In diesem Artikel
dropdown icon
Neue und geänderte Informationen
    Neue und geänderte Informationen
dropdown icon
Starten Sie mit der hybriden Datensicherheit für mehrere Mandanten.
    dropdown icon
    Überblick über die hybride Datensicherheit in Multi-Tenant-Umgebungen
      Wie hybride Datensicherheit für mehrere Mandanten Datensouveränität und Datenkontrolle gewährleistet
      Einschränkungen der hybriden Datensicherheit für mehrere Mandanten
      Rollen in der hybriden Multi-Tenant-Datensicherheit
    dropdown icon
    Sicherheitsbereichsarchitektur
      Bereiche der Trennung (ohne hybride Datensicherheit)
    Zusammenarbeit mit anderen Organisationen
    Erwartungen an die Bereitstellung der Hybrid-Datensicherheit
    Einrichtungsprozess auf hoher Ebene
    dropdown icon
    Bereitstellungsmodell für die Hybrid-Datensicherheit
      Bereitstellungsmodell für die Hybrid-Datensicherheit
    dropdown icon
    Standby-Rechenzentrum für die Notfallwiederherstellung
      Manuelles Failover zum Standby-Rechenzentrum
      Einrichtung eines Standby-Rechenzentrums für die Notfallwiederherstellung
    Proxy-Support
dropdown icon
Umgebung vorbereiten
    dropdown icon
    Anforderungen an die hybride Datensicherheit für mehrere Mandanten
      Cisco Webex-Lizenzanforderungen
      Docker Desktop-Anforderungen
      Anforderungen an das X.509-Zertifikat
      Anforderungen an virtuelle Hosts
      Anforderungen an den Datenbankserver
      Anforderungen an die externe Konnektivität
      Vorgaben für Proxy-Server
    Erfüllen der Voraussetzungen für die Hybrid-Datensicherheit
dropdown icon
Einrichten eines Hybrid-Datensicherheitsclusters
    Aufgabenablauf für die Bereitstellung hybrider Datensicherheit
    Führen Sie die Ersteinrichtung durch und laden Sie die Installationsdateien herunter.
    Erstellen einer ISO-Konfigurationsdatei für die HDS-Hosts
    Installieren des HDS Host OVA
    Einrichten der Hybrid-Datensicherheits-VM
    Hochladen und Mounten der HDS-Konfigurations-ISO
    Konfigurieren des HDS Knotens für Proxyintegration
    Registrieren Sie den ersten Knoten im Cluster
    Weitere Knoten erstellen und registrieren
dropdown icon
Verwaltung von Mandantenorganisationen auf hybriden Multi-Tenant-Datensicherheitssystemen
    Aktivieren Sie Multi-Tenant HDS auf dem Partner Hub.
    Fügen Sie Mandantenorganisationen im Partner Hub hinzu.
    Erstellen Sie Kundenhauptschlüssel (CMKs) mithilfe des HDS-Setup-Tools.
    Mieterorganisationen entfernen
    Widerruf der CMKs von Mietern, die aus HDS entfernt wurden.
dropdown icon
Testen Sie Ihre Hybrid-Datensicherheitsbereitstellung
    Testen Ihrer Bereitstellung für die Hybrid-Datensicherheit
    Überwachen des Status der Hybrid-Datensicherheit
dropdown icon
Verwalten Sie Ihre HDS-Bereitstellung
    Verwalten der HDS-Bereitstellung
    Festlegen des Upgrade-Zeitplans für Cluster
    Ändern der Knotenkonfiguration
    Blockierte externe DNS Auflösungsmodus deaktivieren
    Entfernen eines Knotens
    Notfallwiederherstellung mithilfe eines Standby-Rechenzentrums
    (Optional) ISO-Datei nach HDS-Konfiguration aushängen
dropdown icon
Problembehandlung der Hybrid-Datensicherheit
    Anzeigen von Warnungen und Beheben von Fehlern
    dropdown icon
    Warnungen
      Häufig auftretende Probleme und Schritte zur Problembehebung
    Problembehandlung der Hybrid-Datensicherheit
dropdown icon
Weitere Anmerkungen
    Bekannte Probleme mit Hybrid-Datensicherheit
    Führen Sie das HDS-Setup-Tool mit Podman Desktop aus.
    dropdown icon
    Verschieben Sie die bestehende Single-Tenant-HDS-Bereitstellung einer Partnerorganisation im Control Hub in eine Multi-Tenant-HDS-Konfiguration im Partner Hub.
      Deaktivieren Sie HDS, melden Sie Knoten ab und löschen Sie alle Cluster im Control Hub.
      Aktivieren Sie Multi-Tenant HDS für die Partnerorganisation im Partner Hub und fügen Sie Kunden hinzu.
    Generieren einer PKCS12-Datei mit OpenSSL
    Datenverkehr zwischen den HDS-Knoten und der Cloud
    dropdown icon
    Konfigurieren von Tintenfisch für die Hybriddatensicherheit
      WebSocket kann nicht über SquID Proxy verbunden werden
dropdown icon
Multi-Tenant Hybrid Data Security deaktivieren
    Deaktivierungsablauf für Multi-Tenant HDS
dropdown icon
Häufig gestellte Fragen
    dropdown icon
    Häufig gestellte Fragen
      F: Wird ein einziger Schlüssel verwendet, um alle Daten der Kundenorganisationen zu verschlüsseln?
      F: Was passiert, wenn ich HDS im Partner Hub deaktiviere?
      F: Sobald der CMK für eine Kundenorganisation über das HDS-Setup-Tool generiert wurde, können die Benutzer der Kundenorganisation Multi-Tenant HDS sofort nutzen?
      F: Warum wird mir keine Kundenliste angezeigt, wenn ich im Partner Hub auf die Schaltfläche „Kunden hinzufügen“ klicke?
      F: Welche Auswirkungen hat es, wenn alle HDS-Knoten abgeschaltet werden oder wenn ein Netzwerkproblem alle HDS-Knoten betrifft?
      F: Werden die Benutzerdaten der Partnerorganisation mit dem während der ISO-Erstellung generierten Hauptschlüssel verschlüsselt?
      F: Können sich die Partnerorganisation und die Mandantenorganisationen in verschiedenen Regionen befinden (z. B. in den USA und der EU)?
      F: Gibt es einen Mechanismus, um Schlüssel zurück in die Cloud KMS zu übertragen?
      F: Kann ein Partner weiterhin Cloud KMS nutzen und Multi-Tenant HDS ausschließlich zur Kundenverwaltung einsetzen?
      F: Wie kann ein Partner überprüfen, ob seine Organisation Multi-Tenant HDS für die Verschlüsselung verwendet?
      F: Gibt es eine Alternative zu Docker Desktop zum Ausführen des HDS-Setup-Tools?
      F: Wie viele Knoten kann ich in einem Multi-Tenant HDS-Cluster einsetzen?
      F: Welche Netzwerkvoraussetzungen sind für die Einrichtung von Multi-Tenant HDS erforderlich?
      F: Ist das Pro Pack für Control Hub eine Voraussetzung für Partnerorganisationen?
      F: Wird HSM in Multi-Tenant HDS unterstützt?
      F: Kann ich Multi-Tenant HDS mit einem selbstsignierten Zertifikat testen?
      F: Muss die ISO-Datei jedes Mal installiert werden, wenn ein neuer Kunde im Partner Hub hinzugefügt wird?
      F: Beginnen die Benutzer der Partnerorganisation nach der Bereitstellung von Multi-Tenant HDS auf Partner Hub damit, ein lokales KMS für die Schlüsselverwaltung zu nutzen?
27. November 2025 | 66 Ansicht(en) | 0 Personen fanden das hilfreich

