird überprüft, und die Meldung „Registrierung abgeschlossen“ zeigt an, dass Ihr Knoten jetzt in der Webex-Cloud registriert ist.
                                                                                                                                                  10

                                                                                                                                                  Klicken Sie auf den Link oder schließen Sie die Registerkarte, um zur Seite „Control Hub Hybrid-Datensicherheit“ zurückzukehren.

                                                                                                                                                  Auf der Seite Hybrid-Datensicherheit wird das neue Cluster mit dem registrierten Knoten angezeigt. Der Knoten lädt die neueste Software automatisch aus der Cloud herunter.

                                                                                                                                                  Weitere Knoten erstellen und registrieren

                                                                                                                                                  Um Ihrem Cluster zusätzliche Knoten hinzuzufügen, erstellen Sie einfach zusätzliche VMs und mounten die gleiche ISO-Konfigurationsdatei. Registrieren Sie dann den Knoten. Wir empfehlen, dass Sie mindestens 3 Knoten haben.

                                                                                                                                                   

                                                                                                                                                  Zu diesem Zeitpunkt sind die Backup-VMs, die Sie unter Erfüllen der Voraussetzungen für Hybrid Data Security erstellt haben, Standby-Hosts, die nur im Falle einer Notfallwiederherstellung verwendet werden; sie sind bis dahin nicht beim System registriert. Weitere Informationen finden Sie unter Notfallwiederherstellung mit dem Standby-Rechenzentrum .

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  • Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.

                                                                                                                                                  • Stellen Sie sicher, dass alle Popupblocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.

                                                                                                                                                  1

                                                                                                                                                  Erstellen Sie eine neue virtuelle Maschine aus der OVA und wiederholen Sie die Schritte unter Installieren Sie die HDS-Host-OVA .

                                                                                                                                                  2

                                                                                                                                                  Richten Sie die Erstkonfiguration auf der neuen VM ein und wiederholen Sie die Schritte unter Richten Sie die Hybrid Data Security VM ein.

                                                                                                                                                  3

                                                                                                                                                  Wiederholen Sie auf der neuen VM die Schritte unter Hochladen und Einhängen der HDS-Konfiguration ISO .

                                                                                                                                                  4

                                                                                                                                                  Wenn Sie einen Proxy für Ihre Bereitstellung einrichten, wiederholen Sie die Schritte unter Konfigurieren des HDS-Knotens für die Proxy-Integration nach Bedarf für den neuen Knoten.

                                                                                                                                                  5

                                                                                                                                                  Registrieren Sie den Knoten.

                                                                                                                                                  1. Wählen Sie in https://admin.webex.com die Option Services aus dem Menü auf der linken Seite des Bildschirms.

                                                                                                                                                  2. Suchen Sie im Abschnitt Hybrid-Dienste nach der Hybrid-Datensicherheitskarte und klicken Sie auf Ressourcen .

                                                                                                                                                    Die Seite Hybrid-Datensicherheitsressourcen wird angezeigt.
                                                                                                                                                  3. Klicken Sie auf Ressource hinzufügen .

                                                                                                                                                  4. Wählen Sie im ersten Feld den Namen Ihres vorhandenen Clusters aus.

                                                                                                                                                  5. Geben Sie im zweiten Feld die interne IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) Ihres Knotens ein und klicken Sie auf Weiter .

                                                                                                                                                    Es wird eine Meldung angezeigt, die angibt, dass Sie Ihren Knoten in der Webex-Cloud registrieren können.
                                                                                                                                                  6. Klicken Sie auf Zum Knoten wechseln.

                                                                                                                                                    Nach einigen Augenblicken werden Sie zu den Knotenverbindungstests für Webex-Dienste umgeleitet. Wenn alle Tests erfolgreich sind, wird die Seite „Zugriff auf Hybrid-Datensicherheitsknoten zulassen“ angezeigt. Dort bestätigen Sie, dass Sie Ihrer Organisation Berechtigungen für den Zugriff auf Ihren Knoten erteilen möchten.
                                                                                                                                                  7. Aktivieren Sie das Kontrollkästchen Zugriff auf Ihren Hybrid-Datensicherheitsknoten zulassen und klicken Sie dann auf Weiter .

                                                                                                                                                    Ihr Konto wird überprüft, und die Meldung „Registrierung abgeschlossen“ zeigt an, dass Ihr Knoten jetzt in der Webex-Cloud registriert ist.
                                                                                                                                                  8. Klicken Sie auf den Link oder schließen Sie die Registerkarte, um zur Seite „Control Hub Hybrid-Datensicherheit“ zurückzukehren.

                                                                                                                                                  Ihr Knoten ist registriert. Beachten Sie, dass Ihre Knoten bis zum Starten einer Testversion einen Alarm generieren, der angibt, dass Ihr Dienst noch nicht aktiviert ist.

                                                                                                                                                  Nächste Schritte

                                                                                                                                                  Ausführen einer Testversion und Verschieben in Produktion (nächstes Kapitel)
                                                                                                                                                  Eine Testversion ausführen und zur Produktion wechseln

                                                                                                                                                  Ablauf der Testversion der Produktionsaufgabe

                                                                                                                                                  Nachdem Sie einen Hybrid-Datensicherheitscluster eingerichtet haben, können Sie einen Pilotversuch starten, Benutzer hinzufügen und damit beginnen, Ihre Bereitstellung zu testen und zu überprüfen, um auf die Produktion vorzubereiten.

                                                                                                                                                  1

                                                                                                                                                  Synchronisieren Sie ggf. die HdsTrialGroup Gruppenobjekt.

                                                                                                                                                  Wenn Ihre Organisation die Verzeichnissynchronisierung für Benutzer verwendet, müssen Sie die HdsTrialGroup Gruppenobjekt für die Synchronisierung mit der Cloud, bevor Sie einen Test starten können. Anweisungen finden Sie im Bereitstellungsleitfaden für den Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Testversion aktivieren

                                                                                                                                                  Starten Sie eine Testversion. Bis Sie diese Aufgabe ausführen, generieren Ihre Knoten einen Alarm, der angibt, dass der Dienst noch nicht aktiviert ist.

                                                                                                                                                  3

                                                                                                                                                  Testen Sie Ihre Hybrid-Datensicherheitsbereitstellung

                                                                                                                                                  Überprüfen Sie, ob wichtige Anforderungen an Ihre Hybrid-Datensicherheitsbereitstellung übergeben werden.

                                                                                                                                                  4

                                                                                                                                                  Hybrid-Datensicherheitsstatus überwachen

                                                                                                                                                  Überprüfen Sie den Status und richten Sie E-Mail-Benachrichtigungen für Alarme ein.

                                                                                                                                                  5

                                                                                                                                                  Hinzufügen oder Entfernen von Benutzern aus Ihrer Testversion

                                                                                                                                                  6

                                                                                                                                                  Schließen Sie die Testphase mit einer der folgenden Aktionen ab:

                                                                                                                                                  Testversion aktivieren

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  Wenn Ihre Organisation die Verzeichnissynchronisierung für Benutzer verwendet, müssen Sie die HdsTrialGroup Gruppenobjekt für die Synchronisierung mit der Cloud, bevor Sie eine Testversion für Ihre Organisation starten können. Anweisungen finden Sie im Bereitstellungsleitfaden für den Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Melden Sie sich bei https://admin.webex.com an und wählen Sie dann Dienste .

                                                                                                                                                  2

                                                                                                                                                  Klicken Sie unter „Hybrid-Datensicherheit“ auf „Einstellungen“ .

                                                                                                                                                  3

                                                                                                                                                  Klicken Sie im Abschnitt „Dienststatus“ auf Test starten .

                                                                                                                                                  Der Dienststatus ändert sich in den Testmodus.
                                                                                                                                                  4

                                                                                                                                                  Klicken Sie auf Benutzer hinzufügen und geben Sie die E-Mail-Adresse eines oder mehrerer Benutzer ein, um Ihre Hybrid-Datensicherheitsknoten für Verschlüsselungs- und Indexierungsdienste zu verwenden.

                                                                                                                                                  (Wenn Ihre Organisation die Verzeichnissynchronisierung verwendet, verwenden Sie Active Directory, um die Testgruppe zu verwalten, HdsTrialGroup.)

                                                                                                                                                  Testen Sie Ihre Hybrid-Datensicherheitsbereitstellung

                                                                                                                                                  Mit diesem Verfahren können Sie Szenarien für die Verschlüsselung der Hybrid-Datensicherheit testen.

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  • Richten Sie Ihre Bereitstellung für Hybrid-Datensicherheit ein.

                                                                                                                                                  • Aktivieren Sie die Testversion und fügen Sie mehrere Testbenutzer hinzu.

                                                                                                                                                  • Stellen Sie sicher, dass Sie Zugriff auf das Syslog haben, um zu überprüfen, ob wichtige Anforderungen an Ihre Bereitstellung für die Hybrid-Datensicherheit weitergeleitet werden.

                                                                                                                                                  1

                                                                                                                                                  Schlüssel für einen bestimmten Bereich werden vom Ersteller des Bereichs festgelegt. Melden Sie sich bei der Webex-App als einer der Pilotbenutzer an, erstellen Sie einen Bereich und laden Sie mindestens einen Pilotbenutzer und einen Nicht-Pilotbenutzer ein.


                                                                                                                                                   

                                                                                                                                                  Wenn Sie die Bereitstellung der Hybrid-Datensicherheit deaktivieren, sind Inhalte in Bereichen, die Pilotbenutzer erstellen, nicht mehr zugänglich, nachdem die zwischengespeicherten Kopien der Verschlüsselungscodes durch den Client ersetzt wurden.

                                                                                                                                                  2

                                                                                                                                                  Nachrichten an den neuen Bereich senden.

                                                                                                                                                  3

                                                                                                                                                  Überprüfen Sie die Syslog-Ausgabe, um zu überprüfen, ob die Schlüsselanforderungen an Ihre Hybrid-Datensicherheitsbereitstellung übergeben werden.

                                                                                                                                                  1. Um nach einem Benutzer zu suchen, der zuerst einen sicheren Kanal zum KMS eingerichtet hat, filtern Sie nach kms.data.method=create und kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Sie sollten einen Eintrag wie den folgenden finden (Bezeichner zur Lesbarkeit gekürzt):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Um nach einem Benutzer zu suchen, der einen vorhandenen Schlüssel vom KMS anfordert, filtern Sie auf kms.data.method=retrieve und kms.data.type=KEY:

                                                                                                                                                    Sie sollten einen Eintrag finden, wie:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Um nach einem Benutzer zu suchen, der die Erstellung eines neuen KMS-Schlüssels anfordert, filtern Sie nach kms.data.method=create und kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Sie sollten einen Eintrag finden, wie:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Um nach einem Benutzer zu suchen, der die Erstellung eines neuen KMS Resource Object (KRO) anfordert, wenn ein Bereich oder eine andere geschützte Ressource erstellt wird, filtern Sie nach kms.data.method=create und kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Sie sollten einen Eintrag finden, wie:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Hybrid-Datensicherheitsstatus überwachen

                                                                                                                                                  Eine Statusanzeige in Control Hub zeigt an, ob die Bereitstellung der Hybrid-Datensicherheit funktioniert. Melden Sie sich für proaktive Benachrichtigungen für E-Mail-Benachrichtigungen an. Sie werden benachrichtigt, wenn Warnungen oder Software-Upgrades auftreten, die sich auf den Dienst auswirken.
                                                                                                                                                  1

                                                                                                                                                  Wählen Sie in Control Hub im Menü auf der linken Seite des Bildschirms Dienste aus.

                                                                                                                                                  2

                                                                                                                                                  Suchen Sie im Abschnitt Hybrid-Dienste nach Hybrid Data Security und klicken Sie auf Einstellungen .

                                                                                                                                                  Die Seite „Hybrid-Datensicherheitseinstellungen“ wird angezeigt.
                                                                                                                                                  3

                                                                                                                                                  Geben Sie im Abschnitt E-Mail-Benachrichtigungen eine oder mehrere durch Kommas getrennte E-Mail-Adressen ein und drücken Sie die Eingabetaste.

                                                                                                                                                  Hinzufügen oder Entfernen von Benutzern aus Ihrer Testversion

                                                                                                                                                  Nachdem Sie eine Testversion aktiviert und die anfängliche Gruppe von Testbenutzern hinzugefügt haben, können Sie jederzeit Testmitglieder hinzufügen oder entfernen, während die Testversion aktiv ist.

                                                                                                                                                  Wenn Sie einen Benutzer aus der Testversion entfernen, fordert der Client des Benutzers die Schlüssel und die Schlüsselerstellung aus dem Cloud-KMS anstelle Ihres KMS an. Wenn der Client einen Schlüssel benötigt, der auf Ihrem KMS gespeichert ist, ruft der Cloud-KMS ihn im Namen des Benutzers ab.

                                                                                                                                                  Wenn Ihre Organisation die Verzeichnissynchronisierung verwendet, verwenden Sie Active Directory (anstelle dieses Verfahrens), um die Testgruppe zu verwalten, HdsTrialGroup; Sie können die Gruppenmitglieder in Control Hub anzeigen, aber nicht hinzufügen oder entfernen.

                                                                                                                                                  1

                                                                                                                                                  Melden Sie sich bei Control Hub an und wählen Sie dann „Dienste“ .

                                                                                                                                                  2

                                                                                                                                                  Klicken Sie unter „Hybrid-Datensicherheit“ auf „Einstellungen“ .

                                                                                                                                                  3

                                                                                                                                                  Klicken Sie im Testmodus des Dienststatusbereichs auf Benutzer hinzufügen oder klicken Sie auf Anzeigen und Bearbeiten , um Benutzer aus der Testversion zu entfernen.

                                                                                                                                                  4

                                                                                                                                                  Geben Sie die E-Mail-Adresse eines oder mehrerer Benutzer ein, die Sie hinzufügen möchten, oder klicken Sie auf das X-Zeichen neben einer Benutzer-ID, um den Benutzer aus der Testversion zu entfernen. Klicken Sie dann auf Speichern .

                                                                                                                                                  Übergang von der Testversion zur Produktion

                                                                                                                                                  Wenn Sie sicher sind, dass Ihre Bereitstellung für die Testbenutzer gut funktioniert, können Sie zur Produktion wechseln. Wenn Sie zur Produktion wechseln, verwenden alle Benutzer in der Organisation Ihre lokale Hybrid-Datensicherheitsdomäne für Verschlüsselungscodes und andere Dienste des Sicherheitsbereichs. Sie können von der Produktion nicht zurück in den Testmodus wechseln, es sei denn, Sie deaktivieren den Dienst im Rahmen der Notfallwiederherstellung. Wenn Sie den Dienst erneut aktivieren, müssen Sie eine neue Testversion einrichten.
                                                                                                                                                  1

                                                                                                                                                  Melden Sie sich bei Control Hub an und wählen Sie dann „Dienste“ .

                                                                                                                                                  2

                                                                                                                                                  Klicken Sie unter „Hybrid-Datensicherheit“ auf „Einstellungen“ .

                                                                                                                                                  3

                                                                                                                                                  Klicken Sie im Abschnitt „Dienststatus“ auf Zu Produktion wechseln .

                                                                                                                                                  4

                                                                                                                                                  Bestätigen Sie, dass Sie alle Benutzer in die Produktion verschieben möchten.

                                                                                                                                                  Beenden Sie Ihren Test, ohne zur Produktion zu wechseln

                                                                                                                                                  Wenn Sie während der Testphase Ihre Bereitstellung der Hybrid-Datensicherheit nicht fortsetzen möchten, können Sie die Hybrid-Datensicherheit deaktivieren, wodurch die Testversion beendet wird und die Testbenutzer zurück zu den Cloud-Datensicherheitsdiensten wechseln. Die Benutzer der Testversion verlieren den Zugriff auf die während der Testphase verschlüsselten Daten.
                                                                                                                                                  1

                                                                                                                                                  Melden Sie sich bei Control Hub an und wählen Sie dann „Dienste“ .

                                                                                                                                                  2

                                                                                                                                                  Klicken Sie unter „Hybrid-Datensicherheit“ auf „Einstellungen“ .

                                                                                                                                                  3

                                                                                                                                                  Klicken Sie im Abschnitt Deaktivieren auf Deaktivieren .

                                                                                                                                                  4

                                                                                                                                                  Bestätigen Sie, dass Sie den Dienst deaktivieren und den Test beenden möchten.

                                                                                                                                                  Verwalten Ihrer HDS-Bereitstellung

                                                                                                                                                  Verwalten der HDS-Bereitstellung

                                                                                                                                                  Verwenden Sie die hier beschriebenen Aufgaben, um Ihre Bereitstellung für die Hybrid-Datensicherheit zu verwalten.

                                                                                                                                                  Cluster-Upgrade-Zeitplan festlegen

                                                                                                                                                  Software-Upgrades für die Hybrid-Datensicherheit werden automatisch auf Cluster-Ebene durchgeführt, wodurch sichergestellt wird, dass alle Knoten immer die gleiche Software-Version ausführen. Die Upgrades werden gemäß des Upgrade-Zeitplans für das Cluster ausgeführt. Sie können neue verfügbare Software-Upgrades optional auch vor dem geplanten Upgrade-Zeitpunkt manuell installieren. Sie können einen eigenen Upgrade-Zeitplan festlegen oder den Standardzeitplan um 3 Uhr morgens täglich für USA: Amerika/Los Angeles verwenden. Bei Bedarf können Sie anstehende Upgrades auch verzögern.

                                                                                                                                                  So legen Sie den Upgrade-Zeitplan fest:

                                                                                                                                                  1

                                                                                                                                                  Melden Sie sich bei Control Hub an.

                                                                                                                                                  2

                                                                                                                                                  Wählen Sie auf der Übersichtsseite unter Hybriddienste die Option Hybrid-Datensicherheit .

                                                                                                                                                  3

                                                                                                                                                  Wählen Sie auf der Seite Hybrid-Datensicherheitsressourcen den Cluster aus.

                                                                                                                                                  4

                                                                                                                                                  Wählen Sie im Übersichtsbereich auf der rechten Seite unter Cluster-Einstellungen den Cluster-Namen aus.

                                                                                                                                                  5

                                                                                                                                                  Wählen Sie auf der Einstellungsseite unter Upgrade die Uhrzeit und die Zeitzone für den Upgrade-Zeitplan aus.

                                                                                                                                                  Hinweis: Unter der Zeitzone wird der nächste verfügbare Zeitpunkt für ein Upgrade angezeigt. Sie können das Upgrade bei Bedarf auf den folgenden Tag verzögern, indem Sie auf Verschieben klicken.

                                                                                                                                                  Knotenkonfiguration ändern

                                                                                                                                                  Gelegentlich müssen Sie die Konfiguration Ihres Hybrid-Datensicherheitsknotens möglicherweise aus folgenden Gründen ändern:
                                                                                                                                                  • x.509-Zertifikate werden vor Ablauf oder aus anderen Gründen geändert.


                                                                                                                                                     

                                                                                                                                                    Das Ändern des CN- Domänenname eines Zertifikats wird nicht unterstützt. Die Domäne muss mit der ursprünglichen Domäne übereinstimmen, die zum Registrieren des Clusters verwendet wurde.

                                                                                                                                                  • Aktualisieren der Datenbank , um zu einer Reproduktion der PostgreSQL- oder Microsoft SQL Server- Datenbank zu wechseln.


                                                                                                                                                     

                                                                                                                                                    Die Migration von Daten von PostgreSQL zu Microsoft SQL Server oder umgekehrt wird nicht unterstützt. Um die Datenbank zu wechseln, starten Sie eine neue Bereitstellung von Hybrid Data Security.

                                                                                                                                                  • Erstellen einer neuen Konfiguration zur Vorbereitung eines neuen Rechenzentrum.

                                                                                                                                                  Aus Sicherheitsgründen verwendet Hybrid Data Security Dienstkonten-Passwörter, die nach 9 Monaten ablaufen. Diese Passwörter werden durch das HDS Setup Tool generiert, und Sie können sie mittels der ISO-Konfigurationsdatei für Ihre einzelnen HDS-Knoten bereitstellen. Wenn die Passwörter Ihres Unternehmens bald ablaufen, erhalten Sie vom Webex-Team einen „Hinweis zum Passwortablauf“, in dem Sie gebeten werden, das Passwort für Ihr Computerkonto zurückzusetzen. (Die E-Mail enthält den Text „Verwenden Sie die Computerkonto- API , um das Passwort zu aktualisieren“.) Wenn Ihre Passwörter noch nicht abgelaufen sind, bietet Ihnen das Tool zwei Möglichkeiten:

                                                                                                                                                  • Weiches Zurücksetzen – Das alte und das neue Passwort sind beide bis zu 10 Tage gültig. Nutzen Sie diesen Zeitraum, um die ISO -Datei auf den Knoten schrittweise zu ersetzen.

                                                                                                                                                  • Hard-Reset – Die alten Passwörter funktionieren sofort nicht mehr.

                                                                                                                                                  Wenn Ihre Passwörter ohne Zurücksetzen ablaufen, wirkt sich dies auf Ihren HDS-Dienst aus und erfordert ein sofortiges Zurücksetzen und Ersetzen der ISO -Datei auf allen Knoten.

                                                                                                                                                  Mit diesem Verfahren können Sie eine neue ISO -Konfigurationsdatei generieren und auf Ihren Cluster anwenden.

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  • Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zuzugreifen, führen Sie Docker auf diesem Computer aus. Für die Einrichtung sind die Anmeldeinformationen eines Control Hub-Kontos mit vollständigen Administratorrechten für Ihre Organisation erforderlich.

                                                                                                                                                    Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxyeinstellungen (Server, Port, Anmeldeinformationen) über Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in 1.e öffnen. In dieser Tabelle sind einige mögliche Umgebungsvariablen aufgeführt:

                                                                                                                                                    Beschreibung

                                                                                                                                                    Variable

                                                                                                                                                    HTTP-Proxy ohne Authentifizierung

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-Proxy ohne Authentifizierung

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-Proxy mit Authentifizierung

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-Proxy mit Authentifizierung

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Um eine neue Konfiguration zu erstellen, benötigen Sie eine Kopie der aktuellen ISO-Konfigurationsdatei. Die ISO enthält den Master-Schlüssel, der die PostgreSQL- oder Microsoft SQL Server-Datenbank verschlüsselt. Sie benötigen das ISO , wenn Sie Konfigurationsänderungen vornehmen, einschließlich Datenbank , Zertifikatsaktualisierungen oder Änderungen an der Autorisierungsrichtlinie.

                                                                                                                                                  1

                                                                                                                                                  Führen Sie auf einem lokalen Computer, auf dem Docker läuft, das HDS Setup Tool aus.

                                                                                                                                                  1. Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

                                                                                                                                                    In normalen Umgebungen:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    In FedRAMP-Umgebungen:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Dieser Schritt bereinigt vorherige HDS-Setup-Tool-Images. Wenn keine vorherigen Bilder vorhanden sind, wird ein Fehler zurückgegeben, den Sie ignorieren können.

                                                                                                                                                  2. Geben Sie Folgendes ein, um sich bei der Docker-Image-Registrierung anzumelden:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Geben Sie bei der Passworteingabe diesen Hashwert ein:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Laden Sie das neueste stabile Image für Ihre Umgebung herunter:

                                                                                                                                                    In normalen Umgebungen:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    In FedRAMP-Umgebungen:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Stellen Sie sicher, dass Sie für hierfür per Pull das neueste Setup-Tool aufrufen. Versionen des Tools, die vor dem 22. Februar 2018 erstellt wurden, verfügen nicht über die Bildschirme für das Zurücksetzen des Passworts.

                                                                                                                                                  5. Geben Sie nach Abschluss des Pull-Vorgangs den entsprechenden Befehl für Ihre Umgebung ein:

                                                                                                                                                    • In regulären Umgebungen ohne Proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • In regulären Umgebungen mit einem HTTP-Proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In regulären Umgebungen mit einem HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In FedRAMP-Umgebungen ohne Proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Wenn der Container ausgeführt wird, wird „Express-Server überwacht Port 8080“ angezeigt.

                                                                                                                                                  6. Verwenden Sie einen Browser, um eine Verbindung mit dem Localhost herzustellen, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Das Setup-Tool unterstützt nicht die Verbindung mit localhost über http://localhost:8080 . Verwenden Sie http://127.0.0.1:8080 , um eine Verbindung zum Localhost herzustellen.

                                                                                                                                                  7. Wenn Sie dazu aufgefordert werden, geben Sie Ihre Kundenanmeldeinformationen ein und klicken Sie dann auf Annehmen, um fortzufahren.

                                                                                                                                                  8. Importieren Sie die aktuelle ISO-Konfigurationsdatei.

                                                                                                                                                  9. Folgen Sie den Anweisungen, um das Tool fertigzustellen und die aktualisierte Datei herunterzuladen.

                                                                                                                                                    Geben Sie zum Herunterfahren des Setup-Tools CTRL+C.

                                                                                                                                                  10. Erstellen Sie in einem anderen Rechenzentrum eine Sicherungskopie der aktualisierte Datei.

                                                                                                                                                  2

                                                                                                                                                  Wenn Sie nur einen HDS-Knoten mit ausführen, erstellen Sie eine neue -Knoten-VM und registrieren Sie sie mithilfe der neuen ISO-Konfigurationsdatei. Detaillierte Anweisungen finden Sie unter Weitere Knoten erstellen und registrieren .

                                                                                                                                                  1. Installieren Sie die HDS-Host-OVA.

                                                                                                                                                  2. Richten Sie die HDS-VM ein.

                                                                                                                                                  3. Binden Sie die aktualisierte Konfigurationsdatei ein.

                                                                                                                                                  4. Registrieren Sie den neuen Knoten in Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Für vorhandene HDS-Knoten, auf denen die ältere Konfigurationsdatei ausgeführt wird, mounten Sie die ISO -Datei. Führen Sie die folgenden Schritte nacheinander auf jedem Knoten aus und aktualisieren Sie dabei jeden Knoten, bevor Sie den nächsten Knoten ausschalten:

                                                                                                                                                  1. Deaktivieren Sie die Virtuelle Maschine.

                                                                                                                                                  2. Klicken Sie im linken Navigationsbereich mit der rechten Maustaste auf die VM und klicken Sie auf Einstellungen bearbeiten .

                                                                                                                                                  3. Klicken CD/DVD Drive 1 Klicken Sie auf CD/DVD Laufwerk 1, wählen Sie die Option für das Einbinden aus einer ISO-Datei aus und navigieren Sie zum Speicherort, an den Sie die neue ISO-Konfigurationsdatei heruntergeladen haben.

                                                                                                                                                  4. Aktivieren Sie Beim Aktivieren verbinden.

                                                                                                                                                  5. Speichern Sie Ihre Änderungen und aktivieren Sie die Virtuelle Maschine.

                                                                                                                                                  4

                                                                                                                                                  Wiederholen Sie Schritt 3, um bei jedem weiteren Knoten zu ersetzen, auf dem noch die alte Konfiguration ausgeführt wird, die Konfiguration zu ersetzen.

                                                                                                                                                  Blockierten externen DNS-Auflösungsmodus deaktivieren

                                                                                                                                                  Wenn Sie einen Knoten registrieren oder die Proxy-Konfiguration des Knotens überprüfen, testet der Prozess die DNS-Suche und die Konnektivität mit der Cisco Webex-Cloud. Wenn der DNS-Server des Knotens öffentliche DNS-Namen nicht auflösen kann, wechselt der Knoten automatisch in den Modus für die blockierte externe DNS-Auflösung.

                                                                                                                                                  Wenn Ihre Knoten in der Lage sind, öffentliche DNS-Namen über interne DNS-Server aufzulösen, können Sie diesen Modus deaktivieren, indem Sie den Proxy-Verbindungstest auf jedem Knoten erneut ausführen.

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  Stellen Sie sicher, dass Ihre internen DNS-Server öffentliche DNS-Namen auflösen können und dass Ihre Knoten mit diesen kommunizieren können.
                                                                                                                                                  1

                                                                                                                                                  Öffnen Sie in einem Webbrowser die Schnittstelle des hybriden Datensicherheitsknotens (IP-Adresse/Einrichtung, z. B. https://192.0.2.0/setup), geben Sie die Administratoranmeldeinformationen ein, die Sie für den Knoten eingerichtet haben, und klicken Sie dann auf Anmelden .

                                                                                                                                                  2

                                                                                                                                                  Gehen Sie zu „Übersicht“ (Standardseite).

                                                                                                                                                  Wenn aktiviert, Blockierte externe DNS Auflösung ist festgelegt auf Ja .

                                                                                                                                                  3

                                                                                                                                                  Gehen Sie zur Seite „Vertrauensspeicher und Proxy “.

                                                                                                                                                  4

                                                                                                                                                  Klicken Sie auf Proxyverbindung prüfen .

                                                                                                                                                  Wenn eine Meldung angezeigt wird, dass die externe DNS-Auflösung nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen und bleibt in diesem Modus. Andernfalls sollte nach dem Neustart des Knotens und dem Zurückkehren zur Übersichtsseite die blockierte externe DNS-Auflösung auf „Nein“ festgelegt werden.

                                                                                                                                                  Nächste Schritte

                                                                                                                                                  Wiederholen Sie den Proxy-Verbindungstest für jeden Knoten in Ihrem Hybrid-Datensicherheitscluster.

                                                                                                                                                  Knoten entfernen

                                                                                                                                                  Mit diesem Verfahren können Sie einen Hybrid-Datensicherheitsknoten aus der Webex-Cloud entfernen. Nachdem Sie den Knoten aus dem Cluster entfernt haben, löschen Sie die virtuelle Maschine, um weiteren Zugriff auf Ihre Sicherheitsdaten zu verhindern.
                                                                                                                                                  1

                                                                                                                                                  Verwenden Sie den VMware vSphere-Client auf Ihrem Computer, um sich beim virtuellen ESXi-Host anzumelden und die virtuelle Maschine auszuschalten.

                                                                                                                                                  2

                                                                                                                                                  Knoten entfernen:

                                                                                                                                                  1. Melden Sie sich bei Control Hub an und wählen Sie dann „Dienste“ .

                                                                                                                                                  2. Klicken Sie auf der Karte „Hybrid-Datensicherheit“ auf „Alle anzeigen“ , um die Seite „Hybrid-Datensicherheitsressourcen“ anzuzeigen.

                                                                                                                                                  3. Wählen Sie Ihren Cluster aus, um dessen Übersichtsbereich anzuzeigen.

                                                                                                                                                  4. Klicken Sie auf Knotenliste öffnen .

                                                                                                                                                  5. Wählen Sie auf der Registerkarte Knoten den Knoten aus, den Sie entfernen möchten.

                                                                                                                                                  6. Klicken Sie auf Aktionen > Registrierung des Knotens aufheben .

                                                                                                                                                  3

                                                                                                                                                  Löschen Sie im vSphere-Client die VM. (Klicken Sie im linken Navigationsbereich mit der rechten Maustaste auf die VM und klicken Sie auf Löschen .)

                                                                                                                                                  Wenn Sie die VM nicht löschen, denken Sie daran, die Konfiguration der ISO-Datei aufzuheben. Ohne die ISO-Datei können Sie die VM nicht für den Zugriff auf Ihre Sicherheitsdaten verwenden.

                                                                                                                                                  Notfallwiederherstellung mit Standby-Rechenzentrum

                                                                                                                                                  Der wichtigste Dienst, den Ihr Hybrid-Datensicherheitscluster bietet, ist die Erstellung und Speicherung von Schlüsseln, mit denen Nachrichten und andere in der Webex-Cloud gespeicherte Inhalte verschlüsselt werden. Für jeden Benutzer innerhalb der Organisation, der der Hybrid-Datensicherheit zugewiesen ist, werden neue Anforderungen zur Schlüsselerstellung an den Cluster weitergeleitet. Der Cluster ist auch dafür verantwortlich, die Schlüssel, die er erstellt hat, an alle Benutzer zurückzugeben, die zum Abrufen autorisiert sind, z. B. Mitglieder eines Konversationsbereichs.

                                                                                                                                                  Da der Cluster die wichtige Funktion zur Bereitstellung dieser Schlüssel ausführt, ist es zwingend erforderlich, dass der Cluster weiterhin ausgeführt wird und die ordnungsgemäßen Backups beibehalten werden. Der Verlust der Hybrid Data Security-Datenbank oder der für das Schema verwendeten Konfigurations-ISO führt zu einem NICHT WIEDERHERSTELLBAREN VERLUST von Kundeninhalten. Die folgenden Praktiken sind obligatorisch, um einen solchen Verlust zu verhindern:

                                                                                                                                                  Wenn eine Katastrophe dazu führt, dass die HDS-Bereitstellung im primären Rechenzentrum nicht mehr verfügbar ist, führen Sie die folgenden Schritte aus, um ein manuelles Failover zum Standby-Rechenzentrum durchzuführen.

                                                                                                                                                  1

                                                                                                                                                  Starten Sie das HDS-Setup-Tool und befolgen Sie die unter Erstellen einer Konfigurations-ISO für die HDS-Hosts genannten Schritte.

                                                                                                                                                  2

                                                                                                                                                  Klicken Sie nach der Konfiguration des Syslogd-Servers auf Erweiterte Einstellungen

                                                                                                                                                  3

                                                                                                                                                  Fügen Sie auf der Seite Erweiterte Einstellungen die folgende Konfiguration hinzu oder entfernen Sie die passiveMode Konfiguration, um den Knoten aktiv zu machen. Der Knoten kann den Datenverkehr verarbeiten, sobald dieser konfiguriert ist.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Schließen Sie den Konfigurationsvorgang ab und speichern Sie die ISO-Datei an einem leicht zu findenden Speicherort.

                                                                                                                                                  5

                                                                                                                                                  Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Halten Sie die Sicherungskopie sicher. Diese Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff nur auf Hybrid-Datensicherheitsadministratoren, die Konfigurationsänderungen vornehmen sollten.

                                                                                                                                                  6

                                                                                                                                                  Klicken Sie im linken Navigationsbereich des VMware vSphere-Clients mit der rechten Maustaste auf die VM und klicken Sie auf Einstellungen bearbeiten..

                                                                                                                                                  7

                                                                                                                                                  Klicken Sie auf Einstellungen bearbeiten > CD/DVD Laufwerk 1 und wählen Sie Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Stellen Sie sicher, dass „Verbunden“ und „Verbindung beim Einschalten“ aktiviert sind, damit aktualisierte Konfigurationsänderungen nach dem Starten der Knoten wirksam werden können.

                                                                                                                                                  8

                                                                                                                                                  Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 15 Minuten lang keine Alarme vorhanden sind.

                                                                                                                                                  9

                                                                                                                                                  Wiederholen Sie den Vorgang für jeden Knoten im Standby-Rechenzentrum.


                                                                                                                                                   

                                                                                                                                                  Überprüfen Sie die Syslog-Ausgabe, um sicherzustellen, dass sich die Knoten des Standby-Rechenzentrums nicht im passiven Modus befinden. „KMS im passiven Modus konfiguriert“ sollte nicht in den Syslogs angezeigt werden.

                                                                                                                                                  Nächste Schritte

                                                                                                                                                  Wenn das primäre Rechenzentrum nach dem Failover wieder aktiv wird, stellen Sie das Standby-Rechenzentrum erneut in den passiven Modus, indem Sie die unter „Standby-Rechenzentrum für die Notfallwiederherstellung einrichten“ beschriebenen Schritte ausführen.