Bereitstellungsleitfaden für mandantenfähige hybride Datensicherheit (HDS)

list-menuIn diesem Artikel
list-menuFeedback?

Neue und geänderte Informationen

Neue und geänderte Informationen

In dieser Tabelle werden neue Funktionen, Änderungen an vorhandenen Inhalten und alle wichtigen Fehler beschrieben, die im Bereitstellungsleitfaden für Multi-Tenant-Hybrid-Datensicherheit behoben wurden.

Datum

Vorgenommenen Änderungen

30. Januar 2025

Die SQL-Serverversion 2022 wurde zur Liste der unterstützten SQL-Server unter Anforderungen für Datenbankserver hinzugefügt.

15. Januar 2025

Einschränkungen der Multi-Tenant-Hybrid-Datensicherheit hinzugefügt.

08. Januar 2025

In Erste Einrichtung durchführen und Installationsdateien herunterladen wurde ein Hinweis hinzugefügt, dass das Klicken auf Einrichten auf der HDS-Karte in Partner Hub ein wichtiger Schritt des Installationsprozesses ist.

07. Januar 2025

Aktualisierte Anforderungen für virtuelle Gastgeber, Bereitstellungsaufgaben für Hybrid-Datensicherheit und Installieren der HDS-Host-OVA , um neue Anforderungen von ESXi 7.0 anzuzeigen.

13. Dezember 2024

Erste Veröffentlichung.

Multi-Tenant Hybrid-Datensicherheit deaktivieren

Multi-Tenant-HDS-Deaktivierungsaufgabenablauf

Führen Sie diese Schritte aus, um Multi-Tenant-HDS vollständig zu deaktivieren.

Vorbereitungen

Diese Aufgabe sollte nur von einem Partnervolladministrator ausgeführt werden.
1

Entfernen Sie alle Kunden aus allen Ihren Clustern, wie unter Mandantenorganisationen entfernen erwähnt.

2

Widerrufen Sie die CMKs aller Kunden, wie unter CMKs von Tenants, die aus HDS entfernt wurden erwähnt.

3

Entfernen Sie alle Knoten aus all Ihren Clustern, wie unter Einen Knoten entfernen erwähnt.

4

Löschen Sie alle Ihre Cluster aus Partner Hub mithilfe einer der folgenden beiden Methoden.

  • Klicken Sie auf den Cluster, den Sie löschen möchten, und wählen Sie Diesen Cluster löschen in der oberen rechten Ecke der Übersichtsseite.
  • Klicken Sie auf der Seite „Ressourcen“ auf der rechten Seite eines Clusters auf ... und wählen Sie Cluster entfernen aus.
5

Klicken Sie auf der Übersichtsseite zur Hybrid-Datensicherheit auf die Registerkarte Einstellungen und klicken Sie auf der HDS-Statuskarte auf HDS deaktivieren .

Erste Schritte mit der Multi-Tenant-Hybrid-Datensicherheit

Multi-Tenant Hybrid-Datensicherheit – Übersicht

Vom ersten Tag an stand die Datensicherheit im Mittelpunkt der Entwicklung der Webex-App. Der Eckpfeiler dieser Sicherheit ist die durchgängige Verschlüsselung von Inhalten, die durch die Interaktion der Webex-App-Clients mit dem Schlüsselverwaltungsdienst (Key Management Service, KMS) ermöglicht wird. Der KMS erstellt und verwaltet die Kryptografieschlüssel, mit denen die Clients ihre Nachrichten und Dateien dynamisch ver- und entschlüsseln.

Standardmäßig erhalten alle Webex-App-Kunden eine durchgängige Verschlüsselung mit dynamischen Schlüsseln, die im Cloud-KMS im Sicherheitsbereich von Cisco gespeichert werden. Mit Hybrid Data Security werden KMS und andere Sicherheitsfunktionen in das Rechenzentrum Ihres Unternehmens verschoben, damit die Schlüssel zu ihren verschlüsselten Inhalten ausschließlich bei Ihnen liegen.

Multi-Tenant Hybrid Data Security ermöglicht es Unternehmen, HDS über einen vertrauenswürdigen lokalen Partner zu nutzen, der als Dienstleister fungieren und lokale Verschlüsselungs- und andere Sicherheitsdienste verwalten kann. Diese Einrichtung ermöglicht der Partnerorganisation die vollständige Kontrolle über die Bereitstellung und Verwaltung von Verschlüsselungscodes und stellt sicher, dass die Benutzerdaten von Kundenorganisationen vor externem Zugriff geschützt sind. Partnerorganisationen richten HDS-Instanzen ein und erstellen nach Bedarf HDS-Cluster. Im Gegensatz zu einer normalen HDS-Bereitstellung, die auf eine einzelne Organisation beschränkt ist, kann jede Instanz mehrere Kundenorganisationen unterstützen.

Partnerorganisationen haben zwar die Kontrolle über die Bereitstellung und Verwaltung, sie haben jedoch keinen Zugriff auf von Kunden generierte Daten und Inhalte. Dieser Zugriff ist auf Kundenorganisationen und ihre Benutzer beschränkt.

Dadurch können kleinere Organisationen auch HDS nutzen, da Schlüsselverwaltungsdienst und Sicherheitsinfrastruktur wie Rechenzentren im Besitz des vertrauenswürdigen lokalen Partners sind.

So bietet Multi-Tenant Hybrid Data Security Datensouveränität und Datenkontrolle

  • Benutzergenerierte Inhalte sind wie Cloud-Dienstanbieter vor externem Zugriff geschützt.
  • Vertrauenswürdige Partner vor Ort verwalten die Verschlüsselungscodes von Kunden, mit denen sie bereits eine bestehende Beziehung haben.
  • Option für lokalen technischen Support, falls vom Partner bereitgestellt.
  • Unterstützt Meeting-, Messaging- und Calling-Inhalte.