                                                                                                                                                  (Optional) ISO nach HDS-Konfiguration entmounten

                                                                                                                                                  Die Standard-HDS-Konfiguration wird mit der ISO-Montierung ausgeführt. Einige Kunden ziehen es jedoch vor, ISO-Dateien nicht kontinuierlich eingehängt zu lassen. Sie können die ISO-Datei unmounten, nachdem alle HDS-Knoten die neue Konfiguration übernommen haben.

                                                                                                                                                  Sie verwenden weiterhin die ISO-Dateien, um Konfigurationsänderungen vorzunehmen. Wenn Sie eine neue ISO erstellen oder eine ISO über das Setup-Tool aktualisieren, müssen Sie die aktualisierte ISO auf allen HDS-Knoten mounten. Nachdem alle Ihre Knoten die Konfigurationsänderungen übernommen haben, können Sie die ISO-Datei mit diesem Verfahren erneut unmounten.

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  Aktualisieren Sie alle HDS-Knoten auf Version 2021.01.22.4720 oder höher.

                                                                                                                                                  1

                                                                                                                                                  Fahren Sie einen Ihrer HDS-Knoten herunter.

                                                                                                                                                  2

                                                                                                                                                  Wählen Sie in der vCenter Server Appliance den HDS-Knoten aus.

                                                                                                                                                  3

                                                                                                                                                  Wählen Sie Einstellungen bearbeiten > CD/DVD-Laufwerk und Deaktivieren Datastore ISO File .

                                                                                                                                                  4

                                                                                                                                                  Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 20 Minuten lang keine Alarme vorhanden sind.

                                                                                                                                                  5

                                                                                                                                                  Wiederholen Sie den Vorgang für jeden HDS-Knoten.

                                                                                                                                                  Fehlerbehebung bei Hybrid Data Security

                                                                                                                                                  Anzeigen von Warnungen und Fehlerbehebung

                                                                                                                                                  Eine Bereitstellung der Hybrid-Datensicherheit gilt als nicht verfügbar, wenn alle Knoten im Cluster nicht erreichbar sind oder der Cluster so langsam arbeitet, dass eine Zeitüberschreitung erforderlich ist. Wenn Benutzer Ihren Hybrid-Datensicherheitscluster nicht erreichen können, treten die folgenden Symptome auf:

                                                                                                                                                  • Neue Bereiche können nicht erstellt werden (neue Schlüssel können nicht erstellt werden)

                                                                                                                                                  • Nachrichten und Bereichstitel können nicht entschlüsselt werden für:

                                                                                                                                                    • Neue Benutzer zu einem Bereich hinzugefügt (Schlüssel können nicht abgerufen werden)

                                                                                                                                                    • Vorhandene Benutzer in einem Bereich mit einem neuen Client (Schlüssel können nicht abgerufen werden)

                                                                                                                                                  • Vorhandene Benutzer in einem Bereich werden weiterhin erfolgreich ausgeführt, solange ihre Clients über einen Cache mit den Verschlüsselungsschlüsseln verfügen.

                                                                                                                                                  Es ist wichtig, dass Sie Ihren Hybrid-Datensicherheitscluster ordnungsgemäß überwachen und alle Warnungen umgehend beheben, um Dienstunterbrechungen zu vermeiden.

                                                                                                                                                  Alerts

                                                                                                                                                  Wenn bei der Einrichtung der Hybrid-Datensicherheit ein Problem auftritt, zeigt Control Hub dem Organisationsadministrator Warnungen an und sendet E-Mails an die konfigurierte E-Mail-Adresse. Die Warnungen decken viele gängige Szenarien ab.

                                                                                                                                                  Tabelle 1: Allgemeine Probleme und Schritte zur Lösung dieser Probleme

                                                                                                                                                  Warnung

                                                                                                                                                  Aktion

                                                                                                                                                  Fehler beim Zugriff auf die lokale Datenbank.

                                                                                                                                                  Suchen Sie nach Datenbankfehlern oder lokalen Netzwerkproblemen.

                                                                                                                                                  Lokaler Datenbankverbindungsfehler.

                                                                                                                                                  Überprüfen Sie, ob der Datenbankserver verfügbar ist und die richtigen Dienstkonto-Anmeldeinformationen in der Knotenkonfiguration verwendet wurden.

                                                                                                                                                  Fehler beim Zugriff auf den Cloud-Dienst.

                                                                                                                                                  Überprüfen Sie, ob die Knoten wie unter „Externe Konnektivitätsanforderungen“ beschrieben auf die Webex-Server zugreifen können.

                                                                                                                                                  Erneute Registrierung des Cloud-Dienstes.

                                                                                                                                                  Die Registrierung bei Cloud-Diensten wurde aufgehoben. Die Erneuerung der Registrierung läuft.

                                                                                                                                                  Registrierung des Cloud-Dienstes wurde abgebrochen.

                                                                                                                                                  Die Registrierung bei Cloud-Diensten wurde beendet. Der Dienst wird heruntergefahren.

                                                                                                                                                  Dienst noch nicht aktiviert.

                                                                                                                                                  Aktivieren Sie eine Testversion oder schließen Sie die Übertragung der Testversion auf die Produktion ab.

                                                                                                                                                  Die konfigurierte Domäne stimmt nicht mit dem Serverzertifikat überein.

                                                                                                                                                  Stellen Sie sicher, dass Ihr Serverzertifikat mit der konfigurierten Serviceaktivierungsdomäne übereinstimmt.

                                                                                                                                                  Die wahrscheinlichste Ursache ist, dass der CN des Zertifikats vor Kurzem geändert wurde und sich nun vom CN unterscheidet, der bei der Ersteinrichtung verwendet wurde.

                                                                                                                                                  Authentifizierung bei Cloud-Diensten fehlgeschlagen.

                                                                                                                                                  Überprüfen Sie die Genauigkeit und den möglichen Ablauf der Anmeldeinformationen für das Dienstkonto.

                                                                                                                                                  Lokale Keystore-Datei konnte nicht geöffnet werden.

                                                                                                                                                  Überprüfen Sie die Integrität und Passwortgenauigkeit der lokalen Keystore-Datei.

                                                                                                                                                  Das lokale Serverzertifikat ist ungültig.

                                                                                                                                                  Überprüfen Sie das Ablaufdatum des Serverzertifikats und bestätigen Sie, dass es von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.

                                                                                                                                                  Metriken können nicht veröffentlicht werden.

                                                                                                                                                  Überprüfen Sie den lokalen Netzwerkzugriff auf externe Cloud-Dienste.

                                                                                                                                                  /media/configdrive/hds Verzeichnis existiert nicht.

                                                                                                                                                  Überprüfen Sie die ISO-Bereitstellungskonfiguration auf dem virtuellen Host. Stellen Sie sicher, dass die ISO-Datei vorhanden ist, dass sie für das Einhängen beim Neustart konfiguriert ist und dass sie erfolgreich eingehängt wird.

                                                                                                                                                  Fehlerbehebung bei Hybrid Data Security

                                                                                                                                                  Verwenden Sie die folgenden allgemeinen Richtlinien zur Fehlerbehebung bei Problemen mit der Hybrid-Datensicherheit.
                                                                                                                                                  1

                                                                                                                                                  Prüfen Sie Control Hub auf alle Warnungen und beheben Sie alle Elemente, die Sie dort finden.

                                                                                                                                                  2

                                                                                                                                                  Prüfen Sie die Syslog-Serverausgabe auf die Aktivität aus der Bereitstellung für Hybrid-Datensicherheit.

                                                                                                                                                  3

                                                                                                                                                  Kontaktieren Sie den Cisco Support .

                                                                                                                                                  Sonstige Hinweise

                                                                                                                                                  Bekannte Probleme bei der Hybrid-Datensicherheit

                                                                                                                                                  • Wenn Sie Ihren Hybrid-Datensicherheitscluster herunterfahren (indem Sie ihn in Control Hub löschen oder alle Knoten herunterfahren), Ihre ISO-Konfigurationsdatei verlieren oder den Zugriff auf die Keystore-Datenbank verlieren, können Ihre Webex-App-Benutzer keine Bereiche mehr in ihrer Personenliste verwenden, die mit Schlüsseln aus Ihrem KMS erstellt wurden. Dies gilt sowohl für Test- als auch für Produktionsbereitstellungen. Wir haben derzeit keine Problemumgehung oder Lösung für dieses Problem und bitten Sie dringend, Ihre HDS-Dienste nicht herunterzufahren, sobald sie aktive Benutzerkonten verarbeiten.

                                                                                                                                                  • Ein Client, der eine vorhandene ECDH-Verbindung zu einer KMS hat, hält diese Verbindung für einen bestimmten Zeitraum (wahrscheinlich eine Stunde) aufrecht. Wenn ein Benutzer Mitglied einer Testversion für Hybrid-Datensicherheit wird, verwendet der Client des Benutzers die vorhandene ECDH-Verbindung weiter, bis die Zeitüberschreitung auftritt. Alternativ kann sich der Benutzer bei der Webex-App abmelden und erneut anmelden, um den Standort zu aktualisieren, den die App für Verschlüsselungsschlüssel kontaktiert.

                                                                                                                                                    Dasselbe Verhalten tritt auf, wenn Sie eine Testversion für die Organisation in die Produktion verschieben. Alle Nicht-Testbenutzer mit bestehenden ECDH-Verbindungen zu den vorherigen Datensicherheitsdiensten werden diese Dienste weiterhin nutzen, bis die ECDH-Verbindung neu ausgehandelt wird (durch Zeitüberschreitung oder durch Abmelden und zurück).

                                                                                                                                                  Verwenden von OpenSSL zum Generieren einer PKCS12-Datei

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  • OpenSSL ist ein Tool, mit dem die PKCS12-Datei im richtigen Format zum Laden im HDS Setup Tool erstellt werden kann. Es gibt andere Möglichkeiten, dies zu tun, und wir unterstützen oder fördern nicht den einen Weg über den anderen.

                                                                                                                                                  • Wenn Sie sich für OpenSSL entscheiden, stellen wir Ihnen dieses Verfahren als Richtlinie zur Verfügung, um Ihnen zu helfen, eine Datei zu erstellen, die die X.509-Zertifikatanforderungen in X.509-Zertifikatanforderungen erfüllt. Machen Sie sich mit diesen Anforderungen vertraut, bevor Sie fortfahren.

                                                                                                                                                  • Installieren Sie OpenSSL in einer unterstützten Umgebung. Siehe https://www.openssl.org für die Software und Dokumentation.

                                                                                                                                                  • Erstellen Sie einen privaten Schlüssel.

                                                                                                                                                  • Starten Sie dieses Verfahren, wenn Sie das Serverzertifikat von Ihrer Certificate Authority (CA) erhalten.

                                                                                                                                                  1

                                                                                                                                                  Wenn Sie das Serverzertifikat von Ihrer CA erhalten, speichern Sie es als hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Zeigen Sie das Zertifikat als Text an und überprüfen Sie die Details.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Verwenden Sie einen Texteditor, um eine Zertifikatspaket-Datei mit dem Namen hdsnode-bundle.pem. Die Paketdatei muss das Serverzertifikat, alle CA-Zwischenzertifikate und die CA-Stammzertifikate im folgenden Format enthalten:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Erstellen Sie die .p12-Datei mit dem freundlichen Namen kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Überprüfen Sie die Details des Serverzertifikats.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Geben Sie ein Kennwort an der Eingabeaufforderung ein, um den privaten Schlüssel zu verschlüsseln, damit er in der Ausgabe aufgeführt ist. Überprüfen Sie dann, ob der private Schlüssel und das erste Zertifikat die Leitungen enthalten. friendlyName: kms-private-key.

                                                                                                                                                    Beispiel:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Nächste Schritte

                                                                                                                                                  Zurück zu Vervollständigen der Voraussetzungen für Hybrid-Datensicherheit . Sie werden die hdsnode.p12 Datei und das Kennwort, das Sie dafür festgelegt haben, unter Erstellen einer Konfigurations-ISO für die HDS-Hosts .


                                                                                                                                                   

                                                                                                                                                  Sie können diese Dateien wiederverwenden, um ein neues Zertifikat anzufordern, wenn das ursprüngliche Zertifikat abläuft.

                                                                                                                                                  Datenverkehr zwischen den HDS-Knoten und der Cloud

                                                                                                                                                  Datenverkehr bei Sammlung ausgehender Metriken

                                                                                                                                                  Die Hybrid-Datensicherheitsknoten senden bestimmte Metriken an die Webex-Cloud. Dazu gehören Systemmetriken für Heap max, Heap verwendet, CPU-Auslastung und Thread-Anzahl; Metriken zu synchronen und asynchronen Threads; Metriken zu Warnungen, die einen Schwellenwert für Verschlüsselungsverbindungen, Latenz oder eine Länge der Anforderungswarteschlange umfassen; Metriken zum Datenspeicher und Verschlüsselungsverbindungsmetriken. Die Knoten senden verschlüsseltes Schlüsselmaterial über einen Out-of-Band-Kanal (getrennt von der Anforderung).

                                                                                                                                                  Eingehender Verkehr

                                                                                                                                                  Die Hybrid-Datensicherheitsknoten erhalten die folgenden Arten von eingehendem Datenverkehr aus der Webex-Cloud:

                                                                                                                                                  • Verschlüsselungsanfragen von Clients, die vom Verschlüsselungsdienst weitergeleitet werden

                                                                                                                                                  • Upgrades auf die Knotensoftware

                                                                                                                                                  Squid-Proxys für Hybrid Data Security konfigurieren

                                                                                                                                                  Websocket kann keine Verbindung über Squid Proxy herstellen

                                                                                                                                                  Squid-Proxys, die HTTPS-Datenverkehr prüfen, können die Einrichtung von Websocket beeinträchtigen ( wss:) Verbindungen, die für die Hybrid-Datensicherheit erforderlich sind. In diesen Abschnitten finden Sie eine Anleitung, wie Sie verschiedene Versionen von Squid so konfigurieren, dass sie ignoriert werden. wss: Verkehr für den ordnungsgemäßen Betrieb der Dienste.

                                                                                                                                                  Tintenfisch 4 und 5

                                                                                                                                                  Fügen Sie die on_unsupported_protocol Direktive zu squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Tintenfisch 3.5.27

                                                                                                                                                  Wir haben die Hybrid-Datensicherheit erfolgreich getestet und die folgenden Regeln hinzugefügt: squid.conf. Diese Regeln können sich bei der Entwicklung von Funktionen und der Aktualisierung der Webex-Cloud ändern.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Vorwort

                                                                                                                                                  Neue und geänderte Informationen

                                                                                                                                                  Datum

                                                                                                                                                  Vorgenommene Änderungen

                                                                                                                                                  20. Oktober 2023

                                                                                                                                                  07. August 2023

                                                                                                                                                  Dienstag, 23. Mai 2023

                                                                                                                                                  06. Dezember 2022

                                                                                                                                                  23. November 2022

                                                                                                                                                  13. Oktober 2021

                                                                                                                                                  Docker Desktop muss ein Setup-Programm ausführen, bevor Sie HDS-Knoten installieren können. Siehe Docker Desktop-Anforderungen .

                                                                                                                                                  24. Juni 2021

                                                                                                                                                  Beachten Sie, dass Sie die Datei mit dem privaten Schlüssel und den CSR wiederverwenden können, um ein anderes Zertifikat anzufordern. Weitere Informationen finden Sie unter Verwenden von OpenSSL zum Generieren einer PKCS12-Datei .

                                                                                                                                                  30. April 2021

                                                                                                                                                  Die VM-Anforderung für lokalen Festplattenspeicher wurde auf 30 GB geändert. Weitere Informationen finden Sie unter „Anforderungen für virtuelle Gastgeber“.

                                                                                                                                                  Mittwoch, 24. Februar 2021

                                                                                                                                                  Das HDS Setup Tool kann jetzt hinter einem Proxy ausgeführt werden. Weitere Informationen finden Sie unter Erstellen einer Konfigurations-ISO für die HDS-Hosts .

                                                                                                                                                  2. Februar 2021

                                                                                                                                                  HDS kann jetzt ohne gemountete ISO-Datei ausgeführt werden. Weitere Informationen finden Sie unter (Optional) ISO nach HDS-Konfiguration abmontieren .

                                                                                                                                                  11. Januar 2021

                                                                                                                                                  Informationen zum HDS Setup-Tool und zu Proxys hinzugefügt Erstellen einer Konfigurations-ISO für die HDS-Hosts .

                                                                                                                                                  13. Oktober 2020

                                                                                                                                                  Aktualisiert Installationsdateien herunterladen .

                                                                                                                                                  8. Oktober 2020

                                                                                                                                                  Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts und Ändern Sie die Knotenkonfiguration mit Befehlen für FedRAMP-Umgebungen.

                                                                                                                                                  Freitag, 14. August 2020

                                                                                                                                                  Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts und Ändern Sie die Knotenkonfiguration mit Änderungen am Anmeldeprozess.

                                                                                                                                                  Mittwoch, 5. August 2020

                                                                                                                                                  Aktualisiert Testen Sie Ihre Hybrid-Datensicherheitsbereitstellung auf Änderungen in Protokollnachrichten.

                                                                                                                                                  Aktualisiert Anforderungen für virtuelle Gastgeber , um die maximale Anzahl an Hosts zu entfernen.

                                                                                                                                                  Dienstag, 16. Juni 2020

                                                                                                                                                  Aktualisiert Entfernen eines Knotens für Änderungen in der Control Hub-Benutzeroberfläche.

                                                                                                                                                  Donnerstag, 4. Juni 2020

                                                                                                                                                  Aktualisiert Erstellen Sie ein Konfigurations-ISO für die HDS-Hosts für Änderungen in den erweiterten Einstellungen, die Sie möglicherweise festlegen.

                                                                                                                                                  Freitag, 29. Mai 2020

                                                                                                                                                  Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts , um anzuzeigen, dass Sie TLS auch mit SQL Server-Datenbanken, UI-Änderungen und anderen Klarstellungen verwenden können.

                                                                                                                                                  Dienstag, 5. Mai 2020

                                                                                                                                                  Aktualisiert Anforderungen für virtuelle Gastgeber um neue Anforderungen für ESXi 6.5 anzuzeigen.

                                                                                                                                                  21. April 2020

                                                                                                                                                  Aktualisiert Externe Konnektivitätsanforderungen mit neuen CI-Hosts für Amerika.

                                                                                                                                                  1. April 2020

                                                                                                                                                  Aktualisiert Externe Konnektivitätsanforderungen mit Informationen zu regionalen CI-Hosts.

                                                                                                                                                  20. Februar 2020Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts mit Informationen zum neuen optionalen Bildschirm Erweiterte Einstellungen im HDS-Setup-Tool.
                                                                                                                                                  4. Februar 2020Aktualisierte Anforderungen für Proxyserver .
                                                                                                                                                  16. Dezember 2019Die Anforderung, dass der blockierte externe DNS-Auflösungsmodus unter „ Proxyserveranforderungen“ funktioniert, wurde klargestellt .
                                                                                                                                                  19. November 2019

                                                                                                                                                  Informationen zum blockierten externen DNS-Auflösungsmodus wurden in den folgenden Abschnitten hinzugefügt:

                                                                                                                                                  8. November 2019

                                                                                                                                                  Sie können jetzt die Netzwerkeinstellungen für einen Knoten konfigurieren, während Sie die OVA bereitstellen, und nicht erst danach.

                                                                                                                                                  Die folgenden Abschnitte wurden entsprechend aktualisiert:


                                                                                                                                                   

                                                                                                                                                  Die Option zum Konfigurieren von Netzwerkeinstellungen während der OVA-Bereitstellung wurde mit ESXi 6.5 getestet. Die Option ist in früheren Versionen möglicherweise nicht verfügbar.

                                                                                                                                                  6. September 2019

                                                                                                                                                  SQL Server Standard zu Datenbankserveranforderungen .

                                                                                                                                                  29. August 2019Hinzugefügt Konfigurieren von Squid-Proxys für Hybrid Data Security Anhang mit Anleitung zum Konfigurieren von Squid-Proxys zum Ignorieren von Websocket-Datenverkehr für den ordnungsgemäßen Betrieb.
                                                                                                                                                  20. August 2019

                                                                                                                                                  Abschnitte hinzugefügt und aktualisiert, um die Proxy-Unterstützung für die Kommunikation von hybriden Datensicherheitsknoten mit der Webex-Cloud abzudecken.

                                                                                                                                                  Informationen zum Zugriff auf den Inhalt der Proxy-Unterstützung für eine vorhandene Bereitstellung finden Sie im Hilfeartikel Proxy-Unterstützung für Hybrid Data Security und Webex-Videonetz .

                                                                                                                                                  Freitag, 13. Juni 2019Aktualisiert Ablauf der Testversion zur Produktionsaufgabe mit einer Erinnerung zur Synchronisierung der HdsTrialGroup gruppieren Sie ein Objekt, bevor Sie einen Test starten, wenn Ihre Organisation die Verzeichnissynchronisierung verwendet.
                                                                                                                                                  Freitag, 6. März 2019
                                                                                                                                                  Dienstag, 28. Februar 2019
                                                                                                                                                  • Es wurde die Menge des lokalen Festplattenspeichers pro Server korrigiert, den Sie bei der Vorbereitung der virtuellen Hosts, die zu den Hybrid-Datensicherheitsknoten werden, von 50 GB auf 20 GB beiseite legen sollten, um die Größe der Festplatte widerzuspiegeln, die die OVA erstellt.

                                                                                                                                                  26. Februar 2019

                                                                                                                                                  24. Januar 2019

                                                                                                                                                  • Hybrid Data Security unterstützt jetzt Microsoft SQL Server als Datenbank. SQL Server Always On (Always On Failover-Cluster und Always on Availability-Gruppen) wird von den JDBC-Treibern unterstützt, die in der Hybrid-Datensicherheit verwendet werden. Inhalt zur Bereitstellung mit SQL Server hinzugefügt.


                                                                                                                                                     

                                                                                                                                                    Die Unterstützung von Microsoft SQL Server ist nur für neue Bereitstellungen von Hybrid-Datensicherheit vorgesehen. Die Datenmigration von PostgreSQL zu Microsoft SQL Server in einer vorhandenen Bereitstellung wird derzeit nicht unterstützt.

                                                                                                                                                  5. November 2018
                                                                                                                                                  Dienstag, 19. Oktober 2018

                                                                                                                                                  31. Juli 2018

                                                                                                                                                  21. Mai 2018

                                                                                                                                                  Terminologie geändert, um das Rebranding von Cisco Spark widerzuspiegeln:

                                                                                                                                                  • Cisco Spark Hybrid Data Security heißt jetzt Hybrid Data Security.

                                                                                                                                                  • Die Cisco Spark-App ist jetzt die Webex-App.

                                                                                                                                                  • Die Cisco Collaboraton Cloud ist jetzt die Webex-Cloud.

                                                                                                                                                  Dienstag, 11. April 2018
                                                                                                                                                  22. Februar 2018
                                                                                                                                                  Donnerstag, 15. Februar 2018
                                                                                                                                                  • In der Tabelle X.509-Zertifikatanforderungen wurde festgelegt, dass das Zertifikat kein Wildcard-Zertifikat sein darf und dass das KMS die CN-Domäne verwendet, nicht eine Domäne, die in den x.509v3-SAN-Feldern definiert ist.

                                                                                                                                                  Donnerstag, 18. Januar 2018

                                                                                                                                                  2. November 2017

                                                                                                                                                  • Klarere Verzeichnissynchronisierung der HdsTrialGroup.

                                                                                                                                                  • Behobene Anweisungen zum Hochladen der ISO-Konfigurationsdatei zum Mounten auf die VM-Knoten.

                                                                                                                                                  Freitag, 18. August 2017

                                                                                                                                                  Erste Veröffentlichung

                                                                                                                                                  Erste Schritte mit der Hybrid-Datensicherheit

                                                                                                                                                  Übersicht über die Hybrid-Datensicherheit

                                                                                                                                                  Von Anfang an stand bei der Entwicklung der Webex App die Datensicherheit im Vordergrund. Der Grundstein dieser Sicherheit ist die durchgängige Inhaltsverschlüsselung, die durch die Interaktion von Webex App-Clients mit dem Schlüsselverwaltungsdienst (KMS) ermöglicht wird. Der KMS erstellt und verwaltet die Kryptografieschlüssel, mit denen die Clients ihre Nachrichten und Dateien dynamisch ver- und entschlüsseln.

                                                                                                                                                  Standardmäßig erhalten alle Webex-App-Kunden eine durchgängige Verschlüsselung mit dynamischen Schlüsseln, die im Cloud-KMS im Sicherheitsbereich von Cisco gespeichert sind. Mit Hybrid Data Security werden KMS und andere Sicherheitsfunktionen in das Rechenzentrum Ihres Unternehmens verschoben, damit die Schlüssel zu ihren verschlüsselten Inhalten ausschließlich bei Ihnen liegen.

                                                                                                                                                  Sicherheitsbereichsarchitektur

                                                                                                                                                  Die Webex Cloud-Architektur trennt verschiedene Servicetypen in separate Bereiche oder Vertrauensdomänen, wie unten dargestellt.

                                                                                                                                                  Bereiche der Trennung (ohne Hybrid-Datensicherheit)

                                                                                                                                                  Um die Hybrid-Datensicherheit weiter zu verstehen, werfen wir einen Blick auf diesen reinen Cloud-Fall, in dem Cisco alle Funktionen in seinen Cloud-Bereichen bereitstellt. Der Identitätsdienst, der einzige Ort, an dem Benutzer direkt mit ihren persönlichen Informationen wie E-Mail-Adresse korreliert werden können, ist logisch und physisch getrennt vom Sicherheitsbereich im Rechenzentrum B. Beide sind wiederum getrennt vom Bereich, in dem letztlich verschlüsselte Inhalte gespeichert werden, im Rechenzentrum C.

                                                                                                                                                  In diesem Diagramm ist der Client die Webex-App, die auf dem Laptop eines Benutzers ausgeführt wird und sich beim Identitätsdienst authentifiziert hat. Wenn der Benutzer eine Nachricht erstellt, die an einen Bereich gesendet werden soll, werden die folgenden Schritte ausgeführt:

                                                                                                                                                  1. Der Client stellt eine sichere Verbindung mit dem Schlüsselverwaltungsdienst (KMS) her und fordert dann einen Schlüssel zum Verschlüsseln der Nachricht an. Die sichere Verbindung verwendet ECDH, und das KMS verschlüsselt den Schlüssel mit einem AES-256-Master-Schlüssel.

                                                                                                                                                  2. Die Nachricht wird verschlüsselt, bevor sie den Client verlässt. Der Client sendet es an den Indexierungsdienst, der verschlüsselte Suchindizes erstellt, die bei der zukünftigen Suche nach den Inhalten helfen.

                                                                                                                                                  3. Die verschlüsselte Nachricht wird für Compliance-Prüfungen an den Compliance-Dienst gesendet.

                                                                                                                                                  4. Die verschlüsselte Nachricht wird im Speicherbereich gespeichert.

                                                                                                                                                  Wenn Sie Hybrid Data Security bereitstellen, verschieben Sie die Sicherheitsbereichsfunktionen (KMS, Indizierung und Compliance) in Ihr lokales Rechenzentrum. Die anderen Cloud-Dienste, aus denen Webex besteht (einschließlich Identitäts- und Inhaltsspeicher), verbleiben in den Bereichen von Cisco.

                                                                                                                                                  Zusammenarbeit mit anderen Organisationen

                                                                                                                                                  Benutzer in Ihrer Organisation verwenden möglicherweise regelmäßig die Webex-App, um mit externen Teilnehmern in anderen Organisationen zusammenzuarbeiten. Wenn einer Ihrer Benutzer einen Schlüssel für einen Bereich anfordert, der zu Ihrer Organisation gehört (da er von einem Ihrer Benutzer erstellt wurde), sendet KMS den Schlüssel über einen ECDH-sicheren Kanal an den Client. Wenn jedoch eine andere Organisation den Schlüssel für den Bereich besitzt, leitet Ihre KMS die Anforderung über einen separaten ECDH-Kanal an die Webex-Cloud weiter, um den Schlüssel von der entsprechenden KMS zu erhalten, und gibt den Schlüssel dann an Ihren Benutzer im ursprünglichen Kanal zurück.

                                                                                                                                                  Der auf Org A ausgeführte KMS-Dienst validiert die Verbindungen zu KMSs in anderen Organisationen mit x.509 PKI-Zertifikaten. Siehe Umgebung vorbereiten für Details zur Generierung eines x.509-Zertifikats für Ihre Hybrid-Datensicherheitsbereitstellung.

                                                                                                                                                  Erwartungen an die Bereitstellung der Hybrid-Datensicherheit

                                                                                                                                                  Eine Bereitstellung von Hybrid-Datensicherheit erfordert erhebliches Kundenengagement und ein Bewusstsein für die Risiken, die sich aus dem Besitz von Verschlüsselungscodes ergeben.

                                                                                                                                                  Um die Hybrid-Datensicherheit bereitzustellen, müssen Sie Folgendes bereitstellen:

                                                                                                                                                  Der vollständige Verlust der Konfigurations-ISO, die Sie für Hybrid Data Security erstellen, oder der von Ihnen bereitgestellten Datenbank führt zum Verlust der Schlüssel. Der Schlüsselverlust verhindert, dass Benutzer Bereichsinhalte und andere verschlüsselte Daten in der Webex-App entschlüsseln. In diesem Fall können Sie eine neue Bereitstellung erstellen, aber nur neue Inhalte werden angezeigt. Um den Verlust des Zugriffs auf Daten zu vermeiden, müssen Sie:

                                                                                                                                                  • Verwalten Sie die Sicherung und Wiederherstellung der Datenbank und der ISO-Konfiguration.

                                                                                                                                                  • Bereiten Sie sich auf eine schnelle Notfallwiederherstellung vor, wenn eine Katastrophe auftritt, z. B. ein Datenbankfestplattenausfall oder eine Datencenter-Katastrophe.


                                                                                                                                                   

                                                                                                                                                  Es gibt keinen Mechanismus, um Schlüssel nach einer HDS-Bereitstellung zurück in die Cloud zu verschieben.

                                                                                                                                                  Hochrangiger Einrichtungsprozess

                                                                                                                                                  Dieses Dokument behandelt die Einrichtung und Verwaltung einer Bereitstellung für Hybrid-Datensicherheit:

                                                                                                                                                  • Hybrid-Datensicherheit einrichten – Dazu gehören die Vorbereitung der erforderlichen Infrastruktur und die Installation der Hybrid-Datensicherheitssoftware, das Testen Ihrer Bereitstellung mit einer Teilmenge von Benutzern im Testmodus und die Umstellung auf die Produktion, sobald die Tests abgeschlossen sind. Dadurch wird die gesamte Organisation konvertiert, um Ihren Hybrid-Datensicherheitscluster für Sicherheitsfunktionen zu verwenden.

                                                                                                                                                    Die Einrichtungs-, Test- und Produktionsphasen werden in den nächsten drei Kapiteln ausführlich behandelt.

                                                                                                                                                  • Bereitstellen der Hybrid-Datensicherheit aufrechterhalten – Die Webex-Cloud stellt automatisch laufende Upgrades bereit. Ihre IT-Abteilung kann diese Bereitstellung mit Unterstützung der Stufe eins unterstützen und bei Bedarf den Cisco-Support einbeziehen. Sie können Benachrichtigungen auf dem Bildschirm verwenden und E-Mail-basierte Warnungen in Control Hub einrichten.

                                                                                                                                                  • Allgemeine Warnungen, Schritte zur Fehlerbehebung und bekannte Probleme – Wenn bei der Bereitstellung oder Verwendung von Hybrid Data Security Probleme auftreten, können Sie das letzte Kapitel dieses Handbuchs und der Anhang „Bekannte Probleme“ bei der Bestimmung und Behebung des Problems helfen.

                                                                                                                                                  Bereitstellungsmodell für Hybrid-Datensicherheit

                                                                                                                                                  Im Rechenzentrum Ihres Unternehmens stellen Sie die Hybrid-Datensicherheit als ein einzelnes Cluster von Knoten auf separaten virtuellen Hosts bereit. Die Knoten kommunizieren über sichere Websockets und sicheres HTTP mit der Webex-Cloud.

                                                                                                                                                  Während der Installation stellen wir Ihnen die OVA-Datei zur Verfügung, um die virtuelle Appliance auf den von Ihnen bereitgestellten VMs einzurichten. Mit dem HDS-Setup-Tool können Sie eine benutzerdefinierte ISO-Datei für die Clusterkonfiguration erstellen, die Sie auf jedem Knoten mounten. Der Hybrid-Datensicherheitscluster verwendet Ihren bereitgestellten Syslogd-Server und die PostgreSQL- oder Microsoft SQL Server-Datenbank. (Sie konfigurieren die Syslogd- und Datenbankverbindungsdetails im HDS Setup Tool.)

                                                                                                                                                  Bereitstellungsmodell für Hybrid-Datensicherheit

                                                                                                                                                  Die Mindestanzahl an Knoten, die Sie in einem Cluster haben können, beträgt zwei. Wir empfehlen mindestens drei und Sie können bis zu fünf haben. Wenn Sie mehrere Knoten haben, wird sichergestellt, dass der Dienst während eines Software-Upgrades oder einer anderen Wartungsaktivität auf einem Knoten nicht unterbrochen wird. (Die Webex-Cloud aktualisiert nur jeweils einen Knoten.)

                                                                                                                                                  Alle Knoten in einem Cluster greifen auf denselben Schlüsseldatastore zu und protokollieren die Aktivität mit demselben Syslog-Server. Die Knoten selbst sind staatenlos und bearbeiten wichtige Anfragen in Round-Robin-Manier, wie von der Cloud geleitet.

                                                                                                                                                  Knoten werden aktiv, wenn Sie sie in Control Hub registrieren. Um einen einzelnen Knoten außer Betrieb zu nehmen, können Sie die Registrierung aufheben und ihn bei Bedarf später erneut registrieren.

                                                                                                                                                  Wir unterstützen nur ein einzelnes Cluster pro Organisation.

                                                                                                                                                  Testmodus für Hybrid-Datensicherheit

                                                                                                                                                  Nachdem Sie eine Bereitstellung für Hybrid-Datensicherheit eingerichtet haben, versuchen Sie es zunächst mit einer Reihe von Pilotbenutzern. Während des Testzeitraums verwenden diese Benutzer Ihre lokale Hybrid-Datensicherheitsdomäne für Verschlüsselungscodes und andere Dienste des Sicherheitsbereichs. Ihre anderen Benutzer verwenden weiterhin den Cloud-Sicherheitsbereich.

                                                                                                                                                  Wenn Sie die Bereitstellung während des Testzeitraums nicht fortsetzen und den Dienst deaktivieren möchten, verlieren die Pilotbenutzer und alle Benutzer, mit denen sie während des Testzeitraums interagiert haben, den Zugriff auf die Nachrichten und Inhalte. Ihnen wird in der Webex-App „Diese Nachricht kann nicht entschlüsselt werden“ angezeigt.