Dieses Dokument soll Partnerorganisationen bei der Einrichtung und Verwaltung von Kunden in einem Multi-Tenant-Hybrid-Datensicherheitssystem unterstützen.

Einschränkungen der Multi-Tenant-Hybrid-Datensicherheit

  • Partnerorganisationen dürfen keine vorhandene HDS-Bereitstellung in Control Hub aktiv haben.
  • Mandanten- oder Kundenorganisationen, die von einem Partner verwaltet werden möchten, dürfen keine vorhandene HDS-Bereitstellung in Control Hub haben.
  • Sobald der Partner Multi-Tenant-HDS bereitgestellt hat, können alle Benutzer von Kundenorganisationen sowie Benutzer der Partnerorganisation Multi-Tenant-HDS für ihre Verschlüsselungsdienste nutzen.

    Die von ihnen verwaltete Partnerorganisation und Kundenorganisationen werden sich in derselben Multi-Tenant-HDS-Bereitstellung befinden.

    Die Partnerorganisation verwendet Cloud-KMS nicht mehr, nachdem Multi-Tenant-HDS bereitgestellt wurde.

  • Es gibt keinen Mechanismus, um Schlüssel nach einer HDS-Bereitstellung wieder in das Cloud-KMS zu verschieben.
  • Derzeit kann jede Multi-Tenant-HDS-Bereitstellung nur über einen Cluster mit mehreren Knoten verfügen.
  • Administratorrollen haben bestimmte Einschränkungen. Weitere Informationen finden Sie im Abschnitt unten.

Rollen in der Multi-Tenant-Hybrid-Datensicherheit

  • Partner-Volladministrator – Kann Einstellungen für alle Kunden verwalten, die der Partner verwaltet. Außerdem können Sie bereits vorhandenen Benutzern in der Organisation Administratorrollen zuweisen und bestimmte Kunden für die Verwaltung durch Partneradministratoren zuweisen.
  • Partneradministrator – Kann Einstellungen für Kunden verwalten, die der Administrator bereitgestellt hat oder die dem Benutzer zugewiesen wurden.
  • Volladministrator – Administrator der Partnerorganisation, der berechtigt ist, Aufgaben auszuführen, z. B. die Änderung von Organisationseinstellungen, die Verwaltung von Lizenzen und das Zuweisen von Rollen.
  • Durchgängige Multi-Tenant-HDS-Einrichtung und -Verwaltung aller Kundenorganisationen – Partner-Volladministrator und Volle Administratorrechte erforderlich.
  • Verwaltung zugewiesener Mandanten-Organisationen – Partneradministrator und volle Administratorrechte erforderlich.

Sicherheitsbereichsarchitektur

Die Webex-Cloud-Architektur unterteilt verschiedene Arten von Diensten in separate Bereiche oder Vertrauensdomänen, wie unten dargestellt.

Bereiche der Trennung (ohne Hybrid-Datensicherheit)

Um die Hybrid-Datensicherheit besser zu verstehen, schauen wir uns zunächst diesen reinen Cloud-Fall an, bei dem Cisco alle Funktionen in seinen Cloud-Bereichen bereitstellt. Der Identitätsdienst, der einzige Ort, an dem Benutzer direkt mit ihren persönlichen Informationen in Verbindung gebracht werden können, wie z. B. die E-Mail-Adresse, ist logisch und physisch vom Sicherheitsbereich in Rechenzentrum B getrennt. Er ist wiederum von dem Bereich getrennt, in dem verschlüsselte Inhalte letztendlich gespeichert werden, in Rechenzentrum C.

In diesem Diagramm ist der Client die Webex-App, die auf dem Laptop eines Benutzers ausgeführt wird und sich mit dem Identitätsdienst authentifiziert hat. Wenn der Benutzer eine Nachricht verfasst, die er an einen Bereich senden möchte, finden folgende Schritte statt:

  1. Der Client stellt eine sichere Verbindung zum Schlüsselverwaltungsdienst her, und fordert anschließend einen Schlüssel zum Verschlüsseln der Nachricht an. Die sichere Verbindung verwendet ECDH und der Schlüsselverwaltungsdienst verschlüsselt den Schlüssel mit einem AES-256-Hauptschlüssel.

  2. Die Nachricht wird verschlüsselt, bevor sie den Client verlässt. Der Client sendet sie an den Indexdienst, der verschlüsselte Suchindizes erstellt, um zukünftige Suchvorgänge nach Inhalten zu unterstützen.

  3. Die verschlüsselte Nachricht wird an den Compliancedienst gesendet, damit Complianceprüfungen vorgenommen werden können.

  4. Die verschlüsselte Nachricht wird im Speicherbereich abgelegt.

Wenn Sie die Hybrid-Datensicherheit bereitstellen, verschieben Sie die Sicherheitsbereichsfunktionen (KMS, Indexierung und Compliance) in Ihr lokales Rechenzentrum. Die anderen Cloud-Dienste, aus denen Webex besteht (einschließlich Identitätsspeicher und Inhaltsspeicher), verbleiben in den Bereichen von Cisco.

Zusammenarbeit mit anderen Organisationen

Benutzer in Ihrer Organisation können die Webex-App regelmäßig verwenden, um mit externen Teilnehmern in anderen Organisationen zusammenzuarbeiten. Wenn einer Ihrer Benutzer einen Schlüssel für einen Bereich anfordert, der Ihrer Organisation gehört (da er von einem Ihrer Benutzer erstellt wurde) sendet Ihr Schlüsselverwaltungsdienst den Schlüssel über einen mit ECDH gesicherten Kanal an den Client. Wenn eine andere Organisation jedoch den Schlüssel für den Bereich besitzt, leitet Ihr KMS die Anforderung über einen separaten ECDH-Kanal an die Webex-Cloud weiter, um den Schlüssel vom entsprechenden KMS zu erhalten, und gibt den Schlüssel dann an Ihren Benutzer im ursprünglichen Kanal zurück.

Der KMS-Dienst, der unter Organisation A ausgeführt wird, überprüft die Verbindungen zu KMSs in anderen Organisationen mit x.509-PKI-Zertifikaten. Weitere Informationen zur Erzeugung eines x.509-Zertifikats für die Verwendung mit Ihrer Multi-Tenant-Hybrid-Datensicherheitsbereitstellung finden Sie unter Vorbereiten Ihrer Umgebung .

Erwartungen an die Bereitstellung der Hybrid-Datensicherheit

Eine Bereitstellung der Hybrid-Datensicherheit erfordert ein erhebliches Engagement und ein Bewusstsein für die Risiken, die mit dem Besitz von Verschlüsselungscodes einhergehen.

Zur Bereitstellung der Hybrid-Datensicherheit müssen Sie Folgendes bereitstellen:

Der vollständige Verlust der Konfigurations-ISO, die Sie für Hybrid Data Security erstellen, oder der von Ihnen bereitgestellten Datenbank führt zum Verlust der Schlüssel. Der Schlüsselverlust verhindert, dass Benutzer Bereichsinhalte und andere verschlüsselte Daten in der Webex-App entschlüsseln. Falls dies geschieht, können Sie eine neue Bereitstellung erstellen, es werden dabei jedoch nur neue Inhalte angezeigt. Gehen Sie folgendermaßen vor, damit Sie nicht den Zugriff auf die Daten verlieren:

  • Verwalten Sie die Sicherung und Wiederherstellung der Datenbank und die ISO-Konfigurationsdatei.

  • Bereiten Sie sich darauf vor, eine schnelle Notfallwiederherstellung durchzuführen, wenn eine Katastrophe eintritt, z. B. ein Fehler der Datenbank oder ein Absturz des Rechenzentrums.

Es gibt keinen Mechanismus, um Schlüssel nach einer HDS-Bereitstellung zurück in die Cloud zu verschieben.

Übergeordneter Einrichtungsprozess

Dieses Dokument behandelt die Einrichtung und Verwaltung einer Multi-Tenant-Hybrid-Datensicherheitsbereitstellung:

  • Hybrid-Datensicherheit einrichten – Dazu gehört die Vorbereitung der erforderlichen Infrastruktur und die Installation der Hybrid-Datensicherheitssoftware, der Aufbau eines HDS-Clusters, das Hinzufügen von Tenant-Organisationen zum Cluster und die Verwaltung ihrer Customer Main Keys (CMKs). Damit können alle Benutzer Ihrer Kundenorganisationen Ihr Hybrid-Datensicherheitscluster für Sicherheitsfunktionen verwenden.

    Die Einrichtungs-, Aktivierungs- und Verwaltungsphase werden in den nächsten drei Kapiteln ausführlich behandelt.

  • Aufrechterhaltung Ihrer Hybrid-Datensicherheitsbereitstellung – Die Webex-Cloud stellt automatisch laufende Upgrades bereit. Ihre IT-Abteilung kann Ebene-1-Support anbieten und bei Bedarf den Cisco-Support hinzuziehen. Sie können Benachrichtigungen auf dem Bildschirm verwenden und E-Mail-basierte Warnungen in Partner Hub einrichten.