                                                                                                                                                  Wenn Sie überzeugt sind, dass Ihre Bereitstellung für die Testbenutzer gut funktioniert und Sie bereit sind, die Hybrid-Datensicherheit auf alle Ihre Benutzer auszuweiten, verschieben Sie die Bereitstellung in die Produktion. Pilotbenutzer haben weiterhin Zugriff auf die Schlüssel, die während der Testphase verwendet wurden. Sie können jedoch nicht zwischen dem Produktionsmodus und der ursprünglichen Testversion hin- und herwechseln. Wenn Sie den Dienst deaktivieren müssen, um z. B. eine Notfallwiederherstellung durchzuführen, müssen Sie bei der erneuten Aktivierung einen neuen Test starten und die Anzahl der Pilotbenutzer für den neuen Test einrichten, bevor Sie in den Produktionsmodus zurückkehren. Ob die Benutzer zu diesem Zeitpunkt weiterhin Zugriff auf Daten haben, hängt davon ab, ob Sie Backups des Schlüsseldatenspeichers und der ISO-Konfigurationsdatei für die Hybrid-Datensicherheitsknoten in Ihrem Cluster erfolgreich durchgeführt haben.

                                                                                                                                                  Standby-Rechenzentrum für die Notfallwiederherstellung

                                                                                                                                                  Während der Bereitstellung richten Sie ein sicheres Standby-Rechenzentrum ein. Im Falle eines Rechenzentrums-Desasters können Sie Ihre Bereitstellung manuell auf das Standby-Rechenzentrum umlegen.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manuelles Failover zum Standby-Rechenzentrum

                                                                                                                                                  Die Datenbanken der aktiven und Standby-Rechenzentren sind miteinander synchronisiert, wodurch die Zeit für die Durchführung des Failovers minimiert wird. Die ISO-Datei des Standby-Rechenzentrums wird mit zusätzlichen Konfigurationen aktualisiert, die sicherstellen, dass die Knoten in der Organisation registriert sind, aber keinen Datenverkehr verarbeiten. Daher bleiben die Knoten des Standby-Rechenzentrums immer auf dem neuesten Stand mit der neuesten Version der HDS-Software.


                                                                                                                                                   

                                                                                                                                                  Die aktiven Hybrid-Datensicherheitsknoten müssen sich immer im selben Rechenzentrum wie der aktive Datenbankserver befinden.

                                                                                                                                                  Standby-Rechenzentrum für die Notfallwiederherstellung einrichten

                                                                                                                                                  Führen Sie die folgenden Schritte aus, um die ISO-Datei des Standby-Rechenzentrums zu konfigurieren:

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  • Das Standby-Rechenzentrum sollte die Produktionsumgebung von VMs und eine Backup-PostgreSQL- oder Microsoft SQL Server-Datenbank spiegeln. Wenn die Produktion beispielsweise über 3 VMs verfügt, auf denen HDS-Knoten ausgeführt werden, sollte die Backup-Umgebung über 3 VMs verfügen. (Siehe Standby Data Center for Disaster Recovery für eine Übersicht über dieses Failover-Modell.)

                                                                                                                                                  • Stellen Sie sicher, dass die Datenbanksynchronisierung zwischen der Datenbank aktiver und passiver Cluster-Knoten aktiviert ist.

                                                                                                                                                  1

                                                                                                                                                  Starten Sie das HDS-Setup-Tool und befolgen Sie die unter Erstellen einer Konfigurations-ISO für die HDS-Hosts genannten Schritte.


                                                                                                                                                   

                                                                                                                                                  Die ISO-Datei muss eine Kopie der ursprünglichen ISO-Datei des primären Rechenzentrums sein, auf das die folgenden Konfigurationsaktualisierungen vorgenommen werden sollen.

                                                                                                                                                  2

                                                                                                                                                  Klicken Sie nach der Konfiguration des Syslogd-Servers auf Erweiterte Einstellungen

                                                                                                                                                  3

                                                                                                                                                  Fügen Sie auf der Seite Erweiterte Einstellungen unten die Konfiguration hinzu, um den Knoten im passiven Modus zu platzieren. In diesem Modus wird der Knoten in der Organisation registriert und mit der Cloud verbunden, verarbeitet jedoch keinen Datenverkehr.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Schließen Sie den Konfigurationsvorgang ab und speichern Sie die ISO-Datei an einem leicht zu findenden Speicherort.

                                                                                                                                                  5

                                                                                                                                                  Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Halten Sie die Sicherungskopie sicher. Diese Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff nur auf Hybrid-Datensicherheitsadministratoren, die Konfigurationsänderungen vornehmen sollten.

                                                                                                                                                  6

                                                                                                                                                  Klicken Sie im linken Navigationsbereich des VMware vSphere-Clients mit der rechten Maustaste auf die VM und klicken Sie auf Einstellungen bearbeiten..

                                                                                                                                                  7

                                                                                                                                                  Klicken Sie auf Einstellungen bearbeiten > CD/DVD Laufwerk 1 und wählen Sie Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Stellen Sie sicher, dass „Verbunden“ und „Verbindung beim Einschalten“ aktiviert sind, damit aktualisierte Konfigurationsänderungen nach dem Starten der Knoten wirksam werden können.

                                                                                                                                                  8

                                                                                                                                                  Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 15 Minuten lang keine Alarme vorhanden sind.

                                                                                                                                                  9

                                                                                                                                                  Wiederholen Sie den Vorgang für jeden Knoten im Standby-Rechenzentrum.


                                                                                                                                                   

                                                                                                                                                  Überprüfen Sie die Syslogs, um sicherzustellen, dass sich die Knoten im passiven Modus befinden. Sie sollten in der Lage sein, die Meldung „KMS im passiven Modus konfiguriert“ in den Syslogs anzuzeigen.

                                                                                                                                                  Nächste Schritte

                                                                                                                                                  Nach der Konfiguration passiveMode in der ISO-Datei zu speichern, können Sie eine andere Kopie der ISO-Datei ohne die passiveMode konfigurieren und an einem sicheren Speicherort speichern. Diese Kopie der ISO-Datei ohne passiveMode konfiguriert kann bei einem schnellen Failover-Prozess während der Notfallwiederherstellung helfen. Siehe Notfallwiederherstellung mit Standby-Rechenzentrum für das detaillierte Failover-Verfahren.

                                                                                                                                                  Proxy-Unterstützung

                                                                                                                                                  Hybrid Data Security unterstützt explizite, transparente Inspektion und Nicht-Inspektion von Proxys. Sie können diese Proxys mit Ihrer Bereitstellung verknüpfen, sodass Sie den Datenverkehr vom Unternehmen in die Cloud absichern und überwachen können. Sie können eine Plattform-Admin-Oberfläche auf den Knoten für die Zertifikatsverwaltung und zum Überprüfen des allgemeinen Verbindungsstatus verwenden, nachdem Sie den Proxy auf den Knoten eingerichtet haben.

                                                                                                                                                  Die Hybrid-Datensicherheitsknoten unterstützen die folgenden Proxy-Optionen:

                                                                                                                                                  • Kein Proxy – Der Standard, wenn Sie nicht die HDS-Knoteneinrichtung Trust Store- und Proxy-Konfiguration verwenden, um einen Proxy zu integrieren. Es ist keine Zertifikataktualisierung erforderlich.

                                                                                                                                                  • Transparenter Proxy ohne Prüfung – Die Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert und erfordern keine Änderungen, damit sie mit einem Proxy ohne Prüfung funktionieren. Es ist keine Zertifikataktualisierung erforderlich.

                                                                                                                                                  • Transparentes Tunneln oder Prüfen des Proxy – Die Knoten sind nicht so konfiguriert, dass sie eine bestimmte Proxyserver-Adresse verwenden. Auf den Knoten sind keine HTTP- oder HTTPS-Konfigurationsänderungen erforderlich. Die Knoten benötigen jedoch ein Stammzertifikat, damit sie dem Proxy vertrauen können. In der Regel werden Proxys von der IT verwendet, um Richtlinien durchzusetzen, auf denen Websites besucht werden können und welche Arten von Inhalten nicht zulässig sind. Dieser Proxy-Typ entschlüsselt Ihren gesamten Datenverkehr (auch HTTPS).

                                                                                                                                                  • Expliziter Proxy – Mit explizitem Proxy teilen Sie den HDS-Knoten mit, welchen Proxyserver und welches Authentifizierungsschema verwendet werden soll. Um einen expliziten Proxy zu konfigurieren, müssen Sie auf jedem Knoten die folgenden Informationen eingeben:

                                                                                                                                                    1. Proxy-IP/FQDN : Adresse, die zum Erreichen der Proxymaschine verwendet werden kann.

                                                                                                                                                    2. Proxy-Port : Eine Portnummer, die der Proxy für die Überwachung des Proxyverkehrs verwendet.

                                                                                                                                                    3. Proxy-Protokoll : Je nachdem, was Ihr Proxy-Server unterstützt, wählen Sie zwischen den folgenden Protokollen:

                                                                                                                                                      • HTTP – Zeigt alle vom Client gesendeten Anfragen an und steuert sie.

                                                                                                                                                      • HTTPS: Stellt dem Server einen Kanal zur Verfügung. Der Client empfängt und validiert das Zertifikat des Servers.

                                                                                                                                                    4. Authentifizierungstyp : Wählen Sie einen der folgenden Authentifizierungstypen aus:

                                                                                                                                                      • Keine: Es ist keine weitere Authentifizierung erforderlich.

                                                                                                                                                        Verfügbar, wenn Sie HTTP oder HTTPS als Proxy-Protokoll auswählen.

                                                                                                                                                      • Basic – Wird für einen HTTP-Benutzeragenten verwendet, um bei einer Anforderung einen Benutzernamen und ein Kennwort anzugeben. Verwendet Base64-Codierung.

                                                                                                                                                        Verfügbar, wenn Sie HTTP oder HTTPS als Proxy-Protokoll auswählen.

                                                                                                                                                        Erfordert die Eingabe des Benutzernamens und des Kennworts auf den einzelnen Knoten.

                                                                                                                                                      • Ziffer : Wird verwendet, um das Konto zu bestätigen, bevor sensible Informationen gesendet werden. Wendet eine Hash-Funktion auf den Benutzernamen und das Kennwort an, bevor sie über das Netzwerk gesendet werden.

                                                                                                                                                        Nur verfügbar, wenn Sie HTTPS als Proxy-Protokoll auswählen.

                                                                                                                                                        Erfordert die Eingabe des Benutzernamens und des Kennworts auf den einzelnen Knoten.

                                                                                                                                                  Beispiel für hybride Datensicherheitsknoten und Proxy

                                                                                                                                                  Dieses Diagramm zeigt eine Beispielverbindung zwischen der Hybrid-Datensicherheit, dem Netzwerk und einem Proxy. Für die transparenten Inspektions- und HTTPS-Optionen zur expliziten Inspektion von Proxy muss dasselbe Stammzertifikat auf dem Proxy und auf den Hybrid-Datensicherheitsknoten installiert sein.

                                                                                                                                                  Blockierter externer DNS-Auflösungsmodus (Explizite Proxykonfigurationen)

                                                                                                                                                  Wenn Sie einen Knoten registrieren oder die Proxy-Konfiguration des Knotens überprüfen, testet der Prozess die DNS-Suche und die Konnektivität mit der Cisco Webex-Cloud. In Bereitstellungen mit expliziten Proxy-Konfigurationen, die keine externe DNS-Auflösung für interne Clients zulassen, wechselt der Knoten automatisch in den Modus für blockierte externe DNS-Auflösung, wenn er die DNS-Server nicht abfragen kann. In diesem Modus können die Knotenregistrierung und andere Proxy-Verbindungstests fortgesetzt werden.

                                                                                                                                                  Umgebung vorbereiten

                                                                                                                                                  Anforderungen an die Hybrid-Datensicherheit

                                                                                                                                                  Cisco Webex-Lizenzanforderungen

                                                                                                                                                  So stellen Sie die Hybrid-Datensicherheit bereit:

                                                                                                                                                  Docker Desktop-Anforderungen

                                                                                                                                                  Bevor Sie Ihre HDS-Knoten installieren, benötigen Sie Docker Desktop, um ein Setup-Programm auszuführen. Docker hat kürzlich sein Lizenzierungsmodell aktualisiert. Ihre Organisation benötigt möglicherweise ein kostenpflichtiges Abonnement für Docker Desktop. Weitere Informationen finden Sie im Docker-Blog „ Docker aktualisiert und erweitert unsere Produktabonnements ".

                                                                                                                                                  X.509-Zertifikatanforderungen

                                                                                                                                                  Die Zertifikatskette muss die folgenden Anforderungen erfüllen:

                                                                                                                                                  Tabelle 1: X.509-Zertifikatanforderungen für die Bereitstellung der Hybrid-Datensicherheit

                                                                                                                                                  Anforderung

                                                                                                                                                  Details

                                                                                                                                                  • Signiert von einer vertrauenswürdigen Zertifizierungsstelle (CA)

                                                                                                                                                  Standardmäßig vertrauen wir den CAs in der Mozilla-Liste (mit Ausnahme von WoSign und StartCom) auf https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Gibt einen Domänennamen mit allgemeinem Namen (Common Name, CN) an, der Ihre Bereitstellung für die Hybrid-Datensicherheit identifiziert

                                                                                                                                                  • Ist kein Wildcard-Zertifikat

                                                                                                                                                  Der CN muss nicht erreichbar sein oder ein Live-Host sein. Wir empfehlen Ihnen beispielsweise, einen Namen zu verwenden, der Ihre Organisation widerspiegelt. hds.company.com.

                                                                                                                                                  Der CN darf kein * (Platzhalter) enthalten.

                                                                                                                                                  Der CN wird verwendet, um die Hybrid-Datensicherheitsknoten für Webex-App-Clients zu verifizieren. Alle Hybrid-Datensicherheitsknoten in Ihrem Cluster verwenden dasselbe Zertifikat. Ihr KMS identifiziert sich mit der CN-Domäne, nicht mit einer Domäne, die in den SAN-Feldern x.509v3 definiert ist.

                                                                                                                                                  Sobald Sie einen Knoten mit diesem Zertifikat registriert haben, wird das Ändern des CN-Domänennamens nicht unterstützt. Wählen Sie eine Domäne aus, die sowohl für Test- als auch für Produktionsbereitstellungen gelten kann.

                                                                                                                                                  • Nicht-SHA1-Signatur

                                                                                                                                                  Die KMS-Software unterstützt keine SHA1-Signaturen für die Überprüfung von Verbindungen zu KMSs anderer Organisationen.

                                                                                                                                                  • Als passwortgeschützte PKCS #12-Datei formatiert

                                                                                                                                                  • Verwenden Sie den freundlichen Namen von kms-private-key um das Zertifikat, den privaten Schlüssel und alle Zwischenzertifikate zum Hochladen zu markieren.

                                                                                                                                                  Sie können einen Konverter wie OpenSSL verwenden, um das Format Ihres Zertifikats zu ändern.

                                                                                                                                                  Sie müssen das Kennwort eingeben, wenn Sie das HDS-Setup-Tool ausführen.

                                                                                                                                                  Die KMS-Software erzwingt keine Schlüsselnutzung oder erweiterte Schlüsselnutzungsbeschränkungen. Einige Zertifizierungsstellen verlangen, dass für jedes Zertifikat erweiterte Nutzungsbeschränkungen gelten, z. B. Serverauthentifizierung. Es ist in Ordnung, die Server-Authentifizierung oder andere Einstellungen zu verwenden.

                                                                                                                                                  Anforderungen an virtuelle Gastgeber

                                                                                                                                                  Die virtuellen Hosts, die Sie als Hybrid-Datensicherheitsknoten in Ihrem Cluster einrichten, haben die folgenden Anforderungen:

                                                                                                                                                  • Mindestens zwei separate Hosts (3 empfohlen) in demselben sicheren Rechenzentrum

                                                                                                                                                  • VMware ESXi 6.5 (oder höher) installiert und ausgeführt.


                                                                                                                                                     

                                                                                                                                                    Sie müssen ein Upgrade durchführen, wenn Sie über eine frühere ESXi-Version verfügen.

                                                                                                                                                  • Mindestens 4 vCPUs, 8 GB Hauptspeicher, 30 GB lokaler Festplattenspeicher pro Server

                                                                                                                                                  Anforderungen des Datenbankservers


                                                                                                                                                   

                                                                                                                                                  Erstellen Sie eine neue Datenbank für den Schlüsselspeicher. Verwenden Sie nicht die Standarddatenbank. Wenn die HDS-Anwendungen installiert sind, erstellen Sie das Datenbankschema.

                                                                                                                                                  Es gibt zwei Optionen für den Datenbankserver. Die Anforderungen für die einzelnen sind wie folgt:

                                                                                                                                                  Tabelle 2: Anforderungen des Datenbankservers nach Art der Datenbank

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL-Server

                                                                                                                                                  • PostgreSQL 14, 15 oder 16, installiert und ausgeführt.

                                                                                                                                                  • SQL Server 2016, 2017 oder 2019 (Enterprise oder Standard) installiert.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 erfordert Service Pack 2 und kumulatives Update 2 oder höher.

                                                                                                                                                  Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichender Festplattenspeicher und Überwachung, um sicherzustellen, dass er nicht überschritten wird (2 TB empfohlen, wenn Sie die Datenbank für längere Zeit ausführen möchten, ohne den Speicher erhöhen zu müssen)

                                                                                                                                                  Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichender Festplattenspeicher und Überwachung, um sicherzustellen, dass er nicht überschritten wird (2 TB empfohlen, wenn Sie die Datenbank für längere Zeit ausführen möchten, ohne den Speicher erhöhen zu müssen)

                                                                                                                                                  Die HDS-Software installiert derzeit folgende Treiberversionen für die Kommunikation mit dem Datenbankserver:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL-Server

                                                                                                                                                  Postgres JDBC-Treiber 42.2.5

                                                                                                                                                  SQL Server JDBC-Treiber 4.6

                                                                                                                                                  Diese Treiberversion unterstützt SQL Server Always On ( Always On Failover Cluster Instances und Always On Availability Groups ).

                                                                                                                                                  Zusätzliche Anforderungen für die Windows-Authentifizierung gegen Microsoft SQL Server

                                                                                                                                                  Wenn Sie möchten, dass HDS-Knoten die Windows-Authentifizierung verwenden, um Zugriff auf Ihre Keystore-Datenbank auf Microsoft SQL Server zu erhalten, benötigen Sie die folgende Konfiguration in Ihrer Umgebung:

                                                                                                                                                  • Die HDS-Knoten, die Active Directory-Infrastruktur und der MS SQL Server müssen mit NTP synchronisiert werden.

                                                                                                                                                  • Das Windows-Konto, das Sie HDS-Knoten zur Verfügung stellen, muss Lese-/Schreibzugriff auf die Datenbank haben.

                                                                                                                                                  • Die DNS-Server, die Sie den HDS-Knoten bereitstellen, müssen Ihr Key Distribution Center (KDC) auflösen können.

                                                                                                                                                  • Sie können die HDS-Datenbankinstanz auf Ihrem Microsoft SQL Server als Service Principal Name (SPN) in Ihrem Active Directory registrieren. Siehe Einen Service Principal Name für Kerberos Connections registrieren .

                                                                                                                                                    Das HDS-Setup-Tool, der HDS-Launcher und lokale KMS müssen alle die Windows-Authentifizierung verwenden, um auf die Keystore-Datenbank zuzugreifen. Sie verwenden die Details aus Ihrer ISO-Konfiguration, um den SPN zu konstruieren, wenn sie den Zugriff mit Kerberos-Authentifizierung anfordern.

                                                                                                                                                  Anforderungen an externe Konnektivität

                                                                                                                                                  Konfigurieren Sie Ihre Firewall so, dass die folgende Konnektivität für die HDS-Anwendungen zulässig ist:

                                                                                                                                                  Anwendung

                                                                                                                                                  Protokoll

                                                                                                                                                  Port

                                                                                                                                                  Richtung aus der App

                                                                                                                                                  Ziel

                                                                                                                                                  Hybrid-Datensicherheitsknoten

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Ausgehende HTTPS und WSS

                                                                                                                                                  HDS-Setup-Tool

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Ausgehende HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alle Common Identity-Gastgeber

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Die Hybrid-Datensicherheitsknoten funktionieren mit NAT (Network Access Translation) oder hinter einer Firewall, sofern die NAT oder Firewall die erforderlichen ausgehenden Verbindungen zu den Domänenzielen in der vorangehenden Tabelle zulässt. Bei eingehenden Verbindungen zu den Hybrid-Datensicherheitsknoten sollten keine Ports aus dem Internet sichtbar sein. Innerhalb Ihres Rechenzentrums benötigen Clients für administrative Zwecke Zugriff auf die Hybrid-Datensicherheitsknoten an den TCP-Ports 443 und 22.

                                                                                                                                                  Die URLs für die Common Identity (CI)-Hosts sind regionsspezifisch. Dies sind die aktuellen CI-Hosts:

                                                                                                                                                  Region

                                                                                                                                                  Gastgeber-URLs der gemeinsamen Benutzeridentität

                                                                                                                                                  Nord- und Südamerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Europäische Union

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Proxyserver-Anforderungen

                                                                                                                                                  • Wir unterstützen offiziell die folgenden Proxy-Lösungen, die in Ihre hybriden Datensicherheitsknoten integriert werden können.

                                                                                                                                                    • Transparenter Proxy: Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Expliziter Proxy: Squid.


                                                                                                                                                       

                                                                                                                                                      Squid-Proxys, die HTTPS-Datenverkehr prüfen, können die Einrichtung von Websocket beeinträchtigen (wss:) Verbindungen. Informationen zur Behebung dieses Problems finden Sie unter Konfigurieren von Squid-Proxys für Hybrid Data Security .

                                                                                                                                                  • Wir unterstützen die folgenden Authentifizierungstyp-Kombinationen für explizite Proxys:

                                                                                                                                                    • Keine Authentifizierung mit HTTP oder HTTPS

                                                                                                                                                    • Basisauthentifizierung mit HTTP oder HTTPS

                                                                                                                                                    • Digest-Authentifizierung nur mit HTTPS

                                                                                                                                                  • Für einen transparenten Prüfproxy oder einen expliziten HTTPS-Proxy müssen Sie über eine Kopie des Stammzertifikats des Proxys verfügen. In den Bereitstellungsanweisungen in diesem Handbuch erfahren Sie, wie Sie die Kopie in die Vertrauensspeicher der Hybrid-Datensicherheitsknoten hochladen.

                                                                                                                                                  • Das Netzwerk, das die HDS-Knoten hostet, muss so konfiguriert werden, dass ausgehender TCP-Datenverkehr auf Port 443 zur Weiterleitung durch den Proxy erzwungen wird.

                                                                                                                                                  • Proxys, die den Web-Datenverkehr überprüfen, können Web-Socket-Verbindungen stören. Wenn dieses Problem auftritt, den Datenverkehr umgehen (nicht kontrollieren) zu wbx2.com und ciscospark.com wird das Problem lösen.

                                                                                                                                                  Vervollständigen der Voraussetzungen für die Hybrid-Datensicherheit

                                                                                                                                                  Verwenden Sie diese Checkliste, um sicherzustellen, dass Sie bereit für die Installation und Konfiguration Ihres Hybrid-Datensicherheitsclusters sind.
                                                                                                                                                  1

                                                                                                                                                  Stellen Sie sicher, dass Ihre Webex-Organisation für Pro Pack für Cisco Webex Control Hub aktiviert ist, und erhalten Sie die Anmeldeinformationen eines Kontos mit vollständigen Administratorrechten für die Organisation. Wenden Sie sich an Ihren Cisco-Partner oder Account Manager, um Hilfe bei diesem Vorgang zu erhalten.

                                                                                                                                                  2

                                                                                                                                                  Wählen Sie einen Domänennamen für Ihre HDS-Bereitstellung (z. B. hds.company.com) und erhalten Sie eine Zertifikatskette mit einem X.509-Zertifikat, einem privaten Schlüssel und Zwischenzertifikaten. Die Zertifikatskette muss die Anforderungen in X.509 Zertifikatanforderungen erfüllen.

                                                                                                                                                  3

                                                                                                                                                  Bereiten Sie identische virtuelle Hosts vor, die Sie als Hybrid-Datensicherheitsknoten in Ihrem Cluster einrichten. Sie benötigen mindestens zwei separate Hosts (3 empfohlen) in demselben sicheren Rechenzentrum, die die Anforderungen unter „Anforderungen an virtuelle Hosts“ erfüllen.

                                                                                                                                                  4

                                                                                                                                                  Bereiten Sie den Datenbankserver vor, der als Schlüsseldatenspeicher für den Cluster fungieren wird, gemäß den Anforderungen des Datenbankservers . Der Datenbankserver muss im sicheren Rechenzentrum mit den virtuellen Hosts verbunden sein.

                                                                                                                                                  1. Erstellen Sie eine Datenbank für die Schlüsselspeicherung. (Sie müssen diese Datenbank erstellen. Verwenden Sie nicht die Standarddatenbank. Wenn die HDS-Anwendungen installiert sind, erstellen Sie das Datenbankschema.)

                                                                                                                                                  2. Erfassen Sie die Details, die die Knoten für die Kommunikation mit dem Datenbankserver verwenden:

                                                                                                                                                    • Hostname oder IP-Adresse (Host) und Port

                                                                                                                                                    • der Name der Datenbank (dbname) für die Schlüsselspeicherung

                                                                                                                                                    • Benutzername und Kennwort eines Benutzers mit allen Berechtigungen in der Schlüsselspeicherdatenbank

                                                                                                                                                  5

                                                                                                                                                  Richten Sie für eine schnelle Notfallwiederherstellung eine Sicherungsumgebung in einem anderen Rechenzentrum ein. Die Backup-Umgebung spiegelt die Produktionsumgebung von VMs und einem Backup-Datenbankserver wider. Wenn die Produktion beispielsweise über 3 VMs verfügt, auf denen HDS-Knoten ausgeführt werden, sollte die Sicherungsumgebung über 3 VMs verfügen.

                                                                                                                                                  6

                                                                                                                                                  Richten Sie einen Syslog-Host ein, um Protokolle von den Knoten im Cluster zu erfassen. Erfassen Sie die Netzwerkadresse und den Syslog-Port (standardmäßig UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Erstellen Sie eine sichere Sicherungsrichtlinie für die Hybrid-Datensicherheitsknoten, den Datenbankserver und den Syslog-Host. Um nicht wiederherstellbaren Datenverlust zu vermeiden, müssen Sie mindestens die Datenbank und die KonfigurationsISO-Datei sichern, die für die Hybrid-Datensicherheitsknoten generiert wurde.


                                                                                                                                                   

                                                                                                                                                  Da die Hybrid-Datensicherheitsknoten die für die Ver- und Entschlüsselung von Inhalten verwendeten Schlüssel speichern, führt das Versagen einer betrieblichen Bereitstellung zu einem NICHT WIEDERHERSTELLBAREN VERLUST dieses Inhalts.

                                                                                                                                                  Webex-App-Clients speichern ihre Schlüssel im Cache, sodass ein Ausfall nicht sofort erkennbar ist, sich aber im Laufe der Zeit bemerkbar macht. Während vorübergehende Ausfälle nicht zu verhindern sind, sind sie wiedergutzumachen. Der vollständige Verlust (keine Backups verfügbar) der Datenbank oder der ISO-Konfigurationsdatei führt jedoch zu nicht wiederherstellbaren Kundendaten. Von den Betreibern der Hybrid-Datensicherheitsknoten wird erwartet, dass sie häufige Backups der Datenbank und der ISO-Konfigurationsdatei führen und bereit sind, das Hybrid-Datensicherheitsrechenzentrum bei einem katastrophalen Ausfall neu zu erstellen.

                                                                                                                                                  8

                                                                                                                                                  Stellen Sie sicher, dass Ihre Firewall-Konfiguration Verbindungen für Ihre Hybrid-Datensicherheitsknoten zulässt, wie unter „Externe Verbindungsanforderungen“ beschrieben.

                                                                                                                                                  9

                                                                                                                                                  Installieren Sie Docker ( https://www.docker.com) auf jedem lokalen Computer mit einem unterstützten Betriebssystem (Microsoft Windows 10 Professional oder Enterprise 64-Bit oder Mac OSX Yosemite 10.10.3 oder höher) mit einem Webbrowser, der auf ihn zugreifen kann unter http://127.0.0.1:8080.

                                                                                                                                                  Sie verwenden die Docker-Instanz, um das HDS-Setup-Tool herunterzuladen und auszuführen, das die lokalen Konfigurationsinformationen für alle Hybrid-Datensicherheitsknoten erstellt. Möglicherweise benötigt Ihre Organisation eine Docker Desktop-Lizenz. Weitere Informationen finden Sie unter Docker Desktop-Anforderungen .

                                                                                                                                                  Um das HDS Setup Tool zu installieren und auszuführen, muss die lokale Maschine über die unter „Externe Verbindungsanforderungen“ beschriebene Konnektivität verfügen.

                                                                                                                                                  10

                                                                                                                                                  Wenn Sie einen Proxy in Hybrid Data Security integrieren, stellen Sie sicher, dass er die Proxyserveranforderungen erfüllt.

                                                                                                                                                  11

                                                                                                                                                  Wenn Ihre Organisation die Verzeichnissynchronisierung verwendet, erstellen Sie eine Gruppe im Active Directory mit dem Namen HdsTrialGroup, und Pilotbenutzer hinzufügen. Die Testgruppe kann bis zu 250 Benutzer haben. Die Datei HdsTrialGroup muss mit der Cloud synchronisiert werden, bevor Sie eine Testversion für Ihre Organisation starten können. Um ein Gruppenobjekt zu synchronisieren, wählen Sie es im Konfiguration > Objektauswahl Menü. (Detaillierte Anweisungen finden Sie im Bereitstellungshandbuch für Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Schlüssel für einen bestimmten Bereich werden vom Ersteller des Bereichs festgelegt. Beachten Sie bei der Auswahl von Pilotbenutzern, dass alle Benutzer den Zugriff auf Inhalte in den Bereichen verlieren, die von den Pilotbenutzern erstellt wurden, wenn Sie die Hybrid-Datensicherheitsbereitstellung dauerhaft deaktivieren. Der Verlust wird sichtbar, sobald die Apps der Benutzer ihre zwischengespeicherten Kopien der Inhalte aktualisieren.

                                                                                                                                                  Einrichten eines Hybrid-Datensicherheitsclusters

                                                                                                                                                  Ablauf der Bereitstellungsaufgabe für Hybrid-Datensicherheit

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  Umgebung vorbereiten

                                                                                                                                                  1

                                                                                                                                                  Installationsdateien herunterladen

                                                                                                                                                  Laden Sie die OVA-Datei für eine spätere Verwendung auf Ihren lokalen Computer herunter.

                                                                                                                                                  2

                                                                                                                                                  Erstellen einer Konfigurations-ISO für die HDS-Hosts

                                                                                                                                                  Verwenden Sie das HDS-Setup-Tool, um eine ISO-Konfigurationsdatei für die Hybrid-Datensicherheitsknoten zu erstellen.

                                                                                                                                                  3

                                                                                                                                                  Installieren der HDS-Host-OVA

                                                                                                                                                  Erstellen Sie eine virtuelle Maschine aus der OVA-Datei und führen Sie die Erstkonfiguration durch, z. B. Netzwerkeinstellungen.


                                                                                                                                                   

                                                                                                                                                  Die Option zum Konfigurieren von Netzwerkeinstellungen während der OVA-Bereitstellung wurde mit ESXi 6.5 getestet. Die Option ist in früheren Versionen möglicherweise nicht verfügbar.

                                                                                                                                                  4

                                                                                                                                                  Einrichten der Hybrid-DatensicherheitsVM

                                                                                                                                                  Melden Sie sich bei der VM-Konsole an und legen Sie die Anmeldeinformationen fest. Konfigurieren Sie die Netzwerkeinstellungen für den Knoten, wenn Sie sie zum Zeitpunkt der OVA-Bereitstellung nicht konfiguriert haben.

                                                                                                                                                  5

                                                                                                                                                  Hochladen und Einhängen der HDS-KonfigurationsISO

                                                                                                                                                  Konfigurieren Sie die VM über die ISO-Konfigurationsdatei, die Sie mit dem HDS Setup Tool erstellt haben.

                                                                                                                                                  6

                                                                                                                                                  Konfigurieren des HDS-Knotens für die Proxyintegration

                                                                                                                                                  Wenn die Netzwerkumgebung eine Proxy-Konfiguration erfordert, geben Sie den Proxy-Typ an, den Sie für den Knoten verwenden möchten, und fügen Sie das Proxy-Zertifikat bei Bedarf dem Vertrauensspeicher hinzu.

                                                                                                                                                  7

                                                                                                                                                  Registrieren des ersten Knotens im Cluster

                                                                                                                                                  Registrieren Sie die VM mit der Cisco Webex-Cloud als Hybrid-Datensicherheitsknoten.

                                                                                                                                                  8

                                                                                                                                                  Weitere Knoten erstellen und registrieren

                                                                                                                                                  Schließen Sie die Cluster-Einrichtung ab.

                                                                                                                                                  9

                                                                                                                                                  Ausführen einer Testversion und Verschieben in Produktion (nächstes Kapitel)

                                                                                                                                                  Bis Sie einen Test starten, erzeugen Ihre Knoten einen Alarm, der angibt, dass Ihr Dienst noch nicht aktiviert ist.

                                                                                                                                                  Installationsdateien herunterladen

                                                                                                                                                  Bei dieser Aufgabe laden Sie eine OVA-Datei auf Ihren Computer herunter (nicht auf die Server, die Sie als Hybrid-Datensicherheitsknoten einrichten). Sie verwenden diese Datei später im Installationsprozess.
                                                                                                                                                  1

                                                                                                                                                  Melden Sie sich bei https://admin.webex.com an und klicken Sie dann auf Services .

                                                                                                                                                  2

                                                                                                                                                  Suchen Sie im Abschnitt Hybrid-Dienste nach der Hybrid-Datensicherheitskarte und klicken Sie auf Einrichten .

                                                                                                                                                  Wenn die Karte deaktiviert ist oder Sie sie nicht sehen, wenden Sie sich an Ihr Kontoteam oder Ihre Partnerorganisation. Geben Sie ihnen Ihre Kontonummer und bitten Sie sie, Ihre Organisation für Hybrid-Datensicherheit zu aktivieren. Um die Kontonummer zu finden, klicken Sie oben rechts neben dem Namen Ihrer Organisation auf das Zahnrad.


                                                                                                                                                   

                                                                                                                                                  Sie können die OVA auch jederzeit über den Abschnitt Hilfe auf der Seite Einstellungen herunterladen. Klicken Sie auf der Hybrid-Datensicherheitskarte auf Einstellungen bearbeiten , um die Seite zu öffnen. Klicken Sie dann auf Download Hybrid Data Security software im Abschnitt Hilfe .


                                                                                                                                                   

                                                                                                                                                  Ältere Versionen des Softwarepakets (OVA) sind nicht mit den neuesten Upgrades für die Hybrid-Datensicherheit kompatibel. Dies kann zu Problemen während des Upgrades der Anwendung führen. Stellen Sie sicher, dass Sie die neueste Version der OVA-Datei herunterladen.

                                                                                                                                                  3

                                                                                                                                                  Wählen Sie No aus, um anzugeben, dass Sie den Knoten noch nicht eingerichtet haben, und klicken Sie dann auf Next .