  • Allgemeine Warnungen, Schritte zur Fehlerbehebung und bekannte Probleme verstehen: Wenn bei der Bereitstellung oder Verwendung von Hybrid-Datensicherheit Probleme auftreten, können Sie das letzte Kapitel dieses Leitfadens und der Anhang „Bekannte Probleme“ bei der Ermittlung und Behebung des Problems helfen.

Bereitstellungsmodell für die Hybrid-Datensicherheit

Im Rechenzentrum Ihres Unternehmens stellen Sie die hybride Datensicherheit als ein Cluster von Knoten auf separaten virtuellen Hosts bereit. Die Knoten kommunizieren mit der Webex Cloud über sichere Websockets und sicheres HTTP.

Während des Installationsvorgangs stellen wir Ihnen die OVA-Datei bereit, mit der Sie die virtuelle Appliance auf den von Ihnen angegebenen VMs einrichten können. Mit dem HDS-Setuptool erstellen Sie eine benutzerdefinierte ISO-Clusterkonfigurationsdatei, die Sie bei den einzelnen Knoten mounten. Der Hybrid-Datensicherheitscluster verwendet den von Ihnen bereitgestellten Syslogd-Server und die PostgreSQL- oder Microsoft SQL Server-Datenbank. (Sie konfigurieren die Syslogd- und Datenbankverbindungsdetails im HDS Setup Tool.)

Bereitstellungsmodell für die Hybrid-Datensicherheit

Die Mindestanzahl von Knoten in einem Cluster lautet zwei. Wir empfehlen mindestens drei pro Cluster. Die Tatsache, dass mehrere Knoten vorhanden sind, stellt sicher, dass der Dienst während eines Software-Upgrades oder anderer Wartungsaktivitäten auf einem Knoten nicht unterbrochen wird. (Die Webex-Cloud aktualisiert jeweils nur einen Knoten.)

Alle Knoten in einem Cluster greifen auf denselben Schlüsseldatenspeicher zu und sie protokollieren Aktivitäten auf demselben Syslog-Server. Die Knoten selbst besitzen keinen Status und verarbeiten Schlüsselanfragen nach dem Round-Robin-Verfahren, wie von der Cloud vorgegeben.

Knoten werden aktiv, wenn Sie sie in Partner Hub registrieren. Um einen einzelnen Knoten zu deaktivieren, können Sie die Registrierung aufheben und ggf. zu einem späteren Zeitpunkt erneut registrieren.

Standby-Rechenzentrum für die Notfallwiederherstellung

Während der Bereitstellung richten Sie ein sicheres Standby-Rechenzentrum ein. Bei einem Absturz des Rechenzentrums können Sie die Bereitstellung manuell auf das Standby-Rechenzentrum umstellen.

Vor dem Failover verfügt Rechenzentrum A über aktive HDS-Knoten und die primäre PostgreSQL- oder Microsoft SQL Server-Datenbank, während B über eine Kopie der ISO-Datei mit zusätzlichen Konfigurationen, in der Organisation registrierte VMs und eine Standby-Datenbank verfügt. Nach dem Failover verfügt Rechenzentrum B über aktive HDS-Knoten und die primäre Datenbank, während A über nicht registrierte VMs und eine Kopie der ISO-Datei verfügt und sich die Datenbank im Standby-Modus befindet.
Manuelles Failover zum Standby-Rechenzentrum

Die Datenbanken der aktiven und Standby-Rechenzentren sind synchronisiert, wodurch die Zeit für die Durchführung des Failovers minimiert wird.

Die aktiven Hybrid-Datensicherheitsknoten müssen sich immer im selben Rechenzentrum wie der aktive Datenbankserver befinden.

Proxy-Support

Die Hybriddatensicherheit unterstützt explizite, transparente Inspektionen und Nichtinspizierungsproxys. Sie können diese Proxys an Ihre Bereitstellung binden, damit Sie den Datenverkehr aus dem Unternehmen heraus in die-Cisco sichern und überwachen können. Sie können eine Netzwerkverwaltung auf den Knoten für Zertifikats-Management verwenden und den Status der gesamten Konnektivität überprüfen, nachdem Sie den Proxy auf den Knoten eingerichtet haben.

Die Hybrid Data Sicherheitshinweis unterstützt die folgenden Proxyoptionen:

  • Kein Proxy: Der Standardwert, wenn Sie nicht die Konfiguration von Vertrauensspeicher und Proxy für die Integration eines Proxys beim Einrichten des HDS-Knotens verwenden. Es ist keine Zertifikatsaktualisierung erforderlich.

  • Transparenter Proxy ohne Prüfung – Die Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert und sollten keine Änderungen erfordern, um mit einem Proxy ohne Prüfung zu arbeiten. Es ist keine Zertifikatsaktualisierung erforderlich.

  • Transparentes Tunneln oder Proxyprüfen: Die Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert. Es sind keine Änderungen bei der Konfigurationänderung von http oder HTTPS Allerdings benötigen die Knoten eine Stammzertifikat, sodass Sie dem Proxy Vertrauen. Die Inspektion von Proxys wird in der Regel von ihm verwendet, um Strategien durchzusetzen, welche Websites besichtigt werden können und welche Arten von Inhalten nicht zulässig sind. Diese Art von Proxy entschlüsselt den gesamten Datenverkehr (auch HTTPS).

  • Expliziter Proxy: Mit explizitem Proxy teilen Sie den HDS-Knoten mit, welcher Proxyserver und welches Authentifizierungsschema verwendet werden sollen. Um einen expliziten Proxy zu konfigurieren, müssen Sie die folgenden Informationen zu den einzelnen Knoten eingeben:

    1. Proxy-IP/FQDN: Adresse, die verwendet werden kann, um die Proxy-Maschine zu erreichen.

    2. Proxy-Port: Eine Portnummer, die der Proxy verwendet, um nach proxyem Datenverkehr zu suchen.

    3. Proxy-Protokoll: Wählen Sie je nachdem, was Ihr Proxy-Server unterstützt, zwischen den folgenden Protokollen aus:

      • – Und steuert alle Anfragen, die der Client sendet.

      • HTTPS – stellt einen Kanal zum Server bereit. Der Client erhält und prüft das Zertifikat des Servers.

    4. Authentifizierungstyp: Wählen Sie aus den folgenden Authentifizierungstypen aus:

      • Keine: Es ist keine weitere Authentifizierung erforderlich.

        Verfügbar, wenn Sie entweder http oder HTTPS als Proxyprotokoll auswählen.

      • Basic – wird für einen HTTP-Benutzeragenten verwendet, um bei einer Anfrage einen Benutzernamen und ein Kennwort anzugeben. Zertifikatsformat verwendet.

        Verfügbar, wenn Sie entweder http oder HTTPS als Proxyprotokoll auswählen.

        Hiermit müssen Sie die Benutzername und das Passwort eines jeden Knotens eingeben.

      • Digest – wird verwendet, um das Konto vor dem Senden sensibler Informationen zu bestätigen. Gibt eine Hashfunktion auf die Benutzername und das Passwort ein, bevor Sie über das Netzwerk senden.

        Nur verfügbar, wenn Sie HTTPS als Proxyprotokoll auswählen.

        Hiermit müssen Sie die Benutzername und das Passwort eines jeden Knotens eingeben.

Beispiel für hybride Datensicherheitsknoten und Proxy

Dieses Diagramm zeigt eine Beispielverbindung zwischen der Hybriddatensicherheit, dem Netzwerk und einem Proxy. Für die transparente Inspektion und HTTPS explizite Überprüfung der Proxyoptionen müssen dieselben Stammzertifikat auf dem Proxy und auf den Hybriden Datensicherheitsknoten installiert sein.

Externer DNS Auflösungsmodus blockiert (explizite Proxykonfigurationen)

Wenn Sie einen Knoten registrieren oder die Proxykonfiguration des Knotens überprüfen, testet das Verfahren die DNS und die Konnektivität der Cisco WebEx. Bei Bereitstellungen mit expliziten Proxykonfigurationen, die keine externe DNS für interne Clients zulassen, wenn der Knoten die DNS-Server nicht Abfragen kann, geht er automatisch in den gesperrten externen DNS-Server. In diesem Modus können Knotenregistrierungen und andere Proxyverbindungstests fortgeführt werden.

Umgebung vorbereiten

Anforderungen für die Multi-Tenant-Hybrid-Datensicherheit

Cisco Webex-Lizenzanforderungen

So stellen Sie Multi-Tenant Hybrid Data Security bereit:

  • Partnerorganisationen: Wenden Sie sich an Ihren Cisco-Partner oder Account Manager und stellen Sie sicher, dass die Multi-Tenant-Funktion aktiviert ist.

  • Mandantenorganisationen: Sie benötigen Pro Pack für Cisco Webex Control Hub. (Siehe https://www.cisco.com/go/pro-pack.)