                                                                                                                                                  Die OVA-Datei wird automatisch heruntergeladen. Speichern Sie die Datei an einem Speicherort auf Ihrem Computer.
                                                                                                                                                  4

                                                                                                                                                  Klicken Sie optional auf Bereitstellungsleitfaden öffnen , um zu überprüfen, ob eine neuere Version dieses Leitfadens verfügbar ist.

                                                                                                                                                  Erstellen einer Konfigurations-ISO für die HDS-Hosts

                                                                                                                                                  Der Einrichtungsprozess für die Hybrid-Datensicherheit erstellt eine ISO-Datei. Anschließend verwenden Sie ISO, um Ihren Hybrid-Datensicherheitshost zu konfigurieren.

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  • Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zuzugreifen, führen Sie Docker auf diesem Computer aus. Für die Einrichtung sind die Anmeldeinformationen eines Control Hub-Kontos mit vollständigen Administratorrechten für Ihre Organisation erforderlich.

                                                                                                                                                    Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxyeinstellungen (Server, Port, Anmeldeinformationen) über Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in Schritt 5 öffnen. In dieser Tabelle sind einige mögliche Umgebungsvariablen aufgeführt:

                                                                                                                                                    Beschreibung

                                                                                                                                                    Variable

                                                                                                                                                    HTTP-Proxy ohne Authentifizierung

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-Proxy ohne Authentifizierung

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-Proxy mit Authentifizierung

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-Proxy mit Authentifizierung

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Die von Ihnen generierte ISO-Konfigurationsdatei enthält den Master-Schlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die neueste Kopie dieser Datei, wenn Sie Konfigurationsänderungen vornehmen, z. B.:

                                                                                                                                                    • Datenbankanmeldeinformationen

                                                                                                                                                    • Zertifikatsaktualisierungen

                                                                                                                                                    • Änderungen an Autorisierungsrichtlinie

                                                                                                                                                  • Wenn Sie Datenbankverbindungen verschlüsseln möchten, richten Sie Ihre PostgreSQL- oder SQL Server-Bereitstellung für TLS ein.

                                                                                                                                                  1

                                                                                                                                                  Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

                                                                                                                                                  In normalen Umgebungen:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  In FedRAMP-Umgebungen:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Dieser Schritt bereinigt vorherige HDS-Setup-Tool-Images. Wenn keine vorherigen Bilder vorhanden sind, wird ein Fehler zurückgegeben, den Sie ignorieren können.

                                                                                                                                                  2

                                                                                                                                                  Geben Sie Folgendes ein, um sich bei der Docker-Image-Registrierung anzumelden:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Geben Sie bei der Passworteingabe diesen Hashwert ein:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Laden Sie das neueste stabile Image für Ihre Umgebung herunter:

                                                                                                                                                  In normalen Umgebungen:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  In FedRAMP-Umgebungen:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Geben Sie nach Abschluss des Pull-Vorgangs den entsprechenden Befehl für Ihre Umgebung ein:

                                                                                                                                                  • In regulären Umgebungen ohne Proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • In regulären Umgebungen mit einem HTTP-Proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In regulären Umgebungen mit einem HTTPS-Proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In FedRAMP-Umgebungen ohne Proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Wenn der Container ausgeführt wird, wird „Express-Server überwacht Port 8080“ angezeigt.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Das Setup-Tool unterstützt nicht die Verbindung mit localhost über http://localhost:8080 . Verwenden Sie http://127.0.0.1:8080 , um eine Verbindung zum Localhost herzustellen.

                                                                                                                                                  Navigieren Sie über einen Webbrowser zum Localhost, http://127.0.0.1:8080 und geben Sie den Benutzernamen des Kundenadministrators für Control Hub an der Eingabeaufforderung ein.

                                                                                                                                                  Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto festzulegen. Das Tool zeigt dann die Standardanmeldeaufforderung an.

                                                                                                                                                  7

                                                                                                                                                  Wenn Sie dazu aufgefordert werden, geben Sie die Anmeldeinformationen für den Control Hub-Kundenadministrator ein und klicken Sie dann auf Anmelden , um den Zugriff auf die für die Hybrid-Datensicherheit erforderlichen Dienste zu ermöglichen.

                                                                                                                                                  8

                                                                                                                                                  Klicken Sie auf der Setup-Tool-Übersichtsseite auf Erste Schritte .

                                                                                                                                                  9

                                                                                                                                                  Auf der Seite ISO Import stehen Ihnen folgende Optionen zur Verfügung:

                                                                                                                                                  • Nein – Wenn Sie Ihren ersten HDS-Knoten erstellen, müssen Sie keine ISO-Datei hochladen.
                                                                                                                                                  • Ja – Wenn Sie bereits HDS-Knoten erstellt haben, wählen Sie Ihre ISO-Datei im Durchsuchen aus und laden Sie sie hoch.
                                                                                                                                                  10

                                                                                                                                                  Überprüfen Sie, ob Ihr X.509-Zertifikat die Anforderungen unter X.509-Zertifikatanforderungen erfüllt.

                                                                                                                                                  • Wenn Sie noch nie ein Zertifikat hochgeladen haben, laden Sie das X.509-Zertifikat hoch, geben Sie das Passwort ein und klicken Sie auf Weiter .
                                                                                                                                                  • Wenn Ihr Zertifikat in Ordnung ist, klicken Sie auf Weiter .
                                                                                                                                                  • Wenn Ihr Zertifikat abgelaufen ist oder Sie es ersetzen möchten, wählen Sie No für Continue using HDS certificate chain and private key from previous ISO?. Laden Sie ein neues X.509-Zertifikat hoch, geben Sie das Kennwort ein und klicken Sie auf „Weiter“ .
                                                                                                                                                  11

                                                                                                                                                  Geben Sie die Datenbankadresse und das Konto für HDS ein, um auf Ihren wichtigen Datenspeicher zuzugreifen:

                                                                                                                                                  1. Wählen Sie den Datenbanktyp ( PostgreSQL oder Microsoft SQL Server ) aus.

                                                                                                                                                    Wenn Sie „Microsoft SQL Server“ auswählen, wird das Feld „Authentifizierungstyp“ angezeigt.

                                                                                                                                                  2. ( nur Microsoft SQL Server ) Wählen Sie Ihren Authentifizierungstyp :

                                                                                                                                                    • Standardauthentifizierung : Sie benötigen einen lokalen SQL Server-Kontonamen im Feld Benutzername .

                                                                                                                                                    • Windows-Authentifizierung : Sie benötigen ein Windows-Konto im Format username@DOMAIN im Feld Benutzername ein.

                                                                                                                                                  3. Geben Sie die Adresse des Datenbankservers in das Formular ein <hostname>:<port> oder <IP-address>:<port>.

                                                                                                                                                    Beispiel:
                                                                                                                                                    dbhost.example.org:1433 oder 198.51.100.17:1433

                                                                                                                                                    Sie können eine IP-Adresse für die Basisauthentifizierung verwenden, wenn die Knoten keinen DNS verwenden können, um den Host-Namen aufzulösen.

                                                                                                                                                    Wenn Sie die Windows-Authentifizierung verwenden, müssen Sie einen vollständig qualifizierten Domänennamen im folgenden Format eingeben: dbhost.example.org:1433

                                                                                                                                                  4. Geben Sie den Datenbanknamen ein.

                                                                                                                                                  5. Geben Sie den Benutzernamen und das Kennwort eines Benutzers mit allen Berechtigungen in der Schlüsselspeicherdatenbank ein.

                                                                                                                                                  12

                                                                                                                                                  Wählen Sie einen TLS-Datenbankverbindungsmodus :

                                                                                                                                                  Modus

                                                                                                                                                  Beschreibung

                                                                                                                                                  TLS bevorzugen (Standardoption)

                                                                                                                                                  HDS-Knoten benötigen kein TLS , um eine Verbindung mit dem Datenbankserver. Wenn Sie TLS auf dem Datenbankserver aktivieren, versuchen die Knoten, eine verschlüsselte Verbindung herzustellen.

                                                                                                                                                  TLS erforderlich

                                                                                                                                                  HDS-Knoten stellen nur dann eine Verbindung her, wenn der Datenbankserver TLS aushandeln kann.

                                                                                                                                                  TLS fordern und Zertifikatsignierer überprüfen


                                                                                                                                                   

                                                                                                                                                  Dieser Modus gilt nicht für SQL Server-Datenbanken.

                                                                                                                                                  • HDS-Knoten stellen nur dann eine Verbindung her, wenn der Datenbankserver TLS aushandeln kann.

                                                                                                                                                  • Nach dem Herstellen einer TLS-Verbindung vergleicht der Knoten den Unterzeichner des Zertifikats vom Datenbankserver mit der Zertifizierungsstelle im Datenbankstammzertifikat . Wenn sie nicht übereinstimmen, trennt der Knoten die Verbindung.

                                                                                                                                                  Verwenden Sie den Datenbank Stammzertifikat unter der Dropdown-Liste, um das Stammzertifikat für diese Option hochzuladen.

                                                                                                                                                  TLS anfordern und Zertifikatsignierer und Host-Name überprüfen

                                                                                                                                                  • HDS-Knoten stellen nur dann eine Verbindung her, wenn der Datenbankserver TLS aushandeln kann.

                                                                                                                                                  • Nach dem Herstellen einer TLS-Verbindung vergleicht der Knoten den Unterzeichner des Zertifikats vom Datenbankserver mit der Zertifizierungsstelle im Datenbankstammzertifikat . Wenn sie nicht übereinstimmen, trennt der Knoten die Verbindung.

                                                                                                                                                  • Die Knoten stellen außerdem sicher, dass der Hostname im Serverzertifikat mit dem Hostnamen im Feld Datenbankhost und Port übereinstimmt. Die Namen müssen genau übereinstimmen oder der Knoten trennt die Verbindung.

                                                                                                                                                  Verwenden Sie den Datenbank Stammzertifikat unter der Dropdown-Liste, um das Stammzertifikat für diese Option hochzuladen.

                                                                                                                                                  Wenn Sie das Stammzertifikat hochladen (falls erforderlich) und auf Weiter klicken, testet das HDS-Setup-Tool die TLS-Verbindung zum Datenbankserver. Das Tool überprüft auch den Unterzeichner des Zertifikats und den Host-Name, falls zutreffend. Wenn ein Test fehlschlägt, zeigt das Tool eine Fehlermeldung an, in der das Problem beschrieben wird. Sie können auswählen, ob Sie den Fehler ignorieren und mit der Einrichtung fortfahren möchten. (Aufgrund von Konnektivitätsunterschieden können die HDS-Knoten möglicherweise die TLS-Verbindung herstellen, auch wenn die HDS Setup Tool-Maschine sie nicht erfolgreich testen kann.)

                                                                                                                                                  13

                                                                                                                                                  Konfigurieren Sie auf der Seite "Systemprotokolle" Ihren Syslogd-Server:

                                                                                                                                                  1. Geben Sie die Syslog-Server-URL ein.

                                                                                                                                                    Wenn der Server nicht DNS-auflösbar von den Knoten für Ihren HDS-Cluster ist, verwenden Sie eine IP-Adresse in der URL.

                                                                                                                                                    Beispiel:
                                                                                                                                                    udp://10.92.43.23:514 zeigt die Protokollierung an Syslogd-Host 10.92.43.23 auf UDP-Port 514 an.
                                                                                                                                                  2. Wenn Sie Ihren Server für die Verwendung der TLS-Verschlüsselung konfigurieren, aktivieren Sie die Option Ist Ihr Syslog-Server für die SSL-Verschlüsselung konfiguriert?.

                                                                                                                                                    Wenn Sie dieses Kontrollkästchen aktivieren, stellen Sie sicher, dass Sie eine TCP-URL eingeben, z. B. tcp://10.92.43.23:514.

                                                                                                                                                  3. Wählen Sie in der Dropdown-Liste Syslog-Datensatzbeendigung auswählen die entsprechende Einstellung für Ihre ISO-Datei aus: Wählen oder Neuleitung wird für Graylog- und Rsyslog-TCP verwendet

                                                                                                                                                    • Null-Byte – \x00

                                                                                                                                                    • Neuzeile – \n – Wählen Sie diese Option für Graylog und Rsyslog TCP aus.

                                                                                                                                                  4. Klicken Sie auf Weiter.

                                                                                                                                                  14

                                                                                                                                                  (Optional) Sie können den Standardwert für einige Datenbankverbindungsparameter unter „Erweiterte Einstellungen“ ändern. Im Allgemeinen ist dieser Parameter der einzige, den Sie ändern möchten:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klicken Sie auf „Weiter“ im Bildschirm „Dienstkonten-Passwort zurücksetzen “.

                                                                                                                                                  Passwörter für Dienstkonten haben eine Lebensdauer von neun Monaten. Verwenden Sie diesen Bildschirm, wenn Ihre Passwörter bald ablaufen oder Sie sie zurücksetzen möchten, um frühere ISO-Dateien ungültig zu machen.

                                                                                                                                                  16

                                                                                                                                                  Klicken Sie auf ISO-Datei herunterladen . Speichern Sie die Datei an einem leicht auffindbaren Speicherort.

                                                                                                                                                  17

                                                                                                                                                  Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System.

                                                                                                                                                  Halten Sie die Sicherungskopie sicher. Diese Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff nur auf Hybrid-Datensicherheitsadministratoren, die Konfigurationsänderungen vornehmen sollten.

                                                                                                                                                  18

                                                                                                                                                  Geben Sie zum Herunterfahren des Setup-Tools CTRL+C.

                                                                                                                                                  Nächste Schritte

                                                                                                                                                  Sichern Sie die ISO-Konfigurationsdatei. Sie benötigen sie, um weitere Knoten für die Wiederherstellung zu erstellen oder Konfigurationsänderungen vorzunehmen. Wenn Sie alle Kopien der ISO-Datei verlieren, haben Sie auch den Master-Schlüssel verloren. Das Wiederherstellen der Schlüssel aus Ihrer PostgreSQL- oder Microsoft SQL Server-Datenbank ist nicht möglich.


                                                                                                                                                   

                                                                                                                                                  Wir haben nie eine Kopie dieses Schlüssels und können nicht helfen, wenn Sie ihn verlieren.

                                                                                                                                                  Installieren der HDS-Host-OVA

                                                                                                                                                  Verwenden Sie dieses Verfahren, um eine virtuelle Maschine aus der OVA-Datei zu erstellen.
                                                                                                                                                  1

                                                                                                                                                  Melden Sie sich mit dem VMware vSphere-Client auf Ihrem Computer beim virtuellen ESXi-Host an.

                                                                                                                                                  2

                                                                                                                                                  Wählen Sie Datei > OVF-Vorlage bereitstellen aus.

                                                                                                                                                  3

                                                                                                                                                  Geben Sie im Assistenten den Speicherort der OVA-Datei an, die Sie zuvor heruntergeladen haben, und klicken Sie dann auf Weiter .

                                                                                                                                                  4

                                                                                                                                                  Auf der Wählen Sie einen Namen und Ordner aus Seite, geben Sie einen Name der virtuellen Maschine Wählen Sie für den Knoten (z. B. „HDS _ N ode_ 1“) einen Standort aus, an dem sich die Bereitstellung des Knotens der virtuellen Maschine befinden kann, und klicken Sie dann auf Weiter .

                                                                                                                                                  5

                                                                                                                                                  Auf der Berechnungsressource auswählen Seite, wählen Sie die Zielberechnungsressource aus, und klicken Sie dann auf Weiter .

                                                                                                                                                  Eine Validierungsprüfung wird durchgeführt. Nach dem Abschluss werden die Vorlagendetails angezeigt.

                                                                                                                                                  6

                                                                                                                                                  Überprüfen Sie die Vorlagendetails und klicken Sie dann auf Weiter .

                                                                                                                                                  7

                                                                                                                                                  Wenn Sie aufgefordert werden, die Ressourcenkonfiguration auf dem Konfiguration Seite, klicken Sie auf <UNK> 4 CPU <UNK> und klicken Sie dann auf Weiter .

                                                                                                                                                  8

                                                                                                                                                  Auf der Speicher auswählen Seite, klicken Sie auf Weiter um das Standard-Festplattenformat und die VM-Speicherrichtlinie zu akzeptieren.

                                                                                                                                                  9

                                                                                                                                                  Auf der Netzwerke auswählen wählen Sie die Netzwerkoption aus der Liste der Einträge aus, um die gewünschte Konnektivität für die VM bereitzustellen.

                                                                                                                                                  10

                                                                                                                                                  Konfigurieren Sie auf der Seite Vorlage anpassen die folgenden Netzwerkeinstellungen:

                                                                                                                                                  • Host-Name : Geben Sie den FQDN (Host-Name und Domäne) oder einen einzelnen Word-Host-Namen für den Knoten ein.

                                                                                                                                                     
                                                                                                                                                    • Sie müssen die Domäne nicht mit der Domäne übereinstimmen, mit der Sie das X.509-Zertifikat erhalten haben.

                                                                                                                                                    • Um eine erfolgreiche Registrierung in der Cloud sicherzustellen, verwenden Sie im FQDN oder Hostnamen, den Sie für den Knoten festgelegt haben, nur Kleinbuchstaben. Großbuchstaben werden derzeit nicht unterstützt.

                                                                                                                                                    • Der FQDN darf insgesamt nicht länger als 64 Zeichen sein.

                                                                                                                                                  • IP-Adresse – Geben Sie die IP-Adresse für die interne Schnittstelle des Knotens ein.

                                                                                                                                                     

                                                                                                                                                    Ihr Knoten sollte eine interne IP-Adresse und einen DNS-Namen haben. DHCP wird nicht unterstützt.

                                                                                                                                                  • Maske – Geben Sie die Adresse der Subnetzmaske in Punkt-Dezimalnotation ein. Beispiel: 255.255.255.0 .
                                                                                                                                                  • Gateway – Geben Sie die Gateway-IP-Adresse ein. Ein Gateway ist ein Netzwerkknoten, der als Access Point zu einem anderen Netzwerk dient.
                                                                                                                                                  • DNS-Server: Geben Sie eine durch Komma getrennte Liste von DNS-Servern ein, die Domänennamen in numerische IP-Adressen übersetzen. (Bis zu 4 DNS-Einträge sind zulässig.)
                                                                                                                                                  • NTP-Server – Geben Sie den NTP-Server Ihrer Organisation oder einen anderen externen NTP-Server ein, der in Ihrer Organisation verwendet werden kann. Die Standard-NTP-Server funktionieren möglicherweise nicht für alle Unternehmen. Sie können auch eine durch Kommas getrennte Liste verwenden, um mehrere NTP-Server einzugeben.
                                                                                                                                                  • Stellen Sie alle Knoten im gleichen Subnetz oder VLAN bereit, sodass alle Knoten in einem Cluster zu administrativen Zwecken von Clients in Ihrem Netzwerk erreichbar sind.

                                                                                                                                                  Falls bevorzugt, können Sie die Konfiguration der Netzwerkeinstellungen überspringen und die Schritte unter Einrichten der Hybrid Data Security VM ausführen, um die Einstellungen über die Knotenkonsole zu konfigurieren.


                                                                                                                                                   

                                                                                                                                                  Die Option zum Konfigurieren von Netzwerkeinstellungen während der OVA-Bereitstellung wurde mit ESXi 6.5 getestet. Die Option ist in früheren Versionen möglicherweise nicht verfügbar.

                                                                                                                                                  11

                                                                                                                                                  Klicken Sie mit der rechten Maustaste auf die Knoten-VM, und wählen Sie Einschalten > Einschalten .

                                                                                                                                                  Die Hybrid Data Security-Software wird als Gast auf dem VM-Host installiert. Sie können sich jetzt bei der Konsole anmelden und den Knoten konfigurieren.

                                                                                                                                                  Tipps zur Fehlerbehebung

                                                                                                                                                  Es kann zu einer Verzögerung von einigen Minuten kommen, bis die Knotencontainer angezeigt werden. Beim erstmaligen Start wird eine Bridge-Firewall-Nachricht angezeigt, während der Sie sich anmelden können.

                                                                                                                                                  Einrichten der Hybrid-DatensicherheitsVM

                                                                                                                                                  Mit diesem Verfahren können Sie sich zum ersten Mal bei der VM-Konsole des Hybrid-Datensicherheitsknotens anmelden und die Anmeldeinformationen festlegen. Sie können auch die Konsole verwenden, um die Netzwerkeinstellungen für den Knoten zu konfigurieren, wenn Sie sie zum Zeitpunkt der OVA-Bereitstellung nicht konfiguriert haben.

                                                                                                                                                  1

                                                                                                                                                  Wählen Sie im VMware vSphere-Client Ihre VM mit Hybrid-Datensicherheitsknoten und anschließend die Registerkarte Konsole aus.

                                                                                                                                                  Die VM wird gestartet und eine Anmeldeaufforderung wird angezeigt. Drücken Sie die Eingabetaste, falls der Anmeldebildschirm nicht angezeigt wird.
                                                                                                                                                  2

                                                                                                                                                  Verwenden Sie die folgenden Standard-Anmeldedaten und das Passwort, um sich anzumelden und die Anmeldedaten zu ändern:

                                                                                                                                                  1. Benutzername: admin

                                                                                                                                                  2. Passwort: cisco

                                                                                                                                                  Da Sie sich zum ersten Mal bei Ihrer VM anmelden, müssen Sie das Administratorpasswort ändern.

                                                                                                                                                  3

                                                                                                                                                  Wenn Sie die Netzwerkeinstellungen bereits unter Installieren Sie die HDS-Host-OVA konfiguriert haben, überspringen Sie den Rest dieses Verfahrens. Andernfalls wählen Sie im Hauptmenü die Option Konfiguration bearbeiten aus.

                                                                                                                                                  4

                                                                                                                                                  Richten Sie eine statische Konfiguration mit IP-Adresse, Maske, Gateway- und DNS-Informationen ein. Ihr Knoten sollte eine interne IP-Adresse und einen DNS-Namen haben. DHCP wird nicht unterstützt.

                                                                                                                                                  5

                                                                                                                                                  (Optional) Ändern Sie bei Bedarf den Hostnamen, die Domäne oder die NTP-Server, um sie mit Ihrer Netzwerkrichtlinie abzugleichen.

                                                                                                                                                  Sie müssen die Domäne nicht mit der Domäne übereinstimmen, mit der Sie das X.509-Zertifikat erhalten haben.

                                                                                                                                                  6

                                                                                                                                                  Speichern Sie die Netzwerkkonfiguration und starten Sie die VM neu, damit die Änderungen wirksam werden.

                                                                                                                                                  Hochladen und Einhängen der HDS-KonfigurationsISO

                                                                                                                                                  Verwenden Sie dieses Verfahren, um die virtuelle Maschine über die ISO-Datei zu konfigurieren, die Sie mit dem HDS-Setup-Tool erstellt haben.

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  Da die ISO-Datei den Master-Schlüssel enthält, sollte sie nur auf der Basis des "Need-to-know"-Zugangs durch die Hybrid Data Security VMs und alle Administratoren, die Änderungen vornehmen müssen, offengelegt werden. Stellen Sie sicher, dass nur diese Administratoren auf den Datenspeicher zugreifen können.

                                                                                                                                                  1

                                                                                                                                                  Laden Sie die ISO-Datei von Ihrem Computer hoch:

                                                                                                                                                  1. Klicken Sie im linken Navigationsbereich des VMware vSphere-Clients auf den ESXi-Server.

                                                                                                                                                  2. Klicken Sie in der Hardware-Liste der Registerkarte „Konfiguration“ auf „Speicher“ .

                                                                                                                                                  3. Klicken Sie in der Datenspeicherliste mit der rechten Maustaste auf den Datenspeicher für Ihre VMs und klicken Sie auf Datenspeicher durchsuchen.

                                                                                                                                                  4. Klicken Sie auf das Symbol „Dateien hochladen“ und anschließend auf „Datei hochladen“ .

                                                                                                                                                  5. Navigieren Sie zu dem Speicherort, an dem Sie die ISO-Datei auf Ihren Computer heruntergeladen haben, und klicken Sie auf Öffnen .

                                                                                                                                                  6. Klicken Sie auf Ja , um die Warnung beim Hochladen/Herunterladen zu akzeptieren, und schließen Sie das Datenspeicherdialogfeld.

                                                                                                                                                  2

                                                                                                                                                  Binden Sie die ISO-Datei ein:

                                                                                                                                                  1. Klicken Sie im linken Navigationsbereich mit der rechten Maustaste auf die VM und klicken Sie auf Einstellungen bearbeiten .

                                                                                                                                                  2. Klicken Sie auf OK , um die Warnung mit eingeschränkten Bearbeitungsoptionen zu akzeptieren.

                                                                                                                                                  3. Klicken CD/DVD Drive 1, wählen Sie die Option zum Einhängen aus einer ISO-Datei aus und navigieren Sie zu dem Speicherort, an den Sie die ISO-Konfigurationsdatei hochgeladen haben.

                                                                                                                                                  4. Aktivieren Sie das Kontrollkästchen „Verbunden“ und „Beim Einschalten verbinden“ .

                                                                                                                                                  5. Speichern Sie Ihre Änderungen und starten Sie die virtuelle Maschine neu.

                                                                                                                                                  Nächste Schritte

                                                                                                                                                  Wenn Ihre IT-Richtlinie es erfordert, können Sie die ISO-Datei optional unmounten, nachdem alle Knoten die Konfigurationsänderungen übernommen haben. Weitere Informationen finden Sie unter (Optional) ISO nach HDS-Konfiguration abmontieren .

                                                                                                                                                  Konfigurieren des HDS-Knotens für die Proxyintegration

                                                                                                                                                  Wenn die Netzwerkumgebung einen Proxy erfordert, verwenden Sie dieses Verfahren, um den Proxytyp anzugeben, den Sie in die Hybrid-Datensicherheit integrieren möchten. Wenn Sie einen transparenten Prüfproxy oder einen expliziten HTTPS-Proxy auswählen, können Sie die Schnittstelle des Knotens verwenden, um das Stammzertifikat hochzuladen und zu installieren. Sie können auch die Proxy-Verbindung über die Schnittstelle überprüfen und potenzielle Probleme beheben.

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  1

                                                                                                                                                  HDS-Knoten-Setup-URL eingeben https://[HDS Node IP or FQDN]/setup Geben Sie in einem Webbrowser die Administratoranmeldeinformationen ein, die Sie für den Knoten eingerichtet haben, und klicken Sie dann auf Anmelden.

                                                                                                                                                  2

                                                                                                                                                  Gehen Sie zu Vertrauensspeicher und Proxy und wählen Sie eine Option aus:

                                                                                                                                                  • Kein Proxy – Die Standardoption, bevor Sie einen Proxy integrieren. Es ist keine Zertifikataktualisierung erforderlich.
                                                                                                                                                  • Transparenter Proxy ohne Inspektion – Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert und erfordern keine Änderungen an einem Proxy ohne Inspektion. Es ist keine Zertifikataktualisierung erforderlich.
                                                                                                                                                  • Transparenter Proxy für die Prüfung: Die Knoten sind nicht für die Verwendung einer bestimmten Proxyserver-Adresse konfiguriert. Bei der Hybrid Data Security-Bereitstellung sind keine HTTPS-Konfigurationsänderungen erforderlich. Die HDS-Knoten benötigen jedoch ein Stammzertifikat, damit sie dem Proxy vertrauen können. In der Regel werden Proxys von der IT verwendet, um Richtlinien durchzusetzen, auf denen Websites besucht werden können und welche Arten von Inhalten nicht zulässig sind. Dieser Proxy-Typ entschlüsselt Ihren gesamten Datenverkehr (auch HTTPS).
                                                                                                                                                  • Expliziter Proxy – Mit explizitem Proxy teilen Sie dem Client (HDS-Knoten) mit, welchen Proxyserver Sie verwenden sollen. Diese Option unterstützt mehrere Authentifizierungstypen. Nachdem Sie diese Option ausgewählt haben, müssen Sie die folgenden Informationen eingeben:
                                                                                                                                                    1. Proxy-IP/FQDN : Adresse, die zum Erreichen der Proxymaschine verwendet werden kann.

                                                                                                                                                    2. Proxy-Port : Eine Portnummer, die der Proxy für die Überwachung des Proxyverkehrs verwendet.

                                                                                                                                                    3. Proxy-Protokoll – Wählen Sie http (zeigt alle vom Client empfangenen Anfragen an und steuert sie) oder https (stellt einen Kanal für den Server bereit und der Client empfängt und validiert das Serverzertifikat). Wählen Sie eine Option basierend auf der Unterstützung Ihres Proxyservers aus.

                                                                                                                                                    4. Authentifizierungstyp : Wählen Sie einen der folgenden Authentifizierungstypen aus:

                                                                                                                                                      • Keine: Es ist keine weitere Authentifizierung erforderlich.

                                                                                                                                                        Verfügbar für HTTP- oder HTTPS-Proxys.

                                                                                                                                                      • Basic – Wird für einen HTTP-Benutzeragenten verwendet, um bei einer Anforderung einen Benutzernamen und ein Kennwort anzugeben. Verwendet Base64-Codierung.

                                                                                                                                                        Verfügbar für HTTP- oder HTTPS-Proxys.

                                                                                                                                                        Wenn Sie diese Option wählen, müssen Sie auch den Benutzernamen und das Kennwort eingeben.

                                                                                                                                                      • Ziffer : Wird verwendet, um das Konto zu bestätigen, bevor sensible Informationen gesendet werden. Wendet eine Hash-Funktion auf den Benutzernamen und das Kennwort an, bevor sie über das Netzwerk gesendet werden.

                                                                                                                                                        Nur für HTTPS-Proxys verfügbar.

                                                                                                                                                        Wenn Sie diese Option wählen, müssen Sie auch den Benutzernamen und das Kennwort eingeben.

                                                                                                                                                  Führen Sie die nächsten Schritte für einen transparenten Prüfproxy, einen HTTP-Proxy mit einfacher Authentifizierung oder einen HTTPS-Proxy aus.

                                                                                                                                                  3

                                                                                                                                                  Klicken Sie auf Stammzertifikat hochladen oder Entitätszertifikat beenden , und navigieren Sie dann zu einem Stammzertifikat für den Proxy.

                                                                                                                                                  Das Zertifikat ist hochgeladen, aber noch nicht installiert, da Sie den Knoten neu starten müssen, um das Zertifikat zu installieren. Klicken Sie auf den chevron-Pfeil nach dem Namen des Zertifikatsausstellers, um weitere Details zu erhalten, oder klicken Sie auf Löschen , wenn Sie einen Fehler gemacht haben und die Datei erneut hochladen möchten.

                                                                                                                                                  4

                                                                                                                                                  Klicken Sie auf Proxyverbindung prüfen , um die Netzwerkkonnektivität zwischen dem Knoten und dem Proxy zu testen.

                                                                                                                                                  Wenn der Verbindungstest fehlschlägt, wird eine Fehlermeldung mit dem Grund und wie Sie das Problem beheben können angezeigt.

                                                                                                                                                  Wenn eine Meldung angezeigt wird, dass die externe DNS-Auflösung nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen. Diese Bedingung wird in vielen expliziten Proxy-Konfigurationen erwartet. Sie können mit der Einrichtung fortfahren, und der Knoten funktioniert im Blockierten externen DNS-Auflösungsmodus. Wenn Sie der Meinung sind, dass es sich um einen Fehler handelt, führen Sie die folgenden Schritte aus, und lesen Sie anschließend Deaktivieren Sie den blockierten externen DNS-Auflösungsmodus .

                                                                                                                                                  5

                                                                                                                                                  Wenn der Verbindungstest bestanden hat und der explizite Proxy auf „Nur https“ festgelegt ist, aktivieren Sie den Umschalter auf „ Alle Port 443/444-https-Anfragen von diesem Knoten über den expliziten Proxy weiterleiten“ . Diese Einstellung benötigt 15 Sekunden, um wirksam zu werden.

                                                                                                                                                  6

                                                                                                                                                  Klicken Sie auf Installieren Sie alle Zertifikate in den Vertrauensspeicher (wird für einen expliziten HTTPS-Proxy oder einen transparenten Prüfproxy angezeigt) oder Reboot (wird für einen expliziten HTTP-Proxy angezeigt), lesen Sie die Eingabeaufforderung und klicken Sie anschließend auf Installieren , wenn Sie bereit sind.

                                                                                                                                                  Der Knoten wird innerhalb weniger Minuten neu gestartet.

                                                                                                                                                  7

                                                                                                                                                  Nachdem der Knoten neu gestartet wurde, melden Sie sich bei Bedarf erneut an und öffnen Sie die Seite „Übersicht“ , um die Konnektivitätsprüfungen zu überprüfen, um sicherzustellen, dass alle im grünen Status sind.

                                                                                                                                                  Die Proxy-Verbindungsprüfung testet nur eine Unterdomäne von webex.com. Wenn Verbindungsprobleme auftreten, besteht ein häufiges Problem darin, dass einige der in den Installationsanweisungen aufgeführten Cloud-Domänen am Proxy blockiert werden.

                                                                                                                                                  Registrieren des ersten Knotens im Cluster

                                                                                                                                                  Bei dieser Aufgabe wird der generische Knoten verwendet, den Sie unter „Hybrid Data Security VM einrichten“ erstellt haben, der Knoten wird in der Webex-Cloud registriert und in einen Hybrid Data Security-Knoten umgewandelt.

                                                                                                                                                  Bei der Registrierung Ihres ersten Knotens erstellen Sie ein Cluster, zu dem der Knoten zugewiesen wird. Ein Cluster enthält einen oder mehrere Knoten, die für Redundanz bereitgestellt werden.

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  • Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.

                                                                                                                                                  • Stellen Sie sicher, dass alle Popupblocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.

                                                                                                                                                  1

                                                                                                                                                  Melden Sie sich bei https://admin.webex.com an.

                                                                                                                                                  2

                                                                                                                                                  Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

                                                                                                                                                  3

                                                                                                                                                  Suchen Sie im Abschnitt Hybrid-Dienste nach Hybrid-Datensicherheit und klicken Sie auf Einrichten .

                                                                                                                                                  Die Seite „Hybrid-Datensicherheitsknoten registrieren“ wird angezeigt.
                                                                                                                                                  4

                                                                                                                                                  Wählen Sie Ja aus, um anzugeben, dass Sie den Knoten eingerichtet haben und bereit sind, ihn zu registrieren, und klicken Sie dann auf Weiter .

                                                                                                                                                  5

                                                                                                                                                  Geben Sie im ersten Feld einen Namen für das Cluster ein, dem Sie Ihren Hybrid-Datensicherheitsknoten zuweisen möchten.

                                                                                                                                                  Benennen Sie Ihre Cluster nach Möglichkeit nach dem geografischen Standort der Clusterknoten. Beispiele: "San Francisco" oder "New York" oder "Dallas"

                                                                                                                                                  6

                                                                                                                                                  Geben Sie im zweiten Feld die interne IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) Ihres Knotens ein und klicken Sie auf Weiter .

                                                                                                                                                  Diese IP-Adresse oder FQDN sollte mit der IP-Adresse oder dem Host-Namen und der Domäne übereinstimmen, die Sie bei „Einrichten der Hybrid-Datensicherheits-VM“ verwendet haben.

                                                                                                                                                  Es wird eine Meldung angezeigt, die angibt, dass Sie Ihren Knoten in Webex registrieren können.
                                                                                                                                                  7

                                                                                                                                                  Klicken Sie auf Zum Knoten wechseln.

                                                                                                                                                  8

                                                                                                                                                  Klicken Sie in der Warnmeldung auf Weiter.

                                                                                                                                                  Nach einigen Augenblicken werden Sie zu den Knotenverbindungstests für Webex-Dienste umgeleitet. Wenn alle Tests erfolgreich sind, wird die Seite „Zugriff auf Hybrid-Datensicherheitsknoten zulassen“ angezeigt. Dort bestätigen Sie, dass Sie Ihrer Webex-Organisation Berechtigungen für den Zugriff auf Ihren Knoten erteilen möchten.
                                                                                                                                                  9

                                                                                                                                                  Aktivieren Sie das Kontrollkästchen Zugriff auf Ihren Hybrid-Datensicherheitsknoten zulassen und klicken Sie dann auf Weiter .

                                                                                                                                                  Ihr Konto wird überprüft, und die Meldung „Registrierung abgeschlossen“ zeigt an, dass Ihr Knoten jetzt in der Webex-Cloud registriert ist.
                                                                                                                                                  10

                                                                                                                                                  Klicken Sie auf den Link oder schließen Sie die Registerkarte, um zur Seite „Control Hub Hybrid-Datensicherheit“ zurückzukehren.

                                                                                                                                                  Auf der Seite Hybrid-Datensicherheit wird das neue Cluster mit dem registrierten Knoten angezeigt. Der Knoten lädt die neueste Software automatisch aus der Cloud herunter.

                                                                                                                                                  Weitere Knoten erstellen und registrieren

                                                                                                                                                  Um Ihrem Cluster zusätzliche Knoten hinzuzufügen, erstellen Sie einfach zusätzliche VMs und mounten die gleiche ISO-Konfigurationsdatei. Registrieren Sie dann den Knoten. Wir empfehlen, dass Sie mindestens 3 Knoten haben.

                                                                                                                                                   

                                                                                                                                                  Zu diesem Zeitpunkt sind die Backup-VMs, die Sie unter Erfüllen der Voraussetzungen für Hybrid Data Security erstellt haben, Standby-Hosts, die nur im Falle einer Notfallwiederherstellung verwendet werden; sie sind bis dahin nicht beim System registriert. Weitere Informationen finden Sie unter Notfallwiederherstellung mit dem Standby-Rechenzentrum .

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  • Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.

                                                                                                                                                  • Stellen Sie sicher, dass alle Popupblocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.

                                                                                                                                                  1

                                                                                                                                                  Erstellen Sie eine neue virtuelle Maschine aus der OVA und wiederholen Sie die Schritte unter Installieren Sie die HDS-Host-OVA .

                                                                                                                                                  2

                                                                                                                                                  Richten Sie die Erstkonfiguration auf der neuen VM ein und wiederholen Sie die Schritte unter Richten Sie die Hybrid Data Security VM ein.

                                                                                                                                                  3

                                                                                                                                                  Wiederholen Sie auf der neuen VM die Schritte unter Hochladen und Einhängen der HDS-Konfiguration ISO .

                                                                                                                                                  4

                                                                                                                                                  Wenn Sie einen Proxy für Ihre Bereitstellung einrichten, wiederholen Sie die Schritte unter Konfigurieren des HDS-Knotens für die Proxy-Integration nach Bedarf für den neuen Knoten.

                                                                                                                                                  5

                                                                                                                                                  Registrieren Sie den Knoten.

                                                                                                                                                  1. Wählen Sie in https://admin.webex.com die Option Services aus dem Menü auf der linken Seite des Bildschirms.

                                                                                                                                                  2. Suchen Sie im Abschnitt Hybrid-Dienste nach der Hybrid-Datensicherheitskarte und klicken Sie auf Ressourcen .

                                                                                                                                                    Die Seite Hybrid-Datensicherheitsressourcen wird angezeigt.
                                                                                                                                                  3. Klicken Sie auf Ressource hinzufügen .

                                                                                                                                                  4. Wählen Sie im ersten Feld den Namen Ihres vorhandenen Clusters aus.

                                                                                                                                                  5. Geben Sie im zweiten Feld die interne IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) Ihres Knotens ein und klicken Sie auf Weiter .

                                                                                                                                                    Es wird eine Meldung angezeigt, die angibt, dass Sie Ihren Knoten in der Webex-Cloud registrieren können.
                                                                                                                                                  6. Klicken Sie auf Zum Knoten wechseln.

                                                                                                                                                    Nach einigen Augenblicken werden Sie zu den Knotenverbindungstests für Webex-Dienste umgeleitet. Wenn alle Tests erfolgreich sind, wird die Seite „Zugriff auf Hybrid-Datensicherheitsknoten zulassen“ angezeigt. Dort bestätigen Sie, dass Sie Ihrer Organisation Berechtigungen für den Zugriff auf Ihren Knoten erteilen möchten.
                                                                                                                                                  7. Aktivieren Sie das Kontrollkästchen Zugriff auf Ihren Hybrid-Datensicherheitsknoten zulassen und klicken Sie dann auf Weiter .

                                                                                                                                                    Ihr Konto wird überprüft, und die Meldung „Registrierung abgeschlossen“ zeigt an, dass Ihr Knoten jetzt in der Webex-Cloud registriert ist.
                                                                                                                                                  8. Klicken Sie auf den Link oder schließen Sie die Registerkarte, um zur Seite „Control Hub Hybrid-Datensicherheit“ zurückzukehren.

                                                                                                                                                  Ihr Knoten ist registriert. Beachten Sie, dass Ihre Knoten bis zum Starten einer Testversion einen Alarm generieren, der angibt, dass Ihr Dienst noch nicht aktiviert ist.

                                                                                                                                                  Nächste Schritte

                                                                                                                                                  Ausführen einer Testversion und Verschieben in Produktion (nächstes Kapitel)
                                                                                                                                                  Eine Testversion ausführen und zur Produktion wechseln

                                                                                                                                                  Ablauf der Testversion der Produktionsaufgabe

                                                                                                                                                  Nachdem Sie einen Hybrid-Datensicherheitscluster eingerichtet haben, können Sie einen Pilotversuch starten, Benutzer hinzufügen und damit beginnen, Ihre Bereitstellung zu testen und zu überprüfen, um auf die Produktion vorzubereiten.

                                                                                                                                                  1

                                                                                                                                                  Synchronisieren Sie ggf. die HdsTrialGroup Gruppenobjekt.

                                                                                                                                                  Wenn Ihre Organisation die Verzeichnissynchronisierung für Benutzer verwendet, müssen Sie die HdsTrialGroup Gruppenobjekt für die Synchronisierung mit der Cloud, bevor Sie einen Test starten können. Anweisungen finden Sie im Bereitstellungsleitfaden für den Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Testversion aktivieren

                                                                                                                                                  Starten Sie eine Testversion. Bis Sie diese Aufgabe ausführen, generieren Ihre Knoten einen Alarm, der angibt, dass der Dienst noch nicht aktiviert ist.

                                                                                                                                                  3

                                                                                                                                                  Testen Sie Ihre Hybrid-Datensicherheitsbereitstellung

                                                                                                                                                  Überprüfen Sie, ob wichtige Anforderungen an Ihre Hybrid-Datensicherheitsbereitstellung übergeben werden.

                                                                                                                                                  4

                                                                                                                                                  Hybrid-Datensicherheitsstatus überwachen

                                                                                                                                                  Überprüfen Sie den Status und richten Sie E-Mail-Benachrichtigungen für Alarme ein.

                                                                                                                                                  5

                                                                                                                                                  Hinzufügen oder Entfernen von Benutzern aus Ihrer Testversion

                                                                                                                                                  6

                                                                                                                                                  Schließen Sie die Testphase mit einer der folgenden Aktionen ab:

                                                                                                                                                  Testversion aktivieren

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  Wenn Ihre Organisation die Verzeichnissynchronisierung für Benutzer verwendet, müssen Sie die HdsTrialGroup Gruppenobjekt für die Synchronisierung mit der Cloud, bevor Sie eine Testversion für Ihre Organisation starten können. Anweisungen finden Sie im Bereitstellungsleitfaden für den Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Melden Sie sich bei https://admin.webex.com an und wählen Sie dann Dienste .

                                                                                                                                                  2

                                                                                                                                                  Klicken Sie unter „Hybrid-Datensicherheit“ auf „Einstellungen“ .

                                                                                                                                                  3

                                                                                                                                                  Klicken Sie im Abschnitt „Dienststatus“ auf Test starten .

                                                                                                                                                  Der Dienststatus ändert sich in den Testmodus.
                                                                                                                                                  4

                                                                                                                                                  Klicken Sie auf Benutzer hinzufügen und geben Sie die E-Mail-Adresse eines oder mehrerer Benutzer ein, um Ihre Hybrid-Datensicherheitsknoten für Verschlüsselungs- und Indexierungsdienste zu verwenden.

                                                                                                                                                  (Wenn Ihre Organisation die Verzeichnissynchronisierung verwendet, verwenden Sie Active Directory, um die Testgruppe zu verwalten, HdsTrialGroup.)

                                                                                                                                                  Testen Sie Ihre Hybrid-Datensicherheitsbereitstellung

                                                                                                                                                  Mit diesem Verfahren können Sie Szenarien für die Verschlüsselung der Hybrid-Datensicherheit testen.

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  • Richten Sie Ihre Bereitstellung für Hybrid-Datensicherheit ein.

                                                                                                                                                  • Aktivieren Sie die Testversion und fügen Sie mehrere Testbenutzer hinzu.

                                                                                                                                                  • Stellen Sie sicher, dass Sie Zugriff auf das Syslog haben, um zu überprüfen, ob wichtige Anforderungen an Ihre Bereitstellung für die Hybrid-Datensicherheit weitergeleitet werden.

                                                                                                                                                  1

                                                                                                                                                  Schlüssel für einen bestimmten Bereich werden vom Ersteller des Bereichs festgelegt. Melden Sie sich bei der Webex-App als einer der Pilotbenutzer an, erstellen Sie einen Bereich und laden Sie mindestens einen Pilotbenutzer und einen Nicht-Pilotbenutzer ein.


                                                                                                                                                   

                                                                                                                                                  Wenn Sie die Bereitstellung der Hybrid-Datensicherheit deaktivieren, sind Inhalte in Bereichen, die Pilotbenutzer erstellen, nicht mehr zugänglich, nachdem die zwischengespeicherten Kopien der Verschlüsselungscodes durch den Client ersetzt wurden.

                                                                                                                                                  2

                                                                                                                                                  Nachrichten an den neuen Bereich senden.

                                                                                                                                                  3

                                                                                                                                                  Überprüfen Sie die Syslog-Ausgabe, um zu überprüfen, ob die Schlüsselanforderungen an Ihre Hybrid-Datensicherheitsbereitstellung übergeben werden.

                                                                                                                                                  1. Um nach einem Benutzer zu suchen, der zuerst einen sicheren Kanal zum KMS eingerichtet hat, filtern Sie nach kms.data.method=create und kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Sie sollten einen Eintrag wie den folgenden finden (Bezeichner zur Lesbarkeit gekürzt):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Um nach einem Benutzer zu suchen, der einen vorhandenen Schlüssel vom KMS anfordert, filtern Sie auf kms.data.method=retrieve und kms.data.type=KEY:

                                                                                                                                                    Sie sollten einen Eintrag finden, wie:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Um nach einem Benutzer zu suchen, der die Erstellung eines neuen KMS-Schlüssels anfordert, filtern Sie nach kms.data.method=create und kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Sie sollten einen Eintrag finden, wie:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Um nach einem Benutzer zu suchen, der die Erstellung eines neuen KMS Resource Object (KRO) anfordert, wenn ein Bereich oder eine andere geschützte Ressource erstellt wird, filtern Sie nach kms.data.method=create und kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Sie sollten einen Eintrag finden, wie:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Hybrid-Datensicherheitsstatus überwachen

                                                                                                                                                  Eine Statusanzeige in Control Hub zeigt an, ob die Bereitstellung der Hybrid-Datensicherheit funktioniert. Melden Sie sich für proaktive Benachrichtigungen für E-Mail-Benachrichtigungen an. Sie werden benachrichtigt, wenn Warnungen oder Software-Upgrades auftreten, die sich auf den Dienst auswirken.
                                                                                                                                                  1

                                                                                                                                                  Wählen Sie in Control Hub im Menü auf der linken Seite des Bildschirms Dienste aus.

                                                                                                                                                  2

                                                                                                                                                  Suchen Sie im Abschnitt Hybrid-Dienste nach Hybrid Data Security und klicken Sie auf Einstellungen .

                                                                                                                                                  Die Seite „Hybrid-Datensicherheitseinstellungen“ wird angezeigt.
                                                                                                                                                  3

                                                                                                                                                  Geben Sie im Abschnitt E-Mail-Benachrichtigungen eine oder mehrere durch Kommas getrennte E-Mail-Adressen ein und drücken Sie die Eingabetaste.

                                                                                                                                                  Hinzufügen oder Entfernen von Benutzern aus Ihrer Testversion

                                                                                                                                                  Nachdem Sie eine Testversion aktiviert und die anfängliche Gruppe von Testbenutzern hinzugefügt haben, können Sie jederzeit Testmitglieder hinzufügen oder entfernen, während die Testversion aktiv ist.

                                                                                                                                                  Wenn Sie einen Benutzer aus der Testversion entfernen, fordert der Client des Benutzers die Schlüssel und die Schlüsselerstellung aus dem Cloud-KMS anstelle Ihres KMS an. Wenn der Client einen Schlüssel benötigt, der auf Ihrem KMS gespeichert ist, ruft der Cloud-KMS ihn im Namen des Benutzers ab.

                                                                                                                                                  Wenn Ihre Organisation die Verzeichnissynchronisierung verwendet, verwenden Sie Active Directory (anstelle dieses Verfahrens), um die Testgruppe zu verwalten, HdsTrialGroup; Sie können die Gruppenmitglieder in Control Hub anzeigen, aber nicht hinzufügen oder entfernen.

                                                                                                                                                  1

                                                                                                                                                  Melden Sie sich bei Control Hub an und wählen Sie dann „Dienste“ .

                                                                                                                                                  2

                                                                                                                                                  Klicken Sie unter „Hybrid-Datensicherheit“ auf „Einstellungen“ .

                                                                                                                                                  3

                                                                                                                                                  Klicken Sie im Testmodus des Dienststatusbereichs auf Benutzer hinzufügen oder klicken Sie auf Anzeigen und Bearbeiten , um Benutzer aus der Testversion zu entfernen.

                                                                                                                                                  4

                                                                                                                                                  Geben Sie die E-Mail-Adresse eines oder mehrerer Benutzer ein, die Sie hinzufügen möchten, oder klicken Sie auf das X-Zeichen neben einer Benutzer-ID, um den Benutzer aus der Testversion zu entfernen. Klicken Sie dann auf Speichern .

                                                                                                                                                  Übergang von der Testversion zur Produktion

                                                                                                                                                  Wenn Sie sicher sind, dass Ihre Bereitstellung für die Testbenutzer gut funktioniert, können Sie zur Produktion wechseln. Wenn Sie zur Produktion wechseln, verwenden alle Benutzer in der Organisation Ihre lokale Hybrid-Datensicherheitsdomäne für Verschlüsselungscodes und andere Dienste des Sicherheitsbereichs. Sie können von der Produktion nicht zurück in den Testmodus wechseln, es sei denn, Sie deaktivieren den Dienst im Rahmen der Notfallwiederherstellung. Wenn Sie den Dienst erneut aktivieren, müssen Sie eine neue Testversion einrichten.
                                                                                                                                                  1

                                                                                                                                                  Melden Sie sich bei Control Hub an und wählen Sie dann „Dienste“ .

                                                                                                                                                  2

                                                                                                                                                  Klicken Sie unter „Hybrid-Datensicherheit“ auf „Einstellungen“ .

                                                                                                                                                  3

                                                                                                                                                  Klicken Sie im Abschnitt „Dienststatus“ auf Zu Produktion wechseln .

                                                                                                                                                  4

                                                                                                                                                  Bestätigen Sie, dass Sie alle Benutzer in die Produktion verschieben möchten.

                                                                                                                                                  Beenden Sie Ihren Test, ohne zur Produktion zu wechseln

                                                                                                                                                  Wenn Sie während der Testphase Ihre Bereitstellung der Hybrid-Datensicherheit nicht fortsetzen möchten, können Sie die Hybrid-Datensicherheit deaktivieren, wodurch die Testversion beendet wird und die Testbenutzer zurück zu den Cloud-Datensicherheitsdiensten wechseln. Die Benutzer der Testversion verlieren den Zugriff auf die während der Testphase verschlüsselten Daten.
                                                                                                                                                  1

                                                                                                                                                  Melden Sie sich bei Control Hub an und wählen Sie dann „Dienste“ .

                                                                                                                                                  2

                                                                                                                                                  Klicken Sie unter „Hybrid-Datensicherheit“ auf „Einstellungen“ .

                                                                                                                                                  3

                                                                                                                                                  Klicken Sie im Abschnitt Deaktivieren auf Deaktivieren .

                                                                                                                                                  4

                                                                                                                                                  Bestätigen Sie, dass Sie den Dienst deaktivieren und den Test beenden möchten.

                                                                                                                                                  Verwalten Ihrer HDS-Bereitstellung

                                                                                                                                                  Verwalten der HDS-Bereitstellung

                                                                                                                                                  Verwenden Sie die hier beschriebenen Aufgaben, um Ihre Bereitstellung für die Hybrid-Datensicherheit zu verwalten.

                                                                                                                                                  Cluster-Upgrade-Zeitplan festlegen

                                                                                                                                                  Software-Upgrades für die Hybrid-Datensicherheit werden automatisch auf Cluster-Ebene durchgeführt, wodurch sichergestellt wird, dass alle Knoten immer die gleiche Software-Version ausführen. Die Upgrades werden gemäß des Upgrade-Zeitplans für das Cluster ausgeführt. Sie können neue verfügbare Software-Upgrades optional auch vor dem geplanten Upgrade-Zeitpunkt manuell installieren. Sie können einen eigenen Upgrade-Zeitplan festlegen oder den Standardzeitplan um 3 Uhr morgens täglich für USA: Amerika/Los Angeles verwenden. Bei Bedarf können Sie anstehende Upgrades auch verzögern.

                                                                                                                                                  So legen Sie den Upgrade-Zeitplan fest:

                                                                                                                                                  1

                                                                                                                                                  Melden Sie sich bei Control Hub an.

                                                                                                                                                  2

                                                                                                                                                  Wählen Sie auf der Übersichtsseite unter Hybriddienste die Option Hybrid-Datensicherheit .

                                                                                                                                                  3

                                                                                                                                                  Wählen Sie auf der Seite Hybrid-Datensicherheitsressourcen den Cluster aus.

                                                                                                                                                  4

                                                                                                                                                  Wählen Sie im Übersichtsbereich auf der rechten Seite unter Cluster-Einstellungen den Cluster-Namen aus.

                                                                                                                                                  5

                                                                                                                                                  Wählen Sie auf der Einstellungsseite unter Upgrade die Uhrzeit und die Zeitzone für den Upgrade-Zeitplan aus.

                                                                                                                                                  Hinweis: Unter der Zeitzone wird der nächste verfügbare Zeitpunkt für ein Upgrade angezeigt. Sie können das Upgrade bei Bedarf auf den folgenden Tag verzögern, indem Sie auf Verschieben klicken.

                                                                                                                                                  Knotenkonfiguration ändern

                                                                                                                                                  Gelegentlich müssen Sie die Konfiguration Ihres Hybrid-Datensicherheitsknotens möglicherweise aus folgenden Gründen ändern:
                                                                                                                                                  • x.509-Zertifikate werden vor Ablauf oder aus anderen Gründen geändert.


                                                                                                                                                     

                                                                                                                                                    Das Ändern des CN- Domänenname eines Zertifikats wird nicht unterstützt. Die Domäne muss mit der ursprünglichen Domäne übereinstimmen, die zum Registrieren des Clusters verwendet wurde.

                                                                                                                                                  • Aktualisieren der Datenbank , um zu einer Reproduktion der PostgreSQL- oder Microsoft SQL Server- Datenbank zu wechseln.


                                                                                                                                                     

                                                                                                                                                    Die Migration von Daten von PostgreSQL zu Microsoft SQL Server oder umgekehrt wird nicht unterstützt. Um die Datenbank zu wechseln, starten Sie eine neue Bereitstellung von Hybrid Data Security.

                                                                                                                                                  • Erstellen einer neuen Konfiguration zur Vorbereitung eines neuen Rechenzentrum.

                                                                                                                                                  Aus Sicherheitsgründen verwendet Hybrid Data Security Dienstkonten-Passwörter, die nach 9 Monaten ablaufen. Diese Passwörter werden durch das HDS Setup Tool generiert, und Sie können sie mittels der ISO-Konfigurationsdatei für Ihre einzelnen HDS-Knoten bereitstellen. Wenn die Passwörter Ihres Unternehmens bald ablaufen, erhalten Sie vom Webex-Team einen „Hinweis zum Passwortablauf“, in dem Sie gebeten werden, das Passwort für Ihr Computerkonto zurückzusetzen. (Die E-Mail enthält den Text „Verwenden Sie die Computerkonto- API , um das Passwort zu aktualisieren“.) Wenn Ihre Passwörter noch nicht abgelaufen sind, bietet Ihnen das Tool zwei Möglichkeiten:

                                                                                                                                                  • Weiches Zurücksetzen – Das alte und das neue Passwort sind beide bis zu 10 Tage gültig. Nutzen Sie diesen Zeitraum, um die ISO -Datei auf den Knoten schrittweise zu ersetzen.

                                                                                                                                                  • Hard-Reset – Die alten Passwörter funktionieren sofort nicht mehr.

                                                                                                                                                  Wenn Ihre Passwörter ohne Zurücksetzen ablaufen, wirkt sich dies auf Ihren HDS-Dienst aus und erfordert ein sofortiges Zurücksetzen und Ersetzen der ISO -Datei auf allen Knoten.

                                                                                                                                                  Mit diesem Verfahren können Sie eine neue ISO -Konfigurationsdatei generieren und auf Ihren Cluster anwenden.

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  • Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zuzugreifen, führen Sie Docker auf diesem Computer aus. Für die Einrichtung sind die Anmeldeinformationen eines Control Hub-Kontos mit vollständigen Administratorrechten für Ihre Organisation erforderlich.

                                                                                                                                                    Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxyeinstellungen (Server, Port, Anmeldeinformationen) über Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in 1.e öffnen. In dieser Tabelle sind einige mögliche Umgebungsvariablen aufgeführt:

                                                                                                                                                    Beschreibung

                                                                                                                                                    Variable

                                                                                                                                                    HTTP-Proxy ohne Authentifizierung

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-Proxy ohne Authentifizierung

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-Proxy mit Authentifizierung

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-Proxy mit Authentifizierung

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Um eine neue Konfiguration zu erstellen, benötigen Sie eine Kopie der aktuellen ISO-Konfigurationsdatei. Die ISO enthält den Master-Schlüssel, der die PostgreSQL- oder Microsoft SQL Server-Datenbank verschlüsselt. Sie benötigen das ISO , wenn Sie Konfigurationsänderungen vornehmen, einschließlich Datenbank , Zertifikatsaktualisierungen oder Änderungen an der Autorisierungsrichtlinie.

                                                                                                                                                  1

                                                                                                                                                  Führen Sie auf einem lokalen Computer, auf dem Docker läuft, das HDS Setup Tool aus.

                                                                                                                                                  1. Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

                                                                                                                                                    In normalen Umgebungen:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    In FedRAMP-Umgebungen:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Dieser Schritt bereinigt vorherige HDS-Setup-Tool-Images. Wenn keine vorherigen Bilder vorhanden sind, wird ein Fehler zurückgegeben, den Sie ignorieren können.

                                                                                                                                                  2. Geben Sie Folgendes ein, um sich bei der Docker-Image-Registrierung anzumelden:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Geben Sie bei der Passworteingabe diesen Hashwert ein:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Laden Sie das neueste stabile Image für Ihre Umgebung herunter:

                                                                                                                                                    In normalen Umgebungen:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    In FedRAMP-Umgebungen:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Stellen Sie sicher, dass Sie für hierfür per Pull das neueste Setup-Tool aufrufen. Versionen des Tools, die vor dem 22. Februar 2018 erstellt wurden, verfügen nicht über die Bildschirme für das Zurücksetzen des Passworts.

                                                                                                                                                  5. Geben Sie nach Abschluss des Pull-Vorgangs den entsprechenden Befehl für Ihre Umgebung ein:

                                                                                                                                                    • In regulären Umgebungen ohne Proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • In regulären Umgebungen mit einem HTTP-Proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In regulären Umgebungen mit einem HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In FedRAMP-Umgebungen ohne Proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Wenn der Container ausgeführt wird, wird „Express-Server überwacht Port 8080“ angezeigt.

                                                                                                                                                  6. Verwenden Sie einen Browser, um eine Verbindung mit dem Localhost herzustellen, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Das Setup-Tool unterstützt nicht die Verbindung mit localhost über http://localhost:8080 . Verwenden Sie http://127.0.0.1:8080 , um eine Verbindung zum Localhost herzustellen.

                                                                                                                                                  7. Wenn Sie dazu aufgefordert werden, geben Sie Ihre Kundenanmeldeinformationen ein und klicken Sie dann auf Annehmen, um fortzufahren.

                                                                                                                                                  8. Importieren Sie die aktuelle ISO-Konfigurationsdatei.

                                                                                                                                                  9. Folgen Sie den Anweisungen, um das Tool fertigzustellen und die aktualisierte Datei herunterzuladen.

                                                                                                                                                    Geben Sie zum Herunterfahren des Setup-Tools CTRL+C.

                                                                                                                                                  10. Erstellen Sie in einem anderen Rechenzentrum eine Sicherungskopie der aktualisierte Datei.

                                                                                                                                                  2

                                                                                                                                                  Wenn Sie nur einen HDS-Knoten mit ausführen, erstellen Sie eine neue -Knoten-VM und registrieren Sie sie mithilfe der neuen ISO-Konfigurationsdatei. Detaillierte Anweisungen finden Sie unter Weitere Knoten erstellen und registrieren .

                                                                                                                                                  1. Installieren Sie die HDS-Host-OVA.

                                                                                                                                                  2. Richten Sie die HDS-VM ein.

                                                                                                                                                  3. Binden Sie die aktualisierte Konfigurationsdatei ein.

                                                                                                                                                  4. Registrieren Sie den neuen Knoten in Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Für vorhandene HDS-Knoten, auf denen die ältere Konfigurationsdatei ausgeführt wird, mounten Sie die ISO -Datei. Führen Sie die folgenden Schritte nacheinander auf jedem Knoten aus und aktualisieren Sie dabei jeden Knoten, bevor Sie den nächsten Knoten ausschalten:

                                                                                                                                                  1. Deaktivieren Sie die Virtuelle Maschine.

                                                                                                                                                  2. Klicken Sie im linken Navigationsbereich mit der rechten Maustaste auf die VM und klicken Sie auf Einstellungen bearbeiten .

                                                                                                                                                  3. Klicken CD/DVD Drive 1 Klicken Sie auf CD/DVD Laufwerk 1, wählen Sie die Option für das Einbinden aus einer ISO-Datei aus und navigieren Sie zum Speicherort, an den Sie die neue ISO-Konfigurationsdatei heruntergeladen haben.

                                                                                                                                                  4. Aktivieren Sie Beim Aktivieren verbinden.

                                                                                                                                                  5. Speichern Sie Ihre Änderungen und aktivieren Sie die Virtuelle Maschine.

                                                                                                                                                  4

                                                                                                                                                  Wiederholen Sie Schritt 3, um bei jedem weiteren Knoten zu ersetzen, auf dem noch die alte Konfiguration ausgeführt wird, die Konfiguration zu ersetzen.

                                                                                                                                                  Blockierten externen DNS-Auflösungsmodus deaktivieren

                                                                                                                                                  Wenn Sie einen Knoten registrieren oder die Proxy-Konfiguration des Knotens überprüfen, testet der Prozess die DNS-Suche und die Konnektivität mit der Cisco Webex-Cloud. Wenn der DNS-Server des Knotens öffentliche DNS-Namen nicht auflösen kann, wechselt der Knoten automatisch in den Modus für die blockierte externe DNS-Auflösung.

                                                                                                                                                  Wenn Ihre Knoten in der Lage sind, öffentliche DNS-Namen über interne DNS-Server aufzulösen, können Sie diesen Modus deaktivieren, indem Sie den Proxy-Verbindungstest auf jedem Knoten erneut ausführen.

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  Stellen Sie sicher, dass Ihre internen DNS-Server öffentliche DNS-Namen auflösen können und dass Ihre Knoten mit diesen kommunizieren können.
                                                                                                                                                  1

                                                                                                                                                  Öffnen Sie in einem Webbrowser die Schnittstelle des hybriden Datensicherheitsknotens (IP-Adresse/Einrichtung, z. B. https://192.0.2.0/setup), geben Sie die Administratoranmeldeinformationen ein, die Sie für den Knoten eingerichtet haben, und klicken Sie dann auf Anmelden .

                                                                                                                                                  2

                                                                                                                                                  Gehen Sie zu „Übersicht“ (Standardseite).

                                                                                                                                                  Wenn aktiviert, Blockierte externe DNS Auflösung ist festgelegt auf Ja .

                                                                                                                                                  3

                                                                                                                                                  Gehen Sie zur Seite „Vertrauensspeicher und Proxy “.

                                                                                                                                                  4

                                                                                                                                                  Klicken Sie auf Proxyverbindung prüfen .

                                                                                                                                                  Wenn eine Meldung angezeigt wird, dass die externe DNS-Auflösung nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen und bleibt in diesem Modus. Andernfalls sollte nach dem Neustart des Knotens und dem Zurückkehren zur Übersichtsseite die blockierte externe DNS-Auflösung auf „Nein“ festgelegt werden.

                                                                                                                                                  Nächste Schritte

                                                                                                                                                  Wiederholen Sie den Proxy-Verbindungstest für jeden Knoten in Ihrem Hybrid-Datensicherheitscluster.

                                                                                                                                                  Knoten entfernen

                                                                                                                                                  Mit diesem Verfahren können Sie einen Hybrid-Datensicherheitsknoten aus der Webex-Cloud entfernen. Nachdem Sie den Knoten aus dem Cluster entfernt haben, löschen Sie die virtuelle Maschine, um weiteren Zugriff auf Ihre Sicherheitsdaten zu verhindern.
                                                                                                                                                  1

                                                                                                                                                  Verwenden Sie den VMware vSphere-Client auf Ihrem Computer, um sich beim virtuellen ESXi-Host anzumelden und die virtuelle Maschine auszuschalten.

                                                                                                                                                  2

                                                                                                                                                  Knoten entfernen:

                                                                                                                                                  1. Melden Sie sich bei Control Hub an und wählen Sie dann „Dienste“ .

                                                                                                                                                  2. Klicken Sie auf der Karte „Hybrid-Datensicherheit“ auf „Alle anzeigen“ , um die Seite „Hybrid-Datensicherheitsressourcen“ anzuzeigen.

                                                                                                                                                  3. Wählen Sie Ihren Cluster aus, um dessen Übersichtsbereich anzuzeigen.

                                                                                                                                                  4. Klicken Sie auf Knotenliste öffnen .

                                                                                                                                                  5. Wählen Sie auf der Registerkarte Knoten den Knoten aus, den Sie entfernen möchten.

                                                                                                                                                  6. Klicken Sie auf Aktionen > Registrierung des Knotens aufheben .

                                                                                                                                                  3

                                                                                                                                                  Löschen Sie im vSphere-Client die VM. (Klicken Sie im linken Navigationsbereich mit der rechten Maustaste auf die VM und klicken Sie auf Löschen .)

                                                                                                                                                  Wenn Sie die VM nicht löschen, denken Sie daran, die Konfiguration der ISO-Datei aufzuheben. Ohne die ISO-Datei können Sie die VM nicht für den Zugriff auf Ihre Sicherheitsdaten verwenden.

                                                                                                                                                  Notfallwiederherstellung mit Standby-Rechenzentrum

                                                                                                                                                  Der wichtigste Dienst, den Ihr Hybrid-Datensicherheitscluster bietet, ist die Erstellung und Speicherung von Schlüsseln, mit denen Nachrichten und andere in der Webex-Cloud gespeicherte Inhalte verschlüsselt werden. Für jeden Benutzer innerhalb der Organisation, der der Hybrid-Datensicherheit zugewiesen ist, werden neue Anforderungen zur Schlüsselerstellung an den Cluster weitergeleitet. Der Cluster ist auch dafür verantwortlich, die Schlüssel, die er erstellt hat, an alle Benutzer zurückzugeben, die zum Abrufen autorisiert sind, z. B. Mitglieder eines Konversationsbereichs.

                                                                                                                                                  Da der Cluster die wichtige Funktion zur Bereitstellung dieser Schlüssel ausführt, ist es zwingend erforderlich, dass der Cluster weiterhin ausgeführt wird und die ordnungsgemäßen Backups beibehalten werden. Der Verlust der Hybrid Data Security-Datenbank oder der für das Schema verwendeten Konfigurations-ISO führt zu einem NICHT WIEDERHERSTELLBAREN VERLUST von Kundeninhalten. Die folgenden Praktiken sind obligatorisch, um einen solchen Verlust zu verhindern:

                                                                                                                                                  Wenn eine Katastrophe dazu führt, dass die HDS-Bereitstellung im primären Rechenzentrum nicht mehr verfügbar ist, führen Sie die folgenden Schritte aus, um ein manuelles Failover zum Standby-Rechenzentrum durchzuführen.

                                                                                                                                                  1

                                                                                                                                                  Starten Sie das HDS-Setup-Tool und befolgen Sie die unter Erstellen einer Konfigurations-ISO für die HDS-Hosts genannten Schritte.

                                                                                                                                                  2

                                                                                                                                                  Klicken Sie nach der Konfiguration des Syslogd-Servers auf Erweiterte Einstellungen

                                                                                                                                                  3

                                                                                                                                                  Fügen Sie auf der Seite Erweiterte Einstellungen die folgende Konfiguration hinzu oder entfernen Sie die passiveMode Konfiguration, um den Knoten aktiv zu machen. Der Knoten kann den Datenverkehr verarbeiten, sobald dieser konfiguriert ist.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Schließen Sie den Konfigurationsvorgang ab und speichern Sie die ISO-Datei an einem leicht zu findenden Speicherort.

                                                                                                                                                  5

                                                                                                                                                  Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Halten Sie die Sicherungskopie sicher. Diese Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff nur auf Hybrid-Datensicherheitsadministratoren, die Konfigurationsänderungen vornehmen sollten.

                                                                                                                                                  6

                                                                                                                                                  Klicken Sie im linken Navigationsbereich des VMware vSphere-Clients mit der rechten Maustaste auf die VM und klicken Sie auf Einstellungen bearbeiten..

                                                                                                                                                  7

                                                                                                                                                  Klicken Sie auf Einstellungen bearbeiten > CD/DVD Laufwerk 1 und wählen Sie Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Stellen Sie sicher, dass „Verbunden“ und „Verbindung beim Einschalten“ aktiviert sind, damit aktualisierte Konfigurationsänderungen nach dem Starten der Knoten wirksam werden können.

                                                                                                                                                  8

                                                                                                                                                  Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 15 Minuten lang keine Alarme vorhanden sind.

                                                                                                                                                  9

                                                                                                                                                  Wiederholen Sie den Vorgang für jeden Knoten im Standby-Rechenzentrum.


                                                                                                                                                   

                                                                                                                                                  Überprüfen Sie die Syslog-Ausgabe, um sicherzustellen, dass sich die Knoten des Standby-Rechenzentrums nicht im passiven Modus befinden. „KMS im passiven Modus konfiguriert“ sollte nicht in den Syslogs angezeigt werden.

                                                                                                                                                  Nächste Schritte

                                                                                                                                                  Wenn das primäre Rechenzentrum nach dem Failover wieder aktiv wird, stellen Sie das Standby-Rechenzentrum erneut in den passiven Modus, indem Sie die unter „Standby-Rechenzentrum für die Notfallwiederherstellung einrichten“ beschriebenen Schritte ausführen.

                                                                                                                                                  (Optional) ISO nach HDS-Konfiguration entmounten

                                                                                                                                                  Die Standard-HDS-Konfiguration wird mit der ISO-Montierung ausgeführt. Einige Kunden ziehen es jedoch vor, ISO-Dateien nicht kontinuierlich eingehängt zu lassen. Sie können die ISO-Datei unmounten, nachdem alle HDS-Knoten die neue Konfiguration übernommen haben.

                                                                                                                                                  Sie verwenden weiterhin die ISO-Dateien, um Konfigurationsänderungen vorzunehmen. Wenn Sie eine neue ISO erstellen oder eine ISO über das Setup-Tool aktualisieren, müssen Sie die aktualisierte ISO auf allen HDS-Knoten mounten. Nachdem alle Ihre Knoten die Konfigurationsänderungen übernommen haben, können Sie die ISO-Datei mit diesem Verfahren erneut unmounten.

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  Aktualisieren Sie alle HDS-Knoten auf Version 2021.01.22.4720 oder höher.

                                                                                                                                                  1

                                                                                                                                                  Fahren Sie einen Ihrer HDS-Knoten herunter.

                                                                                                                                                  2

                                                                                                                                                  Wählen Sie in der vCenter Server Appliance den HDS-Knoten aus.

                                                                                                                                                  3

                                                                                                                                                  Wählen Sie Einstellungen bearbeiten > CD/DVD-Laufwerk und Deaktivieren Datastore ISO File .

                                                                                                                                                  4

                                                                                                                                                  Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 20 Minuten lang keine Alarme vorhanden sind.

                                                                                                                                                  5

                                                                                                                                                  Wiederholen Sie den Vorgang für jeden HDS-Knoten.

                                                                                                                                                  Fehlerbehebung bei Hybrid Data Security

                                                                                                                                                  Anzeigen von Warnungen und Fehlerbehebung

                                                                                                                                                  Eine Bereitstellung der Hybrid-Datensicherheit gilt als nicht verfügbar, wenn alle Knoten im Cluster nicht erreichbar sind oder der Cluster so langsam arbeitet, dass eine Zeitüberschreitung erforderlich ist. Wenn Benutzer Ihren Hybrid-Datensicherheitscluster nicht erreichen können, treten die folgenden Symptome auf:

                                                                                                                                                  • Neue Bereiche können nicht erstellt werden (neue Schlüssel können nicht erstellt werden)

                                                                                                                                                  • Nachrichten und Bereichstitel können nicht entschlüsselt werden für:

                                                                                                                                                    • Neue Benutzer zu einem Bereich hinzugefügt (Schlüssel können nicht abgerufen werden)

                                                                                                                                                    • Vorhandene Benutzer in einem Bereich mit einem neuen Client (Schlüssel können nicht abgerufen werden)

                                                                                                                                                  • Vorhandene Benutzer in einem Bereich werden weiterhin erfolgreich ausgeführt, solange ihre Clients über einen Cache mit den Verschlüsselungsschlüsseln verfügen.

                                                                                                                                                  Es ist wichtig, dass Sie Ihren Hybrid-Datensicherheitscluster ordnungsgemäß überwachen und alle Warnungen umgehend beheben, um Dienstunterbrechungen zu vermeiden.

                                                                                                                                                  Alerts

                                                                                                                                                  Wenn bei der Einrichtung der Hybrid-Datensicherheit ein Problem auftritt, zeigt Control Hub dem Organisationsadministrator Warnungen an und sendet E-Mails an die konfigurierte E-Mail-Adresse. Die Warnungen decken viele gängige Szenarien ab.

                                                                                                                                                  Tabelle 1: Allgemeine Probleme und Schritte zur Lösung dieser Probleme

                                                                                                                                                  Warnung

                                                                                                                                                  Aktion

                                                                                                                                                  Fehler beim Zugriff auf die lokale Datenbank.

                                                                                                                                                  Suchen Sie nach Datenbankfehlern oder lokalen Netzwerkproblemen.

                                                                                                                                                  Lokaler Datenbankverbindungsfehler.

                                                                                                                                                  Überprüfen Sie, ob der Datenbankserver verfügbar ist und die richtigen Dienstkonto-Anmeldeinformationen in der Knotenkonfiguration verwendet wurden.

                                                                                                                                                  Fehler beim Zugriff auf den Cloud-Dienst.

                                                                                                                                                  Überprüfen Sie, ob die Knoten wie unter „Externe Konnektivitätsanforderungen“ beschrieben auf die Webex-Server zugreifen können.

                                                                                                                                                  Erneute Registrierung des Cloud-Dienstes.

                                                                                                                                                  Die Registrierung bei Cloud-Diensten wurde aufgehoben. Die Erneuerung der Registrierung läuft.

                                                                                                                                                  Registrierung des Cloud-Dienstes wurde abgebrochen.

                                                                                                                                                  Die Registrierung bei Cloud-Diensten wurde beendet. Der Dienst wird heruntergefahren.

                                                                                                                                                  Dienst noch nicht aktiviert.

                                                                                                                                                  Aktivieren Sie eine Testversion oder schließen Sie die Übertragung der Testversion auf die Produktion ab.

                                                                                                                                                  Die konfigurierte Domäne stimmt nicht mit dem Serverzertifikat überein.

                                                                                                                                                  Stellen Sie sicher, dass Ihr Serverzertifikat mit der konfigurierten Serviceaktivierungsdomäne übereinstimmt.

                                                                                                                                                  Die wahrscheinlichste Ursache ist, dass der CN des Zertifikats vor Kurzem geändert wurde und sich nun vom CN unterscheidet, der bei der Ersteinrichtung verwendet wurde.

                                                                                                                                                  Authentifizierung bei Cloud-Diensten fehlgeschlagen.

                                                                                                                                                  Überprüfen Sie die Genauigkeit und den möglichen Ablauf der Anmeldeinformationen für das Dienstkonto.

                                                                                                                                                  Lokale Keystore-Datei konnte nicht geöffnet werden.

                                                                                                                                                  Überprüfen Sie die Integrität und Passwortgenauigkeit der lokalen Keystore-Datei.

                                                                                                                                                  Das lokale Serverzertifikat ist ungültig.

                                                                                                                                                  Überprüfen Sie das Ablaufdatum des Serverzertifikats und bestätigen Sie, dass es von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.

                                                                                                                                                  Metriken können nicht veröffentlicht werden.

                                                                                                                                                  Überprüfen Sie den lokalen Netzwerkzugriff auf externe Cloud-Dienste.

                                                                                                                                                  /media/configdrive/hds Verzeichnis existiert nicht.

                                                                                                                                                  Überprüfen Sie die ISO-Bereitstellungskonfiguration auf dem virtuellen Host. Stellen Sie sicher, dass die ISO-Datei vorhanden ist, dass sie für das Einhängen beim Neustart konfiguriert ist und dass sie erfolgreich eingehängt wird.

                                                                                                                                                  Fehlerbehebung bei Hybrid Data Security

                                                                                                                                                  Verwenden Sie die folgenden allgemeinen Richtlinien zur Fehlerbehebung bei Problemen mit der Hybrid-Datensicherheit.
                                                                                                                                                  1

                                                                                                                                                  Prüfen Sie Control Hub auf alle Warnungen und beheben Sie alle Elemente, die Sie dort finden.

                                                                                                                                                  2

                                                                                                                                                  Prüfen Sie die Syslog-Serverausgabe auf die Aktivität aus der Bereitstellung für Hybrid-Datensicherheit.

                                                                                                                                                  3

                                                                                                                                                  Kontaktieren Sie den Cisco Support .

                                                                                                                                                  Sonstige Hinweise

                                                                                                                                                  Bekannte Probleme bei der Hybrid-Datensicherheit

                                                                                                                                                  • Wenn Sie Ihren Hybrid-Datensicherheitscluster herunterfahren (indem Sie ihn in Control Hub löschen oder alle Knoten herunterfahren), Ihre ISO-Konfigurationsdatei verlieren oder den Zugriff auf die Keystore-Datenbank verlieren, können Ihre Webex-App-Benutzer keine Bereiche mehr in ihrer Personenliste verwenden, die mit Schlüsseln aus Ihrem KMS erstellt wurden. Dies gilt sowohl für Test- als auch für Produktionsbereitstellungen. Wir haben derzeit keine Problemumgehung oder Lösung für dieses Problem und bitten Sie dringend, Ihre HDS-Dienste nicht herunterzufahren, sobald sie aktive Benutzerkonten verarbeiten.

                                                                                                                                                  • Ein Client, der eine vorhandene ECDH-Verbindung zu einer KMS hat, hält diese Verbindung für einen bestimmten Zeitraum (wahrscheinlich eine Stunde) aufrecht. Wenn ein Benutzer Mitglied einer Testversion für Hybrid-Datensicherheit wird, verwendet der Client des Benutzers die vorhandene ECDH-Verbindung weiter, bis die Zeitüberschreitung auftritt. Alternativ kann sich der Benutzer bei der Webex-App abmelden und erneut anmelden, um den Standort zu aktualisieren, den die App für Verschlüsselungsschlüssel kontaktiert.

                                                                                                                                                    Dasselbe Verhalten tritt auf, wenn Sie eine Testversion für die Organisation in die Produktion verschieben. Alle Nicht-Testbenutzer mit bestehenden ECDH-Verbindungen zu den vorherigen Datensicherheitsdiensten werden diese Dienste weiterhin nutzen, bis die ECDH-Verbindung neu ausgehandelt wird (durch Zeitüberschreitung oder durch Abmelden und zurück).

                                                                                                                                                  Verwenden von OpenSSL zum Generieren einer PKCS12-Datei

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  • OpenSSL ist ein Tool, mit dem die PKCS12-Datei im richtigen Format zum Laden im HDS Setup Tool erstellt werden kann. Es gibt andere Möglichkeiten, dies zu tun, und wir unterstützen oder fördern nicht den einen Weg über den anderen.

                                                                                                                                                  • Wenn Sie sich für OpenSSL entscheiden, stellen wir Ihnen dieses Verfahren als Richtlinie zur Verfügung, um Ihnen zu helfen, eine Datei zu erstellen, die die X.509-Zertifikatanforderungen in X.509-Zertifikatanforderungen erfüllt. Machen Sie sich mit diesen Anforderungen vertraut, bevor Sie fortfahren.

                                                                                                                                                  • Installieren Sie OpenSSL in einer unterstützten Umgebung. Siehe https://www.openssl.org für die Software und Dokumentation.

                                                                                                                                                  • Erstellen Sie einen privaten Schlüssel.

                                                                                                                                                  • Starten Sie dieses Verfahren, wenn Sie das Serverzertifikat von Ihrer Certificate Authority (CA) erhalten.

                                                                                                                                                  1

                                                                                                                                                  Wenn Sie das Serverzertifikat von Ihrer CA erhalten, speichern Sie es als hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Zeigen Sie das Zertifikat als Text an und überprüfen Sie die Details.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Verwenden Sie einen Texteditor, um eine Zertifikatspaket-Datei mit dem Namen hdsnode-bundle.pem. Die Paketdatei muss das Serverzertifikat, alle CA-Zwischenzertifikate und die CA-Stammzertifikate im folgenden Format enthalten:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Erstellen Sie die .p12-Datei mit dem freundlichen Namen kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Überprüfen Sie die Details des Serverzertifikats.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Geben Sie ein Kennwort an der Eingabeaufforderung ein, um den privaten Schlüssel zu verschlüsseln, damit er in der Ausgabe aufgeführt ist. Überprüfen Sie dann, ob der private Schlüssel und das erste Zertifikat die Leitungen enthalten. friendlyName: kms-private-key.

                                                                                                                                                    Beispiel:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Nächste Schritte

                                                                                                                                                  Zurück zu Vervollständigen der Voraussetzungen für Hybrid-Datensicherheit . Sie werden die hdsnode.p12 Datei und das Kennwort, das Sie dafür festgelegt haben, unter Erstellen einer Konfigurations-ISO für die HDS-Hosts .


                                                                                                                                                   

                                                                                                                                                  Sie können diese Dateien wiederverwenden, um ein neues Zertifikat anzufordern, wenn das ursprüngliche Zertifikat abläuft.

                                                                                                                                                  Datenverkehr zwischen den HDS-Knoten und der Cloud

                                                                                                                                                  Datenverkehr bei Sammlung ausgehender Metriken

                                                                                                                                                  Die Hybrid-Datensicherheitsknoten senden bestimmte Metriken an die Webex-Cloud. Dazu gehören Systemmetriken für Heap max, Heap verwendet, CPU-Auslastung und Thread-Anzahl; Metriken zu synchronen und asynchronen Threads; Metriken zu Warnungen, die einen Schwellenwert für Verschlüsselungsverbindungen, Latenz oder eine Länge der Anforderungswarteschlange umfassen; Metriken zum Datenspeicher und Verschlüsselungsverbindungsmetriken. Die Knoten senden verschlüsseltes Schlüsselmaterial über einen Out-of-Band-Kanal (getrennt von der Anforderung).

                                                                                                                                                  Eingehender Verkehr

                                                                                                                                                  Die Hybrid-Datensicherheitsknoten erhalten die folgenden Arten von eingehendem Datenverkehr aus der Webex-Cloud:

                                                                                                                                                  • Verschlüsselungsanfragen von Clients, die vom Verschlüsselungsdienst weitergeleitet werden

                                                                                                                                                  • Upgrades auf die Knotensoftware

                                                                                                                                                  Squid-Proxys für Hybrid Data Security konfigurieren

                                                                                                                                                  Websocket kann keine Verbindung über Squid Proxy herstellen

                                                                                                                                                  Squid-Proxys, die HTTPS-Datenverkehr prüfen, können die Einrichtung von Websocket beeinträchtigen ( wss:) Verbindungen, die für die Hybrid-Datensicherheit erforderlich sind. In diesen Abschnitten finden Sie eine Anleitung, wie Sie verschiedene Versionen von Squid so konfigurieren, dass sie ignoriert werden. wss: Verkehr für den ordnungsgemäßen Betrieb der Dienste.

                                                                                                                                                  Tintenfisch 4 und 5

                                                                                                                                                  Fügen Sie die on_unsupported_protocol Direktive zu squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Tintenfisch 3.5.27

                                                                                                                                                  Wir haben die Hybrid-Datensicherheit erfolgreich getestet und die folgenden Regeln hinzugefügt: squid.conf. Diese Regeln können sich bei der Entwicklung von Funktionen und der Aktualisierung der Webex-Cloud ändern.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Vorwort

                                                                                                                                                  Neue und geänderte Informationen

                                                                                                                                                  Datum

                                                                                                                                                  Vorgenommene Änderungen

                                                                                                                                                  20. Oktober 2023

                                                                                                                                                  07. August 2023

                                                                                                                                                  Dienstag, 23. Mai 2023

                                                                                                                                                  06. Dezember 2022

                                                                                                                                                  23. November 2022

                                                                                                                                                  13. Oktober 2021

                                                                                                                                                  Docker Desktop muss ein Setup-Programm ausführen, bevor Sie HDS-Knoten installieren können. Siehe Docker Desktop-Anforderungen .

                                                                                                                                                  24. Juni 2021

                                                                                                                                                  Beachten Sie, dass Sie die Datei mit dem privaten Schlüssel und den CSR wiederverwenden können, um ein anderes Zertifikat anzufordern. Weitere Informationen finden Sie unter Verwenden von OpenSSL zum Generieren einer PKCS12-Datei .

                                                                                                                                                  30. April 2021

                                                                                                                                                  Die VM-Anforderung für lokalen Festplattenspeicher wurde auf 30 GB geändert. Weitere Informationen finden Sie unter „Anforderungen für virtuelle Gastgeber“.

                                                                                                                                                  Mittwoch, 24. Februar 2021

                                                                                                                                                  Das HDS Setup Tool kann jetzt hinter einem Proxy ausgeführt werden. Weitere Informationen finden Sie unter Erstellen einer Konfigurations-ISO für die HDS-Hosts .

                                                                                                                                                  2. Februar 2021

                                                                                                                                                  HDS kann jetzt ohne gemountete ISO-Datei ausgeführt werden. Weitere Informationen finden Sie unter (Optional) ISO nach HDS-Konfiguration abmontieren .

                                                                                                                                                  11. Januar 2021

                                                                                                                                                  Informationen zum HDS Setup-Tool und zu Proxys hinzugefügt Erstellen einer Konfigurations-ISO für die HDS-Hosts .

                                                                                                                                                  13. Oktober 2020

                                                                                                                                                  Aktualisiert Installationsdateien herunterladen .

                                                                                                                                                  8. Oktober 2020

                                                                                                                                                  Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts und Ändern Sie die Knotenkonfiguration mit Befehlen für FedRAMP-Umgebungen.

                                                                                                                                                  Freitag, 14. August 2020

                                                                                                                                                  Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts und Ändern Sie die Knotenkonfiguration mit Änderungen am Anmeldeprozess.

                                                                                                                                                  Mittwoch, 5. August 2020

                                                                                                                                                  Aktualisiert Testen Sie Ihre Hybrid-Datensicherheitsbereitstellung auf Änderungen in Protokollnachrichten.

                                                                                                                                                  Aktualisiert Anforderungen für virtuelle Gastgeber , um die maximale Anzahl an Hosts zu entfernen.

                                                                                                                                                  Dienstag, 16. Juni 2020

                                                                                                                                                  Aktualisiert Entfernen eines Knotens für Änderungen in der Control Hub-Benutzeroberfläche.

                                                                                                                                                  Donnerstag, 4. Juni 2020

                                                                                                                                                  Aktualisiert Erstellen Sie ein Konfigurations-ISO für die HDS-Hosts für Änderungen in den erweiterten Einstellungen, die Sie möglicherweise festlegen.

                                                                                                                                                  Freitag, 29. Mai 2020

                                                                                                                                                  Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts , um anzuzeigen, dass Sie TLS auch mit SQL Server-Datenbanken, UI-Änderungen und anderen Klarstellungen verwenden können.

                                                                                                                                                  Dienstag, 5. Mai 2020

                                                                                                                                                  Aktualisiert Anforderungen für virtuelle Gastgeber um neue Anforderungen für ESXi 6.5 anzuzeigen.

                                                                                                                                                  21. April 2020

                                                                                                                                                  Aktualisiert Externe Konnektivitätsanforderungen mit neuen CI-Hosts für Amerika.

                                                                                                                                                  1. April 2020

                                                                                                                                                  Aktualisiert Externe Konnektivitätsanforderungen mit Informationen zu regionalen CI-Hosts.

                                                                                                                                                  20. Februar 2020Aktualisiert Erstellen Sie eine Konfigurations-ISO für die HDS-Hosts mit Informationen zum neuen optionalen Bildschirm Erweiterte Einstellungen im HDS-Setup-Tool.
                                                                                                                                                  4. Februar 2020Aktualisierte Anforderungen für Proxyserver .
                                                                                                                                                  16. Dezember 2019Die Anforderung, dass der blockierte externe DNS-Auflösungsmodus unter „ Proxyserveranforderungen“ funktioniert, wurde klargestellt .
                                                                                                                                                  19. November 2019

                                                                                                                                                  Informationen zum blockierten externen DNS-Auflösungsmodus wurden in den folgenden Abschnitten hinzugefügt:

                                                                                                                                                  8. November 2019

                                                                                                                                                  Sie können jetzt die Netzwerkeinstellungen für einen Knoten konfigurieren, während Sie die OVA bereitstellen, und nicht erst danach.

                                                                                                                                                  Die folgenden Abschnitte wurden entsprechend aktualisiert:


                                                                                                                                                   

                                                                                                                                                  Die Option zum Konfigurieren von Netzwerkeinstellungen während der OVA-Bereitstellung wurde mit ESXi 6.5 getestet. Die Option ist in früheren Versionen möglicherweise nicht verfügbar.

                                                                                                                                                  6. September 2019

                                                                                                                                                  SQL Server Standard zu Datenbankserveranforderungen .

                                                                                                                                                  29. August 2019Hinzugefügt Konfigurieren von Squid-Proxys für Hybrid Data Security Anhang mit Anleitung zum Konfigurieren von Squid-Proxys zum Ignorieren von Websocket-Datenverkehr für den ordnungsgemäßen Betrieb.
                                                                                                                                                  20. August 2019

                                                                                                                                                  Abschnitte hinzugefügt und aktualisiert, um die Proxy-Unterstützung für die Kommunikation von hybriden Datensicherheitsknoten mit der Webex-Cloud abzudecken.

                                                                                                                                                  Informationen zum Zugriff auf den Inhalt der Proxy-Unterstützung für eine vorhandene Bereitstellung finden Sie im Hilfeartikel Proxy-Unterstützung für Hybrid Data Security und Webex-Videonetz .

                                                                                                                                                  Freitag, 13. Juni 2019Aktualisiert Ablauf der Testversion zur Produktionsaufgabe mit einer Erinnerung zur Synchronisierung der HdsTrialGroup gruppieren Sie ein Objekt, bevor Sie einen Test starten, wenn Ihre Organisation die Verzeichnissynchronisierung verwendet.
                                                                                                                                                  Freitag, 6. März 2019
                                                                                                                                                  Dienstag, 28. Februar 2019
                                                                                                                                                  • Es wurde die Menge des lokalen Festplattenspeichers pro Server korrigiert, den Sie bei der Vorbereitung der virtuellen Hosts, die zu den Hybrid-Datensicherheitsknoten werden, von 50 GB auf 20 GB beiseite legen sollten, um die Größe der Festplatte widerzuspiegeln, die die OVA erstellt.

                                                                                                                                                  26. Februar 2019

                                                                                                                                                  24. Januar 2019

                                                                                                                                                  • Hybrid Data Security unterstützt jetzt Microsoft SQL Server als Datenbank. SQL Server Always On (Always On Failover-Cluster und Always on Availability-Gruppen) wird von den JDBC-Treibern unterstützt, die in der Hybrid-Datensicherheit verwendet werden. Inhalt zur Bereitstellung mit SQL Server hinzugefügt.


                                                                                                                                                     

                                                                                                                                                    Die Unterstützung von Microsoft SQL Server ist nur für neue Bereitstellungen von Hybrid-Datensicherheit vorgesehen. Die Datenmigration von PostgreSQL zu Microsoft SQL Server in einer vorhandenen Bereitstellung wird derzeit nicht unterstützt.

                                                                                                                                                  5. November 2018
                                                                                                                                                  Dienstag, 19. Oktober 2018

                                                                                                                                                  31. Juli 2018

                                                                                                                                                  21. Mai 2018

                                                                                                                                                  Terminologie geändert, um das Rebranding von Cisco Spark widerzuspiegeln:

                                                                                                                                                  • Cisco Spark Hybrid Data Security heißt jetzt Hybrid Data Security.

                                                                                                                                                  • Die Cisco Spark-App ist jetzt die Webex-App.

                                                                                                                                                  • Die Cisco Collaboraton Cloud ist jetzt die Webex-Cloud.

                                                                                                                                                  Dienstag, 11. April 2018
                                                                                                                                                  22. Februar 2018
                                                                                                                                                  Donnerstag, 15. Februar 2018
                                                                                                                                                  • In der Tabelle X.509-Zertifikatanforderungen wurde festgelegt, dass das Zertifikat kein Wildcard-Zertifikat sein darf und dass das KMS die CN-Domäne verwendet, nicht eine Domäne, die in den x.509v3-SAN-Feldern definiert ist.

                                                                                                                                                  Donnerstag, 18. Januar 2018

                                                                                                                                                  2. November 2017

                                                                                                                                                  • Klarere Verzeichnissynchronisierung der HdsTrialGroup.

                                                                                                                                                  • Behobene Anweisungen zum Hochladen der ISO-Konfigurationsdatei zum Mounten auf die VM-Knoten.

                                                                                                                                                  Freitag, 18. August 2017

                                                                                                                                                  Erste Veröffentlichung

                                                                                                                                                  Erste Schritte mit der Hybrid-Datensicherheit

                                                                                                                                                  Übersicht über die Hybrid-Datensicherheit

                                                                                                                                                  Von Anfang an stand bei der Entwicklung der Webex App die Datensicherheit im Vordergrund. Der Grundstein dieser Sicherheit ist die durchgängige Inhaltsverschlüsselung, die durch die Interaktion von Webex App-Clients mit dem Schlüsselverwaltungsdienst (KMS) ermöglicht wird. Der KMS erstellt und verwaltet die Kryptografieschlüssel, mit denen die Clients ihre Nachrichten und Dateien dynamisch ver- und entschlüsseln.

                                                                                                                                                  Standardmäßig erhalten alle Webex-App-Kunden eine durchgängige Verschlüsselung mit dynamischen Schlüsseln, die im Cloud-KMS im Sicherheitsbereich von Cisco gespeichert sind. Mit Hybrid Data Security werden KMS und andere Sicherheitsfunktionen in das Rechenzentrum Ihres Unternehmens verschoben, damit die Schlüssel zu ihren verschlüsselten Inhalten ausschließlich bei Ihnen liegen.

                                                                                                                                                  Sicherheitsbereichsarchitektur

                                                                                                                                                  Die Webex Cloud-Architektur trennt verschiedene Servicetypen in separate Bereiche oder Vertrauensdomänen, wie unten dargestellt.

                                                                                                                                                  Bereiche der Trennung (ohne Hybrid-Datensicherheit)

                                                                                                                                                  Um die Hybrid-Datensicherheit weiter zu verstehen, werfen wir einen Blick auf diesen reinen Cloud-Fall, in dem Cisco alle Funktionen in seinen Cloud-Bereichen bereitstellt. Der Identitätsdienst, der einzige Ort, an dem Benutzer direkt mit ihren persönlichen Informationen wie E-Mail-Adresse korreliert werden können, ist logisch und physisch getrennt vom Sicherheitsbereich im Rechenzentrum B. Beide sind wiederum getrennt vom Bereich, in dem letztlich verschlüsselte Inhalte gespeichert werden, im Rechenzentrum C.

                                                                                                                                                  In diesem Diagramm ist der Client die Webex-App, die auf dem Laptop eines Benutzers ausgeführt wird und sich beim Identitätsdienst authentifiziert hat. Wenn der Benutzer eine Nachricht erstellt, die an einen Bereich gesendet werden soll, werden die folgenden Schritte ausgeführt:

                                                                                                                                                  1. Der Client stellt eine sichere Verbindung mit dem Schlüsselverwaltungsdienst (KMS) her und fordert dann einen Schlüssel zum Verschlüsseln der Nachricht an. Die sichere Verbindung verwendet ECDH, und das KMS verschlüsselt den Schlüssel mit einem AES-256-Master-Schlüssel.

                                                                                                                                                  2. Die Nachricht wird verschlüsselt, bevor sie den Client verlässt. Der Client sendet es an den Indexierungsdienst, der verschlüsselte Suchindizes erstellt, die bei der zukünftigen Suche nach den Inhalten helfen.

                                                                                                                                                  3. Die verschlüsselte Nachricht wird für Compliance-Prüfungen an den Compliance-Dienst gesendet.

                                                                                                                                                  4. Die verschlüsselte Nachricht wird im Speicherbereich gespeichert.

                                                                                                                                                  Wenn Sie Hybrid Data Security bereitstellen, verschieben Sie die Sicherheitsbereichsfunktionen (KMS, Indizierung und Compliance) in Ihr lokales Rechenzentrum. Die anderen Cloud-Dienste, aus denen Webex besteht (einschließlich Identitäts- und Inhaltsspeicher), verbleiben in den Bereichen von Cisco.

                                                                                                                                                  Zusammenarbeit mit anderen Organisationen

                                                                                                                                                  Benutzer in Ihrer Organisation verwenden möglicherweise regelmäßig die Webex-App, um mit externen Teilnehmern in anderen Organisationen zusammenzuarbeiten. Wenn einer Ihrer Benutzer einen Schlüssel für einen Bereich anfordert, der zu Ihrer Organisation gehört (da er von einem Ihrer Benutzer erstellt wurde), sendet KMS den Schlüssel über einen ECDH-sicheren Kanal an den Client. Wenn jedoch eine andere Organisation den Schlüssel für den Bereich besitzt, leitet Ihre KMS die Anforderung über einen separaten ECDH-Kanal an die Webex-Cloud weiter, um den Schlüssel von der entsprechenden KMS zu erhalten, und gibt den Schlüssel dann an Ihren Benutzer im ursprünglichen Kanal zurück.

                                                                                                                                                  Der auf Org A ausgeführte KMS-Dienst validiert die Verbindungen zu KMSs in anderen Organisationen mit x.509 PKI-Zertifikaten. Siehe Umgebung vorbereiten für Details zur Generierung eines x.509-Zertifikats für Ihre Hybrid-Datensicherheitsbereitstellung.

                                                                                                                                                  Erwartungen an die Bereitstellung der Hybrid-Datensicherheit

                                                                                                                                                  Eine Bereitstellung von Hybrid-Datensicherheit erfordert erhebliches Kundenengagement und ein Bewusstsein für die Risiken, die sich aus dem Besitz von Verschlüsselungscodes ergeben.

                                                                                                                                                  Um die Hybrid-Datensicherheit bereitzustellen, müssen Sie Folgendes bereitstellen:

                                                                                                                                                  Der vollständige Verlust der Konfigurations-ISO, die Sie für Hybrid Data Security erstellen, oder der von Ihnen bereitgestellten Datenbank führt zum Verlust der Schlüssel. Der Schlüsselverlust verhindert, dass Benutzer Bereichsinhalte und andere verschlüsselte Daten in der Webex-App entschlüsseln. In diesem Fall können Sie eine neue Bereitstellung erstellen, aber nur neue Inhalte werden angezeigt. Um den Verlust des Zugriffs auf Daten zu vermeiden, müssen Sie:

                                                                                                                                                  • Verwalten Sie die Sicherung und Wiederherstellung der Datenbank und der ISO-Konfiguration.

                                                                                                                                                  • Bereiten Sie sich auf eine schnelle Notfallwiederherstellung vor, wenn eine Katastrophe auftritt, z. B. ein Datenbankfestplattenausfall oder eine Datencenter-Katastrophe.


                                                                                                                                                   

                                                                                                                                                  Es gibt keinen Mechanismus, um Schlüssel nach einer HDS-Bereitstellung zurück in die Cloud zu verschieben.

                                                                                                                                                  Hochrangiger Einrichtungsprozess

                                                                                                                                                  Dieses Dokument behandelt die Einrichtung und Verwaltung einer Bereitstellung für Hybrid-Datensicherheit:

                                                                                                                                                  • Hybrid-Datensicherheit einrichten – Dazu gehören die Vorbereitung der erforderlichen Infrastruktur und die Installation der Hybrid-Datensicherheitssoftware, das Testen Ihrer Bereitstellung mit einer Teilmenge von Benutzern im Testmodus und die Umstellung auf die Produktion, sobald die Tests abgeschlossen sind. Dadurch wird die gesamte Organisation konvertiert, um Ihren Hybrid-Datensicherheitscluster für Sicherheitsfunktionen zu verwenden.

                                                                                                                                                    Die Einrichtungs-, Test- und Produktionsphasen werden in den nächsten drei Kapiteln ausführlich behandelt.

                                                                                                                                                  • Bereitstellen der Hybrid-Datensicherheit aufrechterhalten – Die Webex-Cloud stellt automatisch laufende Upgrades bereit. Ihre IT-Abteilung kann diese Bereitstellung mit Unterstützung der Stufe eins unterstützen und bei Bedarf den Cisco-Support einbeziehen. Sie können Benachrichtigungen auf dem Bildschirm verwenden und E-Mail-basierte Warnungen in Control Hub einrichten.

                                                                                                                                                  • Allgemeine Warnungen, Schritte zur Fehlerbehebung und bekannte Probleme – Wenn bei der Bereitstellung oder Verwendung von Hybrid Data Security Probleme auftreten, können Sie das letzte Kapitel dieses Handbuchs und der Anhang „Bekannte Probleme“ bei der Bestimmung und Behebung des Problems helfen.

                                                                                                                                                  Bereitstellungsmodell für Hybrid-Datensicherheit

                                                                                                                                                  Im Rechenzentrum Ihres Unternehmens stellen Sie die Hybrid-Datensicherheit als ein einzelnes Cluster von Knoten auf separaten virtuellen Hosts bereit. Die Knoten kommunizieren über sichere Websockets und sicheres HTTP mit der Webex-Cloud.

                                                                                                                                                  Während der Installation stellen wir Ihnen die OVA-Datei zur Verfügung, um die virtuelle Appliance auf den von Ihnen bereitgestellten VMs einzurichten. Mit dem HDS-Setup-Tool können Sie eine benutzerdefinierte ISO-Datei für die Clusterkonfiguration erstellen, die Sie auf jedem Knoten mounten. Der Hybrid-Datensicherheitscluster verwendet Ihren bereitgestellten Syslogd-Server und die PostgreSQL- oder Microsoft SQL Server-Datenbank. (Sie konfigurieren die Syslogd- und Datenbankverbindungsdetails im HDS Setup Tool.)

                                                                                                                                                  Bereitstellungsmodell für Hybrid-Datensicherheit

                                                                                                                                                  Die Mindestanzahl an Knoten, die Sie in einem Cluster haben können, beträgt zwei. Wir empfehlen mindestens drei und Sie können bis zu fünf haben. Wenn Sie mehrere Knoten haben, wird sichergestellt, dass der Dienst während eines Software-Upgrades oder einer anderen Wartungsaktivität auf einem Knoten nicht unterbrochen wird. (Die Webex-Cloud aktualisiert nur jeweils einen Knoten.)

                                                                                                                                                  Alle Knoten in einem Cluster greifen auf denselben Schlüsseldatastore zu und protokollieren die Aktivität mit demselben Syslog-Server. Die Knoten selbst sind staatenlos und bearbeiten wichtige Anfragen in Round-Robin-Manier, wie von der Cloud geleitet.

                                                                                                                                                  Knoten werden aktiv, wenn Sie sie in Control Hub registrieren. Um einen einzelnen Knoten außer Betrieb zu nehmen, können Sie die Registrierung aufheben und ihn bei Bedarf später erneut registrieren.

                                                                                                                                                  Wir unterstützen nur ein einzelnes Cluster pro Organisation.

                                                                                                                                                  Testmodus für Hybrid-Datensicherheit

                                                                                                                                                  Nachdem Sie eine Bereitstellung für Hybrid-Datensicherheit eingerichtet haben, versuchen Sie es zunächst mit einer Reihe von Pilotbenutzern. Während des Testzeitraums verwenden diese Benutzer Ihre lokale Hybrid-Datensicherheitsdomäne für Verschlüsselungscodes und andere Dienste des Sicherheitsbereichs. Ihre anderen Benutzer verwenden weiterhin den Cloud-Sicherheitsbereich.

                                                                                                                                                  Wenn Sie die Bereitstellung während des Testzeitraums nicht fortsetzen und den Dienst deaktivieren möchten, verlieren die Pilotbenutzer und alle Benutzer, mit denen sie während des Testzeitraums interagiert haben, den Zugriff auf die Nachrichten und Inhalte. Ihnen wird in der Webex-App „Diese Nachricht kann nicht entschlüsselt werden“ angezeigt.

                                                                                                                                                  Wenn Sie überzeugt sind, dass Ihre Bereitstellung für die Testbenutzer gut funktioniert und Sie bereit sind, die Hybrid-Datensicherheit auf alle Ihre Benutzer auszuweiten, verschieben Sie die Bereitstellung in die Produktion. Pilotbenutzer haben weiterhin Zugriff auf die Schlüssel, die während der Testphase verwendet wurden. Sie können jedoch nicht zwischen dem Produktionsmodus und der ursprünglichen Testversion hin- und herwechseln. Wenn Sie den Dienst deaktivieren müssen, um z. B. eine Notfallwiederherstellung durchzuführen, müssen Sie bei der erneuten Aktivierung einen neuen Test starten und die Anzahl der Pilotbenutzer für den neuen Test einrichten, bevor Sie in den Produktionsmodus zurückkehren. Ob die Benutzer zu diesem Zeitpunkt weiterhin Zugriff auf Daten haben, hängt davon ab, ob Sie Backups des Schlüsseldatenspeichers und der ISO-Konfigurationsdatei für die Hybrid-Datensicherheitsknoten in Ihrem Cluster erfolgreich durchgeführt haben.

                                                                                                                                                  Standby-Rechenzentrum für die Notfallwiederherstellung

                                                                                                                                                  Während der Bereitstellung richten Sie ein sicheres Standby-Rechenzentrum ein. Im Falle eines Rechenzentrums-Desasters können Sie Ihre Bereitstellung manuell auf das Standby-Rechenzentrum umlegen.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manuelles Failover zum Standby-Rechenzentrum

                                                                                                                                                  Die Datenbanken der aktiven und Standby-Rechenzentren sind miteinander synchronisiert, wodurch die Zeit für die Durchführung des Failovers minimiert wird. Die ISO-Datei des Standby-Rechenzentrums wird mit zusätzlichen Konfigurationen aktualisiert, die sicherstellen, dass die Knoten in der Organisation registriert sind, aber keinen Datenverkehr verarbeiten. Daher bleiben die Knoten des Standby-Rechenzentrums immer auf dem neuesten Stand mit der neuesten Version der HDS-Software.


                                                                                                                                                   

                                                                                                                                                  Die aktiven Hybrid-Datensicherheitsknoten müssen sich immer im selben Rechenzentrum wie der aktive Datenbankserver befinden.

                                                                                                                                                  Standby-Rechenzentrum für die Notfallwiederherstellung einrichten

                                                                                                                                                  Führen Sie die folgenden Schritte aus, um die ISO-Datei des Standby-Rechenzentrums zu konfigurieren:

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  • Das Standby-Rechenzentrum sollte die Produktionsumgebung von VMs und eine Backup-PostgreSQL- oder Microsoft SQL Server-Datenbank spiegeln. Wenn die Produktion beispielsweise über 3 VMs verfügt, auf denen HDS-Knoten ausgeführt werden, sollte die Backup-Umgebung über 3 VMs verfügen. (Siehe Standby Data Center for Disaster Recovery für eine Übersicht über dieses Failover-Modell.)

                                                                                                                                                  • Stellen Sie sicher, dass die Datenbanksynchronisierung zwischen der Datenbank aktiver und passiver Cluster-Knoten aktiviert ist.

                                                                                                                                                  1

                                                                                                                                                  Starten Sie das HDS-Setup-Tool und befolgen Sie die unter Erstellen einer Konfigurations-ISO für die HDS-Hosts genannten Schritte.


                                                                                                                                                   

                                                                                                                                                  Die ISO-Datei muss eine Kopie der ursprünglichen ISO-Datei des primären Rechenzentrums sein, auf das die folgenden Konfigurationsaktualisierungen vorgenommen werden sollen.

                                                                                                                                                  2

                                                                                                                                                  Klicken Sie nach der Konfiguration des Syslogd-Servers auf Erweiterte Einstellungen

                                                                                                                                                  3

                                                                                                                                                  Fügen Sie auf der Seite Erweiterte Einstellungen unten die Konfiguration hinzu, um den Knoten im passiven Modus zu platzieren. In diesem Modus wird der Knoten in der Organisation registriert und mit der Cloud verbunden, verarbeitet jedoch keinen Datenverkehr.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Schließen Sie den Konfigurationsvorgang ab und speichern Sie die ISO-Datei an einem leicht zu findenden Speicherort.

                                                                                                                                                  5

                                                                                                                                                  Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Halten Sie die Sicherungskopie sicher. Diese Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff nur auf Hybrid-Datensicherheitsadministratoren, die Konfigurationsänderungen vornehmen sollten.

                                                                                                                                                  6

                                                                                                                                                  Klicken Sie im linken Navigationsbereich des VMware vSphere-Clients mit der rechten Maustaste auf die VM und klicken Sie auf Einstellungen bearbeiten..

                                                                                                                                                  7

                                                                                                                                                  Klicken Sie auf Einstellungen bearbeiten > CD/DVD Laufwerk 1 und wählen Sie Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Stellen Sie sicher, dass „Verbunden“ und „Verbindung beim Einschalten“ aktiviert sind, damit aktualisierte Konfigurationsänderungen nach dem Starten der Knoten wirksam werden können.

                                                                                                                                                  8

                                                                                                                                                  Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 15 Minuten lang keine Alarme vorhanden sind.

                                                                                                                                                  9

                                                                                                                                                  Wiederholen Sie den Vorgang für jeden Knoten im Standby-Rechenzentrum.


                                                                                                                                                   

                                                                                                                                                  Überprüfen Sie die Syslogs, um sicherzustellen, dass sich die Knoten im passiven Modus befinden. Sie sollten in der Lage sein, die Meldung „KMS im passiven Modus konfiguriert“ in den Syslogs anzuzeigen.

                                                                                                                                                  Nächste Schritte

                                                                                                                                                  Nach der Konfiguration passiveMode in der ISO-Datei zu speichern, können Sie eine andere Kopie der ISO-Datei ohne die passiveMode konfigurieren und an einem sicheren Speicherort speichern. Diese Kopie der ISO-Datei ohne passiveMode konfiguriert kann bei einem schnellen Failover-Prozess während der Notfallwiederherstellung helfen. Siehe Notfallwiederherstellung mit Standby-Rechenzentrum für das detaillierte Failover-Verfahren.

                                                                                                                                                  Proxy-Unterstützung

                                                                                                                                                  Hybrid Data Security unterstützt explizite, transparente Inspektion und Nicht-Inspektion von Proxys. Sie können diese Proxys mit Ihrer Bereitstellung verknüpfen, sodass Sie den Datenverkehr vom Unternehmen in die Cloud absichern und überwachen können. Sie können eine Plattform-Admin-Oberfläche auf den Knoten für die Zertifikatsverwaltung und zum Überprüfen des allgemeinen Verbindungsstatus verwenden, nachdem Sie den Proxy auf den Knoten eingerichtet haben.

                                                                                                                                                  Die Hybrid-Datensicherheitsknoten unterstützen die folgenden Proxy-Optionen:

                                                                                                                                                  • Kein Proxy – Der Standard, wenn Sie nicht die HDS-Knoteneinrichtung Trust Store- und Proxy-Konfiguration verwenden, um einen Proxy zu integrieren. Es ist keine Zertifikataktualisierung erforderlich.

                                                                                                                                                  • Transparenter Proxy ohne Prüfung – Die Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert und erfordern keine Änderungen, damit sie mit einem Proxy ohne Prüfung funktionieren. Es ist keine Zertifikataktualisierung erforderlich.

                                                                                                                                                  • Transparentes Tunneln oder Prüfen des Proxy – Die Knoten sind nicht so konfiguriert, dass sie eine bestimmte Proxyserver-Adresse verwenden. Auf den Knoten sind keine HTTP- oder HTTPS-Konfigurationsänderungen erforderlich. Die Knoten benötigen jedoch ein Stammzertifikat, damit sie dem Proxy vertrauen können. In der Regel werden Proxys von der IT verwendet, um Richtlinien durchzusetzen, auf denen Websites besucht werden können und welche Arten von Inhalten nicht zulässig sind. Dieser Proxy-Typ entschlüsselt Ihren gesamten Datenverkehr (auch HTTPS).

                                                                                                                                                  • Expliziter Proxy – Mit explizitem Proxy teilen Sie den HDS-Knoten mit, welchen Proxyserver und welches Authentifizierungsschema verwendet werden soll. Um einen expliziten Proxy zu konfigurieren, müssen Sie auf jedem Knoten die folgenden Informationen eingeben:

                                                                                                                                                    1. Proxy-IP/FQDN : Adresse, die zum Erreichen der Proxymaschine verwendet werden kann.

                                                                                                                                                    2. Proxy-Port : Eine Portnummer, die der Proxy für die Überwachung des Proxyverkehrs verwendet.

                                                                                                                                                    3. Proxy-Protokoll : Je nachdem, was Ihr Proxy-Server unterstützt, wählen Sie zwischen den folgenden Protokollen:

                                                                                                                                                      • HTTP – Zeigt alle vom Client gesendeten Anfragen an und steuert sie.

                                                                                                                                                      • HTTPS: Stellt dem Server einen Kanal zur Verfügung. Der Client empfängt und validiert das Zertifikat des Servers.

                                                                                                                                                    4. Authentifizierungstyp : Wählen Sie einen der folgenden Authentifizierungstypen aus:

                                                                                                                                                      • Keine: Es ist keine weitere Authentifizierung erforderlich.

                                                                                                                                                        Verfügbar, wenn Sie HTTP oder HTTPS als Proxy-Protokoll auswählen.

                                                                                                                                                      • Basic – Wird für einen HTTP-Benutzeragenten verwendet, um bei einer Anforderung einen Benutzernamen und ein Kennwort anzugeben. Verwendet Base64-Codierung.

                                                                                                                                                        Verfügbar, wenn Sie HTTP oder HTTPS als Proxy-Protokoll auswählen.

                                                                                                                                                        Erfordert die Eingabe des Benutzernamens und des Kennworts auf den einzelnen Knoten.

                                                                                                                                                      • Ziffer : Wird verwendet, um das Konto zu bestätigen, bevor sensible Informationen gesendet werden. Wendet eine Hash-Funktion auf den Benutzernamen und das Kennwort an, bevor sie über das Netzwerk gesendet werden.

                                                                                                                                                        Nur verfügbar, wenn Sie HTTPS als Proxy-Protokoll auswählen.

                                                                                                                                                        Erfordert die Eingabe des Benutzernamens und des Kennworts auf den einzelnen Knoten.

                                                                                                                                                  Beispiel für hybride Datensicherheitsknoten und Proxy

                                                                                                                                                  Dieses Diagramm zeigt eine Beispielverbindung zwischen der Hybrid-Datensicherheit, dem Netzwerk und einem Proxy. Für die transparenten Inspektions- und HTTPS-Optionen zur expliziten Inspektion von Proxy muss dasselbe Stammzertifikat auf dem Proxy und auf den Hybrid-Datensicherheitsknoten installiert sein.

                                                                                                                                                  Blockierter externer DNS-Auflösungsmodus (Explizite Proxykonfigurationen)

                                                                                                                                                  Wenn Sie einen Knoten registrieren oder die Proxy-Konfiguration des Knotens überprüfen, testet der Prozess die DNS-Suche und die Konnektivität mit der Cisco Webex-Cloud. In Bereitstellungen mit expliziten Proxy-Konfigurationen, die keine externe DNS-Auflösung für interne Clients zulassen, wechselt der Knoten automatisch in den Modus für blockierte externe DNS-Auflösung, wenn er die DNS-Server nicht abfragen kann. In diesem Modus können die Knotenregistrierung und andere Proxy-Verbindungstests fortgesetzt werden.

                                                                                                                                                  Umgebung vorbereiten

                                                                                                                                                  Anforderungen an die Hybrid-Datensicherheit

                                                                                                                                                  Cisco Webex-Lizenzanforderungen

                                                                                                                                                  So stellen Sie die Hybrid-Datensicherheit bereit:

                                                                                                                                                  Docker Desktop-Anforderungen

                                                                                                                                                  Bevor Sie Ihre HDS-Knoten installieren, benötigen Sie Docker Desktop, um ein Setup-Programm auszuführen. Docker hat kürzlich sein Lizenzierungsmodell aktualisiert. Ihre Organisation benötigt möglicherweise ein kostenpflichtiges Abonnement für Docker Desktop. Weitere Informationen finden Sie im Docker-Blog „ Docker aktualisiert und erweitert unsere Produktabonnements ".

                                                                                                                                                  X.509-Zertifikatanforderungen

                                                                                                                                                  Die Zertifikatskette muss die folgenden Anforderungen erfüllen:

                                                                                                                                                  Tabelle 1: X.509-Zertifikatanforderungen für die Bereitstellung der Hybrid-Datensicherheit

                                                                                                                                                  Anforderung

                                                                                                                                                  Details

                                                                                                                                                  • Signiert von einer vertrauenswürdigen Zertifizierungsstelle (CA)

                                                                                                                                                  Standardmäßig vertrauen wir den CAs in der Mozilla-Liste (mit Ausnahme von WoSign und StartCom) auf https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Gibt einen Domänennamen mit allgemeinem Namen (Common Name, CN) an, der Ihre Bereitstellung für die Hybrid-Datensicherheit identifiziert

                                                                                                                                                  • Ist kein Wildcard-Zertifikat

                                                                                                                                                  Der CN muss nicht erreichbar sein oder ein Live-Host sein. Wir empfehlen Ihnen beispielsweise, einen Namen zu verwenden, der Ihre Organisation widerspiegelt. hds.company.com.

                                                                                                                                                  Der CN darf kein * (Platzhalter) enthalten.

                                                                                                                                                  Der CN wird verwendet, um die Hybrid-Datensicherheitsknoten für Webex-App-Clients zu verifizieren. Alle Hybrid-Datensicherheitsknoten in Ihrem Cluster verwenden dasselbe Zertifikat. Ihr KMS identifiziert sich mit der CN-Domäne, nicht mit einer Domäne, die in den SAN-Feldern x.509v3 definiert ist.

                                                                                                                                                  Sobald Sie einen Knoten mit diesem Zertifikat registriert haben, wird das Ändern des CN-Domänennamens nicht unterstützt. Wählen Sie eine Domäne aus, die sowohl für Test- als auch für Produktionsbereitstellungen gelten kann.

                                                                                                                                                  • Nicht-SHA1-Signatur

                                                                                                                                                  Die KMS-Software unterstützt keine SHA1-Signaturen für die Überprüfung von Verbindungen zu KMSs anderer Organisationen.

                                                                                                                                                  • Als passwortgeschützte PKCS #12-Datei formatiert

                                                                                                                                                  • Verwenden Sie den freundlichen Namen von kms-private-key um das Zertifikat, den privaten Schlüssel und alle Zwischenzertifikate zum Hochladen zu markieren.

                                                                                                                                                  Sie können einen Konverter wie OpenSSL verwenden, um das Format Ihres Zertifikats zu ändern.

                                                                                                                                                  Sie müssen das Kennwort eingeben, wenn Sie das HDS-Setup-Tool ausführen.

                                                                                                                                                  Die KMS-Software erzwingt keine Schlüsselnutzung oder erweiterte Schlüsselnutzungsbeschränkungen. Einige Zertifizierungsstellen verlangen, dass für jedes Zertifikat erweiterte Nutzungsbeschränkungen gelten, z. B. Serverauthentifizierung. Es ist in Ordnung, die Server-Authentifizierung oder andere Einstellungen zu verwenden.

                                                                                                                                                  Anforderungen an virtuelle Gastgeber

                                                                                                                                                  Die virtuellen Hosts, die Sie als Hybrid-Datensicherheitsknoten in Ihrem Cluster einrichten, haben die folgenden Anforderungen:

                                                                                                                                                  • Mindestens zwei separate Hosts (3 empfohlen) in demselben sicheren Rechenzentrum

                                                                                                                                                  • VMware ESXi 6.5 (oder höher) installiert und ausgeführt.


                                                                                                                                                     

                                                                                                                                                    Sie müssen ein Upgrade durchführen, wenn Sie über eine frühere ESXi-Version verfügen.

                                                                                                                                                  • Mindestens 4 vCPUs, 8 GB Hauptspeicher, 30 GB lokaler Festplattenspeicher pro Server

                                                                                                                                                  Anforderungen des Datenbankservers


                                                                                                                                                   

                                                                                                                                                  Erstellen Sie eine neue Datenbank für den Schlüsselspeicher. Verwenden Sie nicht die Standarddatenbank. Wenn die HDS-Anwendungen installiert sind, erstellen Sie das Datenbankschema.

                                                                                                                                                  Es gibt zwei Optionen für den Datenbankserver. Die Anforderungen für die einzelnen sind wie folgt:

                                                                                                                                                  Tabelle 2: Anforderungen des Datenbankservers nach Art der Datenbank

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL-Server

                                                                                                                                                  • PostgreSQL 14, 15 oder 16, installiert und ausgeführt.

                                                                                                                                                  • SQL Server 2016, 2017 oder 2019 (Enterprise oder Standard) installiert.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 erfordert Service Pack 2 und kumulatives Update 2 oder höher.

                                                                                                                                                  Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichender Festplattenspeicher und Überwachung, um sicherzustellen, dass er nicht überschritten wird (2 TB empfohlen, wenn Sie die Datenbank für längere Zeit ausführen möchten, ohne den Speicher erhöhen zu müssen)

                                                                                                                                                  Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichender Festplattenspeicher und Überwachung, um sicherzustellen, dass er nicht überschritten wird (2 TB empfohlen, wenn Sie die Datenbank für längere Zeit ausführen möchten, ohne den Speicher erhöhen zu müssen)

                                                                                                                                                  Die HDS-Software installiert derzeit folgende Treiberversionen für die Kommunikation mit dem Datenbankserver:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL-Server

                                                                                                                                                  Postgres JDBC-Treiber 42.2.5

                                                                                                                                                  SQL Server JDBC-Treiber 4.6

                                                                                                                                                  Diese Treiberversion unterstützt SQL Server Always On ( Always On Failover Cluster Instances und Always On Availability Groups ).

                                                                                                                                                  Zusätzliche Anforderungen für die Windows-Authentifizierung gegen Microsoft SQL Server

                                                                                                                                                  Wenn Sie möchten, dass HDS-Knoten die Windows-Authentifizierung verwenden, um Zugriff auf Ihre Keystore-Datenbank auf Microsoft SQL Server zu erhalten, benötigen Sie die folgende Konfiguration in Ihrer Umgebung:

                                                                                                                                                  • Die HDS-Knoten, die Active Directory-Infrastruktur und der MS SQL Server müssen mit NTP synchronisiert werden.

                                                                                                                                                  • Das Windows-Konto, das Sie HDS-Knoten zur Verfügung stellen, muss Lese-/Schreibzugriff auf die Datenbank haben.

                                                                                                                                                  • Die DNS-Server, die Sie den HDS-Knoten bereitstellen, müssen Ihr Key Distribution Center (KDC) auflösen können.

                                                                                                                                                  • Sie können die HDS-Datenbankinstanz auf Ihrem Microsoft SQL Server als Service Principal Name (SPN) in Ihrem Active Directory registrieren. Siehe Einen Service Principal Name für Kerberos Connections registrieren .

                                                                                                                                                    Das HDS-Setup-Tool, der HDS-Launcher und lokale KMS müssen alle die Windows-Authentifizierung verwenden, um auf die Keystore-Datenbank zuzugreifen. Sie verwenden die Details aus Ihrer ISO-Konfiguration, um den SPN zu konstruieren, wenn sie den Zugriff mit Kerberos-Authentifizierung anfordern.

                                                                                                                                                  Anforderungen an externe Konnektivität

                                                                                                                                                  Konfigurieren Sie Ihre Firewall so, dass die folgende Konnektivität für die HDS-Anwendungen zulässig ist:

                                                                                                                                                  Anwendung

                                                                                                                                                  Protokoll

                                                                                                                                                  Port

                                                                                                                                                  Richtung aus der App

                                                                                                                                                  Ziel

                                                                                                                                                  Hybrid-Datensicherheitsknoten

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Ausgehende HTTPS und WSS

                                                                                                                                                  HDS-Setup-Tool

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Ausgehende HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alle Common Identity-Gastgeber

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Die Hybrid-Datensicherheitsknoten funktionieren mit NAT (Network Access Translation) oder hinter einer Firewall, sofern die NAT oder Firewall die erforderlichen ausgehenden Verbindungen zu den Domänenzielen in der vorangehenden Tabelle zulässt. Bei eingehenden Verbindungen zu den Hybrid-Datensicherheitsknoten sollten keine Ports aus dem Internet sichtbar sein. Innerhalb Ihres Rechenzentrums benötigen Clients für administrative Zwecke Zugriff auf die Hybrid-Datensicherheitsknoten an den TCP-Ports 443 und 22.

                                                                                                                                                  Die URLs für die Common Identity (CI)-Hosts sind regionsspezifisch. Dies sind die aktuellen CI-Hosts:

                                                                                                                                                  Region

                                                                                                                                                  Gastgeber-URLs der gemeinsamen Benutzeridentität

                                                                                                                                                  Nord- und Südamerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Europäische Union

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Proxyserver-Anforderungen

                                                                                                                                                  • Wir unterstützen offiziell die folgenden Proxy-Lösungen, die in Ihre hybriden Datensicherheitsknoten integriert werden können.

                                                                                                                                                    • Transparenter Proxy: Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Expliziter Proxy: Squid.


                                                                                                                                                       

                                                                                                                                                      Squid-Proxys, die HTTPS-Datenverkehr prüfen, können die Einrichtung von Websocket beeinträchtigen (wss:) Verbindungen. Informationen zur Behebung dieses Problems finden Sie unter Konfigurieren von Squid-Proxys für Hybrid Data Security .

                                                                                                                                                  • Wir unterstützen die folgenden Authentifizierungstyp-Kombinationen für explizite Proxys:

                                                                                                                                                    • Keine Authentifizierung mit HTTP oder HTTPS

                                                                                                                                                    • Basisauthentifizierung mit HTTP oder HTTPS

                                                                                                                                                    • Digest-Authentifizierung nur mit HTTPS

                                                                                                                                                  • Für einen transparenten Prüfproxy oder einen expliziten HTTPS-Proxy müssen Sie über eine Kopie des Stammzertifikats des Proxys verfügen. In den Bereitstellungsanweisungen in diesem Handbuch erfahren Sie, wie Sie die Kopie in die Vertrauensspeicher der Hybrid-Datensicherheitsknoten hochladen.

                                                                                                                                                  • Das Netzwerk, das die HDS-Knoten hostet, muss so konfiguriert werden, dass ausgehender TCP-Datenverkehr auf Port 443 zur Weiterleitung durch den Proxy erzwungen wird.

                                                                                                                                                  • Proxys, die den Web-Datenverkehr überprüfen, können Web-Socket-Verbindungen stören. Wenn dieses Problem auftritt, den Datenverkehr umgehen (nicht kontrollieren) zu wbx2.com und ciscospark.com wird das Problem lösen.

                                                                                                                                                  Vervollständigen der Voraussetzungen für die Hybrid-Datensicherheit

                                                                                                                                                  Verwenden Sie diese Checkliste, um sicherzustellen, dass Sie bereit für die Installation und Konfiguration Ihres Hybrid-Datensicherheitsclusters sind.
                                                                                                                                                  1

                                                                                                                                                  Stellen Sie sicher, dass Ihre Webex-Organisation für Pro Pack für Cisco Webex Control Hub aktiviert ist, und erhalten Sie die Anmeldeinformationen eines Kontos mit vollständigen Administratorrechten für die Organisation. Wenden Sie sich an Ihren Cisco-Partner oder Account Manager, um Hilfe bei diesem Vorgang zu erhalten.

                                                                                                                                                  2

                                                                                                                                                  Wählen Sie einen Domänennamen für Ihre HDS-Bereitstellung (z. B. hds.company.com) und erhalten Sie eine Zertifikatskette mit einem X.509-Zertifikat, einem privaten Schlüssel und Zwischenzertifikaten. Die Zertifikatskette muss die Anforderungen in X.509 Zertifikatanforderungen erfüllen.

                                                                                                                                                  3

                                                                                                                                                  Bereiten Sie identische virtuelle Hosts vor, die Sie als Hybrid-Datensicherheitsknoten in Ihrem Cluster einrichten. Sie benötigen mindestens zwei separate Hosts (3 empfohlen) in demselben sicheren Rechenzentrum, die die Anforderungen unter „Anforderungen an virtuelle Hosts“ erfüllen.

                                                                                                                                                  4

                                                                                                                                                  Bereiten Sie den Datenbankserver vor, der als Schlüsseldatenspeicher für den Cluster fungieren wird, gemäß den Anforderungen des Datenbankservers . Der Datenbankserver muss im sicheren Rechenzentrum mit den virtuellen Hosts verbunden sein.

                                                                                                                                                  1. Erstellen Sie eine Datenbank für die Schlüsselspeicherung. (Sie müssen diese Datenbank erstellen. Verwenden Sie nicht die Standarddatenbank. Wenn die HDS-Anwendungen installiert sind, erstellen Sie das Datenbankschema.)

                                                                                                                                                  2. Erfassen Sie die Details, die die Knoten für die Kommunikation mit dem Datenbankserver verwenden:

                                                                                                                                                    • Hostname oder IP-Adresse (Host) und Port

                                                                                                                                                    • der Name der Datenbank (dbname) für die Schlüsselspeicherung

                                                                                                                                                    • Benutzername und Kennwort eines Benutzers mit allen Berechtigungen in der Schlüsselspeicherdatenbank

                                                                                                                                                  5

                                                                                                                                                  Richten Sie für eine schnelle Notfallwiederherstellung eine Sicherungsumgebung in einem anderen Rechenzentrum ein. Die Backup-Umgebung spiegelt die Produktionsumgebung von VMs und einem Backup-Datenbankserver wider. Wenn die Produktion beispielsweise über 3 VMs verfügt, auf denen HDS-Knoten ausgeführt werden, sollte die Sicherungsumgebung über 3 VMs verfügen.

                                                                                                                                                  6

                                                                                                                                                  Richten Sie einen Syslog-Host ein, um Protokolle von den Knoten im Cluster zu erfassen. Erfassen Sie die Netzwerkadresse und den Syslog-Port (standardmäßig UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Erstellen Sie eine sichere Sicherungsrichtlinie für die Hybrid-Datensicherheitsknoten, den Datenbankserver und den Syslog-Host. Um nicht wiederherstellbaren Datenverlust zu vermeiden, müssen Sie mindestens die Datenbank und die KonfigurationsISO-Datei sichern, die für die Hybrid-Datensicherheitsknoten generiert wurde.


                                                                                                                                                   

                                                                                                                                                  Da die Hybrid-Datensicherheitsknoten die für die Ver- und Entschlüsselung von Inhalten verwendeten Schlüssel speichern, führt das Versagen einer betrieblichen Bereitstellung zu einem NICHT WIEDERHERSTELLBAREN VERLUST dieses Inhalts.

                                                                                                                                                  Webex-App-Clients speichern ihre Schlüssel im Cache, sodass ein Ausfall nicht sofort erkennbar ist, sich aber im Laufe der Zeit bemerkbar macht. Während vorübergehende Ausfälle nicht zu verhindern sind, sind sie wiedergutzumachen. Der vollständige Verlust (keine Backups verfügbar) der Datenbank oder der ISO-Konfigurationsdatei führt jedoch zu nicht wiederherstellbaren Kundendaten. Von den Betreibern der Hybrid-Datensicherheitsknoten wird erwartet, dass sie häufige Backups der Datenbank und der ISO-Konfigurationsdatei führen und bereit sind, das Hybrid-Datensicherheitsrechenzentrum bei einem katastrophalen Ausfall neu zu erstellen.

                                                                                                                                                  8

                                                                                                                                                  Stellen Sie sicher, dass Ihre Firewall-Konfiguration Verbindungen für Ihre Hybrid-Datensicherheitsknoten zulässt, wie unter „Externe Verbindungsanforderungen“ beschrieben.

                                                                                                                                                  9

                                                                                                                                                  Installieren Sie Docker ( https://www.docker.com) auf jedem lokalen Computer mit einem unterstützten Betriebssystem (Microsoft Windows 10 Professional oder Enterprise 64-Bit oder Mac OSX Yosemite 10.10.3 oder höher) mit einem Webbrowser, der auf ihn zugreifen kann unter http://127.0.0.1:8080.

                                                                                                                                                  Sie verwenden die Docker-Instanz, um das HDS-Setup-Tool herunterzuladen und auszuführen, das die lokalen Konfigurationsinformationen für alle Hybrid-Datensicherheitsknoten erstellt. Möglicherweise benötigt Ihre Organisation eine Docker Desktop-Lizenz. Weitere Informationen finden Sie unter Docker Desktop-Anforderungen .

                                                                                                                                                  Um das HDS Setup Tool zu installieren und auszuführen, muss die lokale Maschine über die unter „Externe Verbindungsanforderungen“ beschriebene Konnektivität verfügen.

                                                                                                                                                  10

                                                                                                                                                  Wenn Sie einen Proxy in Hybrid Data Security integrieren, stellen Sie sicher, dass er die Proxyserveranforderungen erfüllt.

                                                                                                                                                  11

                                                                                                                                                  Wenn Ihre Organisation die Verzeichnissynchronisierung verwendet, erstellen Sie eine Gruppe im Active Directory mit dem Namen HdsTrialGroup, und Pilotbenutzer hinzufügen. Die Testgruppe kann bis zu 250 Benutzer haben. Die Datei HdsTrialGroup muss mit der Cloud synchronisiert werden, bevor Sie eine Testversion für Ihre Organisation starten können. Um ein Gruppenobjekt zu synchronisieren, wählen Sie es im Konfiguration > Objektauswahl Menü. (Detaillierte Anweisungen finden Sie im Bereitstellungshandbuch für Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Schlüssel für einen bestimmten Bereich werden vom Ersteller des Bereichs festgelegt. Beachten Sie bei der Auswahl von Pilotbenutzern, dass alle Benutzer den Zugriff auf Inhalte in den Bereichen verlieren, die von den Pilotbenutzern erstellt wurden, wenn Sie die Hybrid-Datensicherheitsbereitstellung dauerhaft deaktivieren. Der Verlust wird sichtbar, sobald die Apps der Benutzer ihre zwischengespeicherten Kopien der Inhalte aktualisieren.

                                                                                                                                                  Einrichten eines Hybrid-Datensicherheitsclusters

                                                                                                                                                  Ablauf der Bereitstellungsaufgabe für Hybrid-Datensicherheit

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  Umgebung vorbereiten

                                                                                                                                                  1

                                                                                                                                                  Installationsdateien herunterladen

                                                                                                                                                  Laden Sie die OVA-Datei für eine spätere Verwendung auf Ihren lokalen Computer herunter.

                                                                                                                                                  2

                                                                                                                                                  Erstellen einer Konfigurations-ISO für die HDS-Hosts

                                                                                                                                                  Verwenden Sie das HDS-Setup-Tool, um eine ISO-Konfigurationsdatei für die Hybrid-Datensicherheitsknoten zu erstellen.

                                                                                                                                                  3

                                                                                                                                                  Installieren der HDS-Host-OVA

                                                                                                                                                  Erstellen Sie eine virtuelle Maschine aus der OVA-Datei und führen Sie die Erstkonfiguration durch, z. B. Netzwerkeinstellungen.


                                                                                                                                                   

                                                                                                                                                  Die Option zum Konfigurieren von Netzwerkeinstellungen während der OVA-Bereitstellung wurde mit ESXi 6.5 getestet. Die Option ist in früheren Versionen möglicherweise nicht verfügbar.

                                                                                                                                                  4

                                                                                                                                                  Einrichten der Hybrid-DatensicherheitsVM

                                                                                                                                                  Melden Sie sich bei der VM-Konsole an und legen Sie die Anmeldeinformationen fest. Konfigurieren Sie die Netzwerkeinstellungen für den Knoten, wenn Sie sie zum Zeitpunkt der OVA-Bereitstellung nicht konfiguriert haben.

                                                                                                                                                  5

                                                                                                                                                  Hochladen und Einhängen der HDS-KonfigurationsISO

                                                                                                                                                  Konfigurieren Sie die VM über die ISO-Konfigurationsdatei, die Sie mit dem HDS Setup Tool erstellt haben.

                                                                                                                                                  6

                                                                                                                                                  Konfigurieren des HDS-Knotens für die Proxyintegration

                                                                                                                                                  Wenn die Netzwerkumgebung eine Proxy-Konfiguration erfordert, geben Sie den Proxy-Typ an, den Sie für den Knoten verwenden möchten, und fügen Sie das Proxy-Zertifikat bei Bedarf dem Vertrauensspeicher hinzu.

                                                                                                                                                  7

                                                                                                                                                  Registrieren des ersten Knotens im Cluster

                                                                                                                                                  Registrieren Sie die VM mit der Cisco Webex-Cloud als Hybrid-Datensicherheitsknoten.

                                                                                                                                                  8

                                                                                                                                                  Weitere Knoten erstellen und registrieren

                                                                                                                                                  Schließen Sie die Cluster-Einrichtung ab.

                                                                                                                                                  9

                                                                                                                                                  Ausführen einer Testversion und Verschieben in Produktion (nächstes Kapitel)

                                                                                                                                                  Bis Sie einen Test starten, erzeugen Ihre Knoten einen Alarm, der angibt, dass Ihr Dienst noch nicht aktiviert ist.

                                                                                                                                                  Installationsdateien herunterladen

                                                                                                                                                  Bei dieser Aufgabe laden Sie eine OVA-Datei auf Ihren Computer herunter (nicht auf die Server, die Sie als Hybrid-Datensicherheitsknoten einrichten). Sie verwenden diese Datei später im Installationsprozess.
                                                                                                                                                  1

                                                                                                                                                  Melden Sie sich bei https://admin.webex.com an und klicken Sie dann auf Services .

                                                                                                                                                  2

                                                                                                                                                  Suchen Sie im Abschnitt Hybrid-Dienste nach der Hybrid-Datensicherheitskarte und klicken Sie auf Einrichten .

                                                                                                                                                  Wenn die Karte deaktiviert ist oder Sie sie nicht sehen, wenden Sie sich an Ihr Kontoteam oder Ihre Partnerorganisation. Geben Sie ihnen Ihre Kontonummer und bitten Sie sie, Ihre Organisation für Hybrid-Datensicherheit zu aktivieren. Um die Kontonummer zu finden, klicken Sie oben rechts neben dem Namen Ihrer Organisation auf das Zahnrad.


                                                                                                                                                   

                                                                                                                                                  Sie können die OVA auch jederzeit über den Abschnitt Hilfe auf der Seite Einstellungen herunterladen. Klicken Sie auf der Hybrid-Datensicherheitskarte auf Einstellungen bearbeiten , um die Seite zu öffnen. Klicken Sie dann auf Download Hybrid Data Security software im Abschnitt Hilfe .


                                                                                                                                                   

                                                                                                                                                  Ältere Versionen des Softwarepakets (OVA) sind nicht mit den neuesten Upgrades für die Hybrid-Datensicherheit kompatibel. Dies kann zu Problemen während des Upgrades der Anwendung führen. Stellen Sie sicher, dass Sie die neueste Version der OVA-Datei herunterladen.

                                                                                                                                                  3

                                                                                                                                                  Wählen Sie No aus, um anzugeben, dass Sie den Knoten noch nicht eingerichtet haben, und klicken Sie dann auf Next .

                                                                                                                                                  Die OVA-Datei wird automatisch heruntergeladen. Speichern Sie die Datei an einem Speicherort auf Ihrem Computer.
                                                                                                                                                  4

                                                                                                                                                  Klicken Sie optional auf Bereitstellungsleitfaden öffnen , um zu überprüfen, ob eine neuere Version dieses Leitfadens verfügbar ist.

                                                                                                                                                  Erstellen einer Konfigurations-ISO für die HDS-Hosts

                                                                                                                                                  Der Einrichtungsprozess für die Hybrid-Datensicherheit erstellt eine ISO-Datei. Anschließend verwenden Sie ISO, um Ihren Hybrid-Datensicherheitshost zu konfigurieren.

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  • Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zuzugreifen, führen Sie Docker auf diesem Computer aus. Für die Einrichtung sind die Anmeldeinformationen eines Control Hub-Kontos mit vollständigen Administratorrechten für Ihre Organisation erforderlich.

                                                                                                                                                    Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxyeinstellungen (Server, Port, Anmeldeinformationen) über Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in Schritt 5 öffnen. In dieser Tabelle sind einige mögliche Umgebungsvariablen aufgeführt:

                                                                                                                                                    Beschreibung

                                                                                                                                                    Variable

                                                                                                                                                    HTTP-Proxy ohne Authentifizierung

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-Proxy ohne Authentifizierung

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-Proxy mit Authentifizierung

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-Proxy mit Authentifizierung

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Die von Ihnen generierte ISO-Konfigurationsdatei enthält den Master-Schlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die neueste Kopie dieser Datei, wenn Sie Konfigurationsänderungen vornehmen, z. B.:

                                                                                                                                                    • Datenbankanmeldeinformationen

                                                                                                                                                    • Zertifikatsaktualisierungen

                                                                                                                                                    • Änderungen an Autorisierungsrichtlinie

                                                                                                                                                  • Wenn Sie Datenbankverbindungen verschlüsseln möchten, richten Sie Ihre PostgreSQL- oder SQL Server-Bereitstellung für TLS ein.

                                                                                                                                                  1

                                                                                                                                                  Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

                                                                                                                                                  In normalen Umgebungen:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  In FedRAMP-Umgebungen:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Dieser Schritt bereinigt vorherige HDS-Setup-Tool-Images. Wenn keine vorherigen Bilder vorhanden sind, wird ein Fehler zurückgegeben, den Sie ignorieren können.

                                                                                                                                                  2

                                                                                                                                                  Geben Sie Folgendes ein, um sich bei der Docker-Image-Registrierung anzumelden:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Geben Sie bei der Passworteingabe diesen Hashwert ein:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Laden Sie das neueste stabile Image für Ihre Umgebung herunter:

                                                                                                                                                  In normalen Umgebungen:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  In FedRAMP-Umgebungen:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Geben Sie nach Abschluss des Pull-Vorgangs den entsprechenden Befehl für Ihre Umgebung ein:

                                                                                                                                                  • In regulären Umgebungen ohne Proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • In regulären Umgebungen mit einem HTTP-Proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In regulären Umgebungen mit einem HTTPS-Proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In FedRAMP-Umgebungen ohne Proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Wenn der Container ausgeführt wird, wird „Express-Server überwacht Port 8080“ angezeigt.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Das Setup-Tool unterstützt nicht die Verbindung mit localhost über http://localhost:8080 . Verwenden Sie http://127.0.0.1:8080 , um eine Verbindung zum Localhost herzustellen.

                                                                                                                                                  Navigieren Sie über einen Webbrowser zum Localhost, http://127.0.0.1:8080 und geben Sie den Benutzernamen des Kundenadministrators für Control Hub an der Eingabeaufforderung ein.

                                                                                                                                                  Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto festzulegen. Das Tool zeigt dann die Standardanmeldeaufforderung an.

                                                                                                                                                  7

                                                                                                                                                  Wenn Sie dazu aufgefordert werden, geben Sie die Anmeldeinformationen für den Control Hub-Kundenadministrator ein und klicken Sie dann auf Anmelden , um den Zugriff auf die für die Hybrid-Datensicherheit erforderlichen Dienste zu ermöglichen.

                                                                                                                                                  8

                                                                                                                                                  Klicken Sie auf der Setup-Tool-Übersichtsseite auf Erste Schritte .

                                                                                                                                                  9

                                                                                                                                                  Auf der Seite ISO Import stehen Ihnen folgende Optionen zur Verfügung:

                                                                                                                                                  • Nein – Wenn Sie Ihren ersten HDS-Knoten erstellen, müssen Sie keine ISO-Datei hochladen.
                                                                                                                                                  • Ja – Wenn Sie bereits HDS-Knoten erstellt haben, wählen Sie Ihre ISO-Datei im Durchsuchen aus und laden Sie sie hoch.
                                                                                                                                                  10

                                                                                                                                                  Überprüfen Sie, ob Ihr X.509-Zertifikat die Anforderungen unter X.509-Zertifikatanforderungen erfüllt.

                                                                                                                                                  • Wenn Sie noch nie ein Zertifikat hochgeladen haben, laden Sie das X.509-Zertifikat hoch, geben Sie das Passwort ein und klicken Sie auf Weiter .
                                                                                                                                                  • Wenn Ihr Zertifikat in Ordnung ist, klicken Sie auf Weiter .
                                                                                                                                                  • Wenn Ihr Zertifikat abgelaufen ist oder Sie es ersetzen möchten, wählen Sie No für Continue using HDS certificate chain and private key from previous ISO?. Laden Sie ein neues X.509-Zertifikat hoch, geben Sie das Kennwort ein und klicken Sie auf „Weiter“ .
                                                                                                                                                  11

                                                                                                                                                  Geben Sie die Datenbankadresse und das Konto für HDS ein, um auf Ihren wichtigen Datenspeicher zuzugreifen:

                                                                                                                                                  1. Wählen Sie den Datenbanktyp ( PostgreSQL oder Microsoft SQL Server ) aus.

                                                                                                                                                    Wenn Sie „Microsoft SQL Server“ auswählen, wird das Feld „Authentifizierungstyp“ angezeigt.

                                                                                                                                                  2. ( nur Microsoft SQL Server ) Wählen Sie Ihren Authentifizierungstyp :

                                                                                                                                                    • Standardauthentifizierung : Sie benötigen einen lokalen SQL Server-Kontonamen im Feld Benutzername .

                                                                                                                                                    • Windows-Authentifizierung : Sie benötigen ein Windows-Konto im Format username@DOMAIN im Feld Benutzername ein.

                                                                                                                                                  3. Geben Sie die Adresse des Datenbankservers in das Formular ein <hostname>:<port> oder <IP-address>:<port>.

                                                                                                                                                    Beispiel:
                                                                                                                                                    dbhost.example.org:1433 oder 198.51.100.17:1433

                                                                                                                                                    Sie können eine IP-Adresse für die Basisauthentifizierung verwenden, wenn die Knoten keinen DNS verwenden können, um den Host-Namen aufzulösen.

                                                                                                                                                    Wenn Sie die Windows-Authentifizierung verwenden, müssen Sie einen vollständig qualifizierten Domänennamen im folgenden Format eingeben: dbhost.example.org:1433

                                                                                                                                                  4. Geben Sie den Datenbanknamen ein.

                                                                                                                                                  5. Geben Sie den Benutzernamen und das Kennwort eines Benutzers mit allen Berechtigungen in der Schlüsselspeicherdatenbank ein.

                                                                                                                                                  12

                                                                                                                                                  Wählen Sie einen TLS-Datenbankverbindungsmodus :

                                                                                                                                                  Modus

                                                                                                                                                  Beschreibung

                                                                                                                                                  TLS bevorzugen (Standardoption)

                                                                                                                                                  HDS-Knoten benötigen kein TLS , um eine Verbindung mit dem Datenbankserver. Wenn Sie TLS auf dem Datenbankserver aktivieren, versuchen die Knoten, eine verschlüsselte Verbindung herzustellen.

                                                                                                                                                  TLS erforderlich

                                                                                                                                                  HDS-Knoten stellen nur dann eine Verbindung her, wenn der Datenbankserver TLS aushandeln kann.

                                                                                                                                                  TLS fordern und Zertifikatsignierer überprüfen


                                                                                                                                                   

                                                                                                                                                  Dieser Modus gilt nicht für SQL Server-Datenbanken.

                                                                                                                                                  • HDS-Knoten stellen nur dann eine Verbindung her, wenn der Datenbankserver TLS aushandeln kann.

                                                                                                                                                  • Nach dem Herstellen einer TLS-Verbindung vergleicht der Knoten den Unterzeichner des Zertifikats vom Datenbankserver mit der Zertifizierungsstelle im Datenbankstammzertifikat . Wenn sie nicht übereinstimmen, trennt der Knoten die Verbindung.

                                                                                                                                                  Verwenden Sie den Datenbank Stammzertifikat unter der Dropdown-Liste, um das Stammzertifikat für diese Option hochzuladen.

                                                                                                                                                  TLS anfordern und Zertifikatsignierer und Host-Name überprüfen

                                                                                                                                                  • HDS-Knoten stellen nur dann eine Verbindung her, wenn der Datenbankserver TLS aushandeln kann.

                                                                                                                                                  • Nach dem Herstellen einer TLS-Verbindung vergleicht der Knoten den Unterzeichner des Zertifikats vom Datenbankserver mit der Zertifizierungsstelle im Datenbankstammzertifikat . Wenn sie nicht übereinstimmen, trennt der Knoten die Verbindung.

                                                                                                                                                  • Die Knoten stellen außerdem sicher, dass der Hostname im Serverzertifikat mit dem Hostnamen im Feld Datenbankhost und Port übereinstimmt. Die Namen müssen genau übereinstimmen oder der Knoten trennt die Verbindung.

                                                                                                                                                  Verwenden Sie den Datenbank Stammzertifikat unter der Dropdown-Liste, um das Stammzertifikat für diese Option hochzuladen.

                                                                                                                                                  Wenn Sie das Stammzertifikat hochladen (falls erforderlich) und auf Weiter klicken, testet das HDS-Setup-Tool die TLS-Verbindung zum Datenbankserver. Das Tool überprüft auch den Unterzeichner des Zertifikats und den Host-Name, falls zutreffend. Wenn ein Test fehlschlägt, zeigt das Tool eine Fehlermeldung an, in der das Problem beschrieben wird. Sie können auswählen, ob Sie den Fehler ignorieren und mit der Einrichtung fortfahren möchten. (Aufgrund von Konnektivitätsunterschieden können die HDS-Knoten möglicherweise die TLS-Verbindung herstellen, auch wenn die HDS Setup Tool-Maschine sie nicht erfolgreich testen kann.)

                                                                                                                                                  13

                                                                                                                                                  Konfigurieren Sie auf der Seite "Systemprotokolle" Ihren Syslogd-Server:

                                                                                                                                                  1. Geben Sie die Syslog-Server-URL ein.

                                                                                                                                                    Wenn der Server nicht DNS-auflösbar von den Knoten für Ihren HDS-Cluster ist, verwenden Sie eine IP-Adresse in der URL.

                                                                                                                                                    Beispiel:
                                                                                                                                                    udp://10.92.43.23:514 zeigt die Protokollierung an Syslogd-Host 10.92.43.23 auf UDP-Port 514 an.
                                                                                                                                                  2. Wenn Sie Ihren Server für die Verwendung der TLS-Verschlüsselung konfigurieren, aktivieren Sie die Option Ist Ihr Syslog-Server für die SSL-Verschlüsselung konfiguriert?.

                                                                                                                                                    Wenn Sie dieses Kontrollkästchen aktivieren, stellen Sie sicher, dass Sie eine TCP-URL eingeben, z. B. tcp://10.92.43.23:514.

                                                                                                                                                  3. Wählen Sie in der Dropdown-Liste Syslog-Datensatzbeendigung auswählen die entsprechende Einstellung für Ihre ISO-Datei aus: Wählen oder Neuleitung wird für Graylog- und Rsyslog-TCP verwendet

                                                                                                                                                    • Null-Byte – \x00

                                                                                                                                                    • Neuzeile – \n – Wählen Sie diese Option für Graylog und Rsyslog TCP aus.

                                                                                                                                                  4. Klicken Sie auf Weiter.

                                                                                                                                                  14

                                                                                                                                                  (Optional) Sie können den Standardwert für einige Datenbankverbindungsparameter unter „Erweiterte Einstellungen“ ändern. Im Allgemeinen ist dieser Parameter der einzige, den Sie ändern möchten:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klicken Sie auf „Weiter“ im Bildschirm „Dienstkonten-Passwort zurücksetzen “.

                                                                                                                                                  Passwörter für Dienstkonten haben eine Lebensdauer von neun Monaten. Verwenden Sie diesen Bildschirm, wenn Ihre Passwörter bald ablaufen oder Sie sie zurücksetzen möchten, um frühere ISO-Dateien ungültig zu machen.

                                                                                                                                                  16

                                                                                                                                                  Klicken Sie auf ISO-Datei herunterladen . Speichern Sie die Datei an einem leicht auffindbaren Speicherort.

                                                                                                                                                  17

                                                                                                                                                  Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System.

                                                                                                                                                  Halten Sie die Sicherungskopie sicher. Diese Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff nur auf Hybrid-Datensicherheitsadministratoren, die Konfigurationsänderungen vornehmen sollten.

                                                                                                                                                  18

                                                                                                                                                  Geben Sie zum Herunterfahren des Setup-Tools CTRL+C.

                                                                                                                                                  Nächste Schritte

                                                                                                                                                  Sichern Sie die ISO-Konfigurationsdatei. Sie benötigen sie, um weitere Knoten für die Wiederherstellung zu erstellen oder Konfigurationsänderungen vorzunehmen. Wenn Sie alle Kopien der ISO-Datei verlieren, haben Sie auch den Master-Schlüssel verloren. Das Wiederherstellen der Schlüssel aus Ihrer PostgreSQL- oder Microsoft SQL Server-Datenbank ist nicht möglich.


                                                                                                                                                   

                                                                                                                                                  Wir haben nie eine Kopie dieses Schlüssels und können nicht helfen, wenn Sie ihn verlieren.

                                                                                                                                                  Installieren der HDS-Host-OVA

                                                                                                                                                  Verwenden Sie dieses Verfahren, um eine virtuelle Maschine aus der OVA-Datei zu erstellen.
                                                                                                                                                  1

                                                                                                                                                  Melden Sie sich mit dem VMware vSphere-Client auf Ihrem Computer beim virtuellen ESXi-Host an.

                                                                                                                                                  2

                                                                                                                                                  Wählen Sie Datei > OVF-Vorlage bereitstellen aus.

                                                                                                                                                  3

                                                                                                                                                  Geben Sie im Assistenten den Speicherort der OVA-Datei an, die Sie zuvor heruntergeladen haben, und klicken Sie dann auf Weiter .

                                                                                                                                                  4

                                                                                                                                                  Auf der Wählen Sie einen Namen und Ordner aus Seite, geben Sie einen Name der virtuellen Maschine Wählen Sie für den Knoten (z. B. „HDS _ N ode_ 1“) einen Standort aus, an dem sich die Bereitstellung des Knotens der virtuellen Maschine befinden kann, und klicken Sie dann auf Weiter .

                                                                                                                                                  5

                                                                                                                                                  Auf der Berechnungsressource auswählen Seite, wählen Sie die Zielberechnungsressource aus, und klicken Sie dann auf Weiter .

                                                                                                                                                  Eine Validierungsprüfung wird durchgeführt. Nach dem Abschluss werden die Vorlagendetails angezeigt.

                                                                                                                                                  6

                                                                                                                                                  Überprüfen Sie die Vorlagendetails und klicken Sie dann auf Weiter .

                                                                                                                                                  7

                                                                                                                                                  Wenn Sie aufgefordert werden, die Ressourcenkonfiguration auf dem Konfiguration Seite, klicken Sie auf <UNK> 4 CPU <UNK> und klicken Sie dann auf Weiter .

                                                                                                                                                  8

                                                                                                                                                  Auf der Speicher auswählen Seite, klicken Sie auf Weiter um das Standard-Festplattenformat und die VM-Speicherrichtlinie zu akzeptieren.

                                                                                                                                                  9

                                                                                                                                                  Auf der Netzwerke auswählen wählen Sie die Netzwerkoption aus der Liste der Einträge aus, um die gewünschte Konnektivität für die VM bereitzustellen.

                                                                                                                                                  10

                                                                                                                                                  Konfigurieren Sie auf der Seite Vorlage anpassen die folgenden Netzwerkeinstellungen:

                                                                                                                                                  • Host-Name : Geben Sie den FQDN (Host-Name und Domäne) oder einen einzelnen Word-Host-Namen für den Knoten ein.

                                                                                                                                                     
                                                                                                                                                    • Sie müssen die Domäne nicht mit der Domäne übereinstimmen, mit der Sie das X.509-Zertifikat erhalten haben.

                                                                                                                                                    • Um eine erfolgreiche Registrierung in der Cloud sicherzustellen, verwenden Sie im FQDN oder Hostnamen, den Sie für den Knoten festgelegt haben, nur Kleinbuchstaben. Großbuchstaben werden derzeit nicht unterstützt.

                                                                                                                                                    • Der FQDN darf insgesamt nicht länger als 64 Zeichen sein.

                                                                                                                                                  • IP-Adresse – Geben Sie die IP-Adresse für die interne Schnittstelle des Knotens ein.

                                                                                                                                                     

                                                                                                                                                    Ihr Knoten sollte eine interne IP-Adresse und einen DNS-Namen haben. DHCP wird nicht unterstützt.

                                                                                                                                                  • Maske – Geben Sie die Adresse der Subnetzmaske in Punkt-Dezimalnotation ein. Beispiel: 255.255.255.0 .
                                                                                                                                                  • Gateway – Geben Sie die Gateway-IP-Adresse ein. Ein Gateway ist ein Netzwerkknoten, der als Access Point zu einem anderen Netzwerk dient.
                                                                                                                                                  • DNS-Server: Geben Sie eine durch Komma getrennte Liste von DNS-Servern ein, die Domänennamen in numerische IP-Adressen übersetzen. (Bis zu 4 DNS-Einträge sind zulässig.)
                                                                                                                                                  • NTP-Server – Geben Sie den NTP-Server Ihrer Organisation oder einen anderen externen NTP-Server ein, der in Ihrer Organisation verwendet werden kann. Die Standard-NTP-Server funktionieren möglicherweise nicht für alle Unternehmen. Sie können auch eine durch Kommas getrennte Liste verwenden, um mehrere NTP-Server einzugeben.
                                                                                                                                                  • Stellen Sie alle Knoten im gleichen Subnetz oder VLAN bereit, sodass alle Knoten in einem Cluster zu administrativen Zwecken von Clients in Ihrem Netzwerk erreichbar sind.

                                                                                                                                                  Falls bevorzugt, können Sie die Konfiguration der Netzwerkeinstellungen überspringen und die Schritte unter Einrichten der Hybrid Data Security VM ausführen, um die Einstellungen über die Knotenkonsole zu konfigurieren.


                                                                                                                                                   

                                                                                                                                                  Die Option zum Konfigurieren von Netzwerkeinstellungen während der OVA-Bereitstellung wurde mit ESXi 6.5 getestet. Die Option ist in früheren Versionen möglicherweise nicht verfügbar.

                                                                                                                                                  11

                                                                                                                                                  Klicken Sie mit der rechten Maustaste auf die Knoten-VM, und wählen Sie Einschalten > Einschalten .

                                                                                                                                                  Die Hybrid Data Security-Software wird als Gast auf dem VM-Host installiert. Sie können sich jetzt bei der Konsole anmelden und den Knoten konfigurieren.

                                                                                                                                                  Tipps zur Fehlerbehebung

                                                                                                                                                  Es kann zu einer Verzögerung von einigen Minuten kommen, bis die Knotencontainer angezeigt werden. Beim erstmaligen Start wird eine Bridge-Firewall-Nachricht angezeigt, während der Sie sich anmelden können.

                                                                                                                                                  Einrichten der Hybrid-DatensicherheitsVM

                                                                                                                                                  Mit diesem Verfahren können Sie sich zum ersten Mal bei der VM-Konsole des Hybrid-Datensicherheitsknotens anmelden und die Anmeldeinformationen festlegen. Sie können auch die Konsole verwenden, um die Netzwerkeinstellungen für den Knoten zu konfigurieren, wenn Sie sie zum Zeitpunkt der OVA-Bereitstellung nicht konfiguriert haben.

                                                                                                                                                  1

                                                                                                                                                  Wählen Sie im VMware vSphere-Client Ihre VM mit Hybrid-Datensicherheitsknoten und anschließend die Registerkarte Konsole aus.

                                                                                                                                                  Die VM wird gestartet und eine Anmeldeaufforderung wird angezeigt. Drücken Sie die Eingabetaste, falls der Anmeldebildschirm nicht angezeigt wird.
                                                                                                                                                  2

                                                                                                                                                  Verwenden Sie die folgenden Standard-Anmeldedaten und das Passwort, um sich anzumelden und die Anmeldedaten zu ändern:

                                                                                                                                                  1. Benutzername: admin

                                                                                                                                                  2. Passwort: cisco

                                                                                                                                                  Da Sie sich zum ersten Mal bei Ihrer VM anmelden, müssen Sie das Administratorpasswort ändern.

                                                                                                                                                  3

                                                                                                                                                  Wenn Sie die Netzwerkeinstellungen bereits unter Installieren Sie die HDS-Host-OVA konfiguriert haben, überspringen Sie den Rest dieses Verfahrens. Andernfalls wählen Sie im Hauptmenü die Option Konfiguration bearbeiten aus.

                                                                                                                                                  4

                                                                                                                                                  Richten Sie eine statische Konfiguration mit IP-Adresse, Maske, Gateway- und DNS-Informationen ein. Ihr Knoten sollte eine interne IP-Adresse und einen DNS-Namen haben. DHCP wird nicht unterstützt.

                                                                                                                                                  5

                                                                                                                                                  (Optional) Ändern Sie bei Bedarf den Hostnamen, die Domäne oder die NTP-Server, um sie mit Ihrer Netzwerkrichtlinie abzugleichen.

                                                                                                                                                  Sie müssen die Domäne nicht mit der Domäne übereinstimmen, mit der Sie das X.509-Zertifikat erhalten haben.

                                                                                                                                                  6

                                                                                                                                                  Speichern Sie die Netzwerkkonfiguration und starten Sie die VM neu, damit die Änderungen wirksam werden.

                                                                                                                                                  Hochladen und Einhängen der HDS-KonfigurationsISO

                                                                                                                                                  Verwenden Sie dieses Verfahren, um die virtuelle Maschine über die ISO-Datei zu konfigurieren, die Sie mit dem HDS-Setup-Tool erstellt haben.

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  Da die ISO-Datei den Master-Schlüssel enthält, sollte sie nur auf der Basis des "Need-to-know"-Zugangs durch die Hybrid Data Security VMs und alle Administratoren, die Änderungen vornehmen müssen, offengelegt werden. Stellen Sie sicher, dass nur diese Administratoren auf den Datenspeicher zugreifen können.

                                                                                                                                                  1

                                                                                                                                                  Laden Sie die ISO-Datei von Ihrem Computer hoch:

                                                                                                                                                  1. Klicken Sie im linken Navigationsbereich des VMware vSphere-Clients auf den ESXi-Server.

                                                                                                                                                  2. Klicken Sie in der Hardware-Liste der Registerkarte „Konfiguration“ auf „Speicher“ .

                                                                                                                                                  3. Klicken Sie in der Datenspeicherliste mit der rechten Maustaste auf den Datenspeicher für Ihre VMs und klicken Sie auf Datenspeicher durchsuchen.

                                                                                                                                                  4. Klicken Sie auf das Symbol „Dateien hochladen“ und anschließend auf „Datei hochladen“ .

                                                                                                                                                  5. Navigieren Sie zu dem Speicherort, an dem Sie die ISO-Datei auf Ihren Computer heruntergeladen haben, und klicken Sie auf Öffnen .

                                                                                                                                                  6. Klicken Sie auf Ja , um die Warnung beim Hochladen/Herunterladen zu akzeptieren, und schließen Sie das Datenspeicherdialogfeld.

                                                                                                                                                  2

                                                                                                                                                  Binden Sie die ISO-Datei ein:

                                                                                                                                                  1. Klicken Sie im linken Navigationsbereich mit der rechten Maustaste auf die VM und klicken Sie auf Einstellungen bearbeiten .

                                                                                                                                                  2. Klicken Sie auf OK , um die Warnung mit eingeschränkten Bearbeitungsoptionen zu akzeptieren.

                                                                                                                                                  3. Klicken CD/DVD Drive 1, wählen Sie die Option zum Einhängen aus einer ISO-Datei aus und navigieren Sie zu dem Speicherort, an den Sie die ISO-Konfigurationsdatei hochgeladen haben.

                                                                                                                                                  4. Aktivieren Sie das Kontrollkästchen „Verbunden“ und „Beim Einschalten verbinden“ .

                                                                                                                                                  5. Speichern Sie Ihre Änderungen und starten Sie die virtuelle Maschine neu.

                                                                                                                                                  Nächste Schritte

                                                                                                                                                  Wenn Ihre IT-Richtlinie es erfordert, können Sie die ISO-Datei optional unmounten, nachdem alle Knoten die Konfigurationsänderungen übernommen haben. Weitere Informationen finden Sie unter (Optional) ISO nach HDS-Konfiguration abmontieren .

                                                                                                                                                  Konfigurieren des HDS-Knotens für die Proxyintegration

                                                                                                                                                  Wenn die Netzwerkumgebung einen Proxy erfordert, verwenden Sie dieses Verfahren, um den Proxytyp anzugeben, den Sie in die Hybrid-Datensicherheit integrieren möchten. Wenn Sie einen transparenten Prüfproxy oder einen expliziten HTTPS-Proxy auswählen, können Sie die Schnittstelle des Knotens verwenden, um das Stammzertifikat hochzuladen und zu installieren. Sie können auch die Proxy-Verbindung über die Schnittstelle überprüfen und potenzielle Probleme beheben.

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  1

                                                                                                                                                  HDS-Knoten-Setup-URL eingeben https://[HDS Node IP or FQDN]/setup Geben Sie in einem Webbrowser die Administratoranmeldeinformationen ein, die Sie für den Knoten eingerichtet haben, und klicken Sie dann auf Anmelden.

                                                                                                                                                  2

                                                                                                                                                  Gehen Sie zu Vertrauensspeicher und Proxy und wählen Sie eine Option aus:

                                                                                                                                                  • Kein Proxy – Die Standardoption, bevor Sie einen Proxy integrieren. Es ist keine Zertifikataktualisierung erforderlich.
                                                                                                                                                  • Transparenter Proxy ohne Inspektion – Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert und erfordern keine Änderungen an einem Proxy ohne Inspektion. Es ist keine Zertifikataktualisierung erforderlich.
                                                                                                                                                  • Transparenter Proxy für die Prüfung: Die Knoten sind nicht für die Verwendung einer bestimmten Proxyserver-Adresse konfiguriert. Bei der Hybrid Data Security-Bereitstellung sind keine HTTPS-Konfigurationsänderungen erforderlich. Die HDS-Knoten benötigen jedoch ein Stammzertifikat, damit sie dem Proxy vertrauen können. In der Regel werden Proxys von der IT verwendet, um Richtlinien durchzusetzen, auf denen Websites besucht werden können und welche Arten von Inhalten nicht zulässig sind. Dieser Proxy-Typ entschlüsselt Ihren gesamten Datenverkehr (auch HTTPS).
                                                                                                                                                  • Expliziter Proxy – Mit explizitem Proxy teilen Sie dem Client (HDS-Knoten) mit, welchen Proxyserver Sie verwenden sollen. Diese Option unterstützt mehrere Authentifizierungstypen. Nachdem Sie diese Option ausgewählt haben, müssen Sie die folgenden Informationen eingeben:
                                                                                                                                                    1. Proxy-IP/FQDN : Adresse, die zum Erreichen der Proxymaschine verwendet werden kann.

                                                                                                                                                    2. Proxy-Port : Eine Portnummer, die der Proxy für die Überwachung des Proxyverkehrs verwendet.

                                                                                                                                                    3. Proxy-Protokoll – Wählen Sie http (zeigt alle vom Client empfangenen Anfragen an und steuert sie) oder https (stellt einen Kanal für den Server bereit und der Client empfängt und validiert das Serverzertifikat). Wählen Sie eine Option basierend auf der Unterstützung Ihres Proxyservers aus.

                                                                                                                                                    4. Authentifizierungstyp : Wählen Sie einen der folgenden Authentifizierungstypen aus:

                                                                                                                                                      • Keine: Es ist keine weitere Authentifizierung erforderlich.

                                                                                                                                                        Verfügbar für HTTP- oder HTTPS-Proxys.

                                                                                                                                                      • Basic – Wird für einen HTTP-Benutzeragenten verwendet, um bei einer Anforderung einen Benutzernamen und ein Kennwort anzugeben. Verwendet Base64-Codierung.

                                                                                                                                                        Verfügbar für HTTP- oder HTTPS-Proxys.

                                                                                                                                                        Wenn Sie diese Option wählen, müssen Sie auch den Benutzernamen und das Kennwort eingeben.

                                                                                                                                                      • Ziffer : Wird verwendet, um das Konto zu bestätigen, bevor sensible Informationen gesendet werden. Wendet eine Hash-Funktion auf den Benutzernamen und das Kennwort an, bevor sie über das Netzwerk gesendet werden.

                                                                                                                                                        Nur für HTTPS-Proxys verfügbar.

                                                                                                                                                        Wenn Sie diese Option wählen, müssen Sie auch den Benutzernamen und das Kennwort eingeben.

                                                                                                                                                  Führen Sie die nächsten Schritte für einen transparenten Prüfproxy, einen HTTP-Proxy mit einfacher Authentifizierung oder einen HTTPS-Proxy aus.

                                                                                                                                                  3

                                                                                                                                                  Klicken Sie auf Stammzertifikat hochladen oder Entitätszertifikat beenden , und navigieren Sie dann zu einem Stammzertifikat für den Proxy.

                                                                                                                                                  Das Zertifikat ist hochgeladen, aber noch nicht installiert, da Sie den Knoten neu starten müssen, um das Zertifikat zu installieren. Klicken Sie auf den chevron-Pfeil nach dem Namen des Zertifikatsausstellers, um weitere Details zu erhalten, oder klicken Sie auf Löschen , wenn Sie einen Fehler gemacht haben und die Datei erneut hochladen möchten.

                                                                                                                                                  4

                                                                                                                                                  Klicken Sie auf Proxyverbindung prüfen , um die Netzwerkkonnektivität zwischen dem Knoten und dem Proxy zu testen.

                                                                                                                                                  Wenn der Verbindungstest fehlschlägt, wird eine Fehlermeldung mit dem Grund und wie Sie das Problem beheben können angezeigt.

                                                                                                                                                  Wenn eine Meldung angezeigt wird, dass die externe DNS-Auflösung nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen. Diese Bedingung wird in vielen expliziten Proxy-Konfigurationen erwartet. Sie können mit der Einrichtung fortfahren, und der Knoten funktioniert im Blockierten externen DNS-Auflösungsmodus. Wenn Sie der Meinung sind, dass es sich um einen Fehler handelt, führen Sie die folgenden Schritte aus, und lesen Sie anschließend Deaktivieren Sie den blockierten externen DNS-Auflösungsmodus .

                                                                                                                                                  5

                                                                                                                                                  Wenn der Verbindungstest bestanden hat und der explizite Proxy auf „Nur https“ festgelegt ist, aktivieren Sie den Umschalter auf „ Alle Port 443/444-https-Anfragen von diesem Knoten über den expliziten Proxy weiterleiten“ . Diese Einstellung benötigt 15 Sekunden, um wirksam zu werden.

                                                                                                                                                  6

                                                                                                                                                  Klicken Sie auf Installieren Sie alle Zertifikate in den Vertrauensspeicher (wird für einen expliziten HTTPS-Proxy oder einen transparenten Prüfproxy angezeigt) oder Reboot (wird für einen expliziten HTTP-Proxy angezeigt), lesen Sie die Eingabeaufforderung und klicken Sie anschließend auf Installieren , wenn Sie bereit sind.

                                                                                                                                                  Der Knoten wird innerhalb weniger Minuten neu gestartet.

                                                                                                                                                  7

                                                                                                                                                  Nachdem der Knoten neu gestartet wurde, melden Sie sich bei Bedarf erneut an und öffnen Sie die Seite „Übersicht“ , um die Konnektivitätsprüfungen zu überprüfen, um sicherzustellen, dass alle im grünen Status sind.

                                                                                                                                                  Die Proxy-Verbindungsprüfung testet nur eine Unterdomäne von webex.com. Wenn Verbindungsprobleme auftreten, besteht ein häufiges Problem darin, dass einige der in den Installationsanweisungen aufgeführten Cloud-Domänen am Proxy blockiert werden.

                                                                                                                                                  Registrieren des ersten Knotens im Cluster

                                                                                                                                                  Bei dieser Aufgabe wird der generische Knoten verwendet, den Sie unter „Hybrid Data Security VM einrichten“ erstellt haben, der Knoten wird in der Webex-Cloud registriert und in einen Hybrid Data Security-Knoten umgewandelt.

                                                                                                                                                  Bei der Registrierung Ihres ersten Knotens erstellen Sie ein Cluster, zu dem der Knoten zugewiesen wird. Ein Cluster enthält einen oder mehrere Knoten, die für Redundanz bereitgestellt werden.

                                                                                                                                                  Vorbereitungen

                                                                                                                                                  • Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.

                                                                                                                                                  • Stellen Sie sicher, dass alle Popupblocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.

                                                                                                                                                  1

                                                                                                                                                  Melden Sie sich bei https://admin.webex.com an.

                                                                                                                                                  2

                                                                                                                                                  Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

                                                                                                                                                  3

                                                                                                                                                  Suchen Sie im Abschnitt Hybrid-Dienste nach Hybrid-Datensicherheit und klicken Sie auf Einrichten .

                                                                                                                                                  Die Seite „Hybrid-Datensicherheitsknoten registrieren“ wird angezeigt.
                                                                                                                                                  4

                                                                                                                                                  Wählen Sie Ja aus, um anzugeben, dass Sie den Knoten eingerichtet haben und bereit sind, ihn zu registrieren, und klicken Sie dann auf Weiter .

                                                                                                                                                  5

                                                                                                                                                  Geben Sie im ersten Feld einen Namen für das Cluster ein, dem Sie Ihren Hybrid-Datensicherheitsknoten zuweisen möchten.