Docker Desktop-Anforderungen

Bevor Sie Ihre HDS-Knoten installieren, benötigen Sie Docker Desktop, um ein Setup-Programm auszuführen. Docker hat kürzlich sein Lizenzierungsmodell aktualisiert. Ihre Organisation benötigt möglicherweise ein kostenpflichtiges Abonnement für Docker Desktop. Weitere Informationen finden Sie im Docker-Blog-Post: " Docker aktualisiert und erweitert unsere Produktabonnements".

Anforderungen an das X.509-Zertifikat

Diese Zertifikatskette muss die folgenden Anforderungen erfüllen:

Tabelle 1: X.509-Zertifikatsanforderungen für die Hybrid-Datensicherheitsbereitstellung

Anforderung

Details

  • Von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert

Standardmäßig vertrauen wir den Zertifizierungsstellen in der Mozilla-Liste (mit Ausnahme von WoSign und StartCom) unter https://wiki.mozilla.org/CA:IncludedCAs.

  • Trägt einen CN-Domänennamen (Common Name), der Ihre Hybrid-Datensicherheitsbereitstellung identifiziert

  • Ist kein Platzhalterzertifikat

Der CN muss nicht erreichbar und kein Live-Host sein. Wir empfehlen die Verwendung eines Namens, der Ihre Organisation widerspiegelt, z. B. hds.unternehmen.com.

Der CN darf kein * (Platzhalter) enthalten.

Der CN wird verwendet, um die Hybrid-Datensicherheitsknoten für Webex-App-Clients zu verifizieren. Alle Hybrid-Datensicherheitsknoten in Ihrem Cluster verwenden das gleiche Zertifikat. Ihr KMS identifiziert sich selbst unter Verwendung der CN-Domäne, nicht einer beliebigen Domäne, die in den x.509v3-SAN-Feldern definiert ist.

Nachdem Sie einen Knoten mit diesem Zertifikat registriert haben, kann der CN-Domänenname nicht mehr geändert werden.

  • Keine SHA1-Signatur

Die KMS-Software unterstützt keine SHA1-Signaturen zum Validieren von Verbindungen zu KMS anderer Organisationen.

  • Als passwortgeschützte PKCS #12-Datei formatiert

  • Verwenden Sie den Anzeigenamen kms-private-key zum Kennzeichnen des Zertifikats, des privaten Schlüssels und aller Zwischenzertifikate, die hochgeladen werden sollen.

Sie können das Format Ihres Zertifikats mithilfe einer Konvertierungssoftware wie OpenSSL ändern.

Sie müssen das Passwort eingeben, wenn Sie das HDS-Setuptool ausführen.

Die KMS-Software erzwingt keine Schlüsselnutzung und beschränkt erweiterte Schlüsselnutzung nicht. Einige Zertifizierungsstellen erfordern Beschränkungen einer erweiterten Schlüsselnutzung für jedes Zertifikat, wie z. B. Server-Authentifizierung. Die Server-Authentifizierung oder andere Einstellungen zu verwenden, ist zulässig.

Anforderungen für virtuelle Gastgeber

Die virtuellen Hosts, die Sie als Hybrid-Datensicherheitsknoten in Ihrem Cluster einrichten, haben die folgenden Anforderungen:

  • Mindestens zwei separate Hosts (3 empfohlen) befinden sich im gleichen sicheren Rechenzentrum

  • VMware ESXi 7.0 (oder höher) installiert und ausgeführt.

    Sie müssen ein Upgrade durchführen, wenn Sie über eine frühere Version von ESXi verfügen.

  • Mindestens 4 vCPUs, 8 GB Hauptspeicher, 30 GB lokaler Festplattenspeicher pro Server

Datenbankserveranforderungen

Erstellen Sie eine neue Datenbank für die Schlüsselspeicherung. Verwenden Sie nicht die Standarddatenbank. Die HDS-Anwendungen erstellen bei Installation das Datenbankschema.

Für den Datenbankserver gibt es zwei Optionen. Die Anforderungen für jede dieser Komponenten lauten wie folgt:

Tabelle 2. Anforderungen für Datenbankserver nach Datenbanktyp

PostgreSQL

Microsoft SQL-Server

  • PostgreSQL 14, 15 oder 16, installiert und ausgeführt.

  • SQL Server 2016, 2017, 2019 oder 2022 (Enterprise oder Standard) installiert.

    SQL Server 2016 erfordert Service Pack 2 und kumulatives Update 2 oder höher.

Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichend Festplattenkapazität und Überwachung zur Sicherstellung, dass dieser nicht überschritten wird (2 TB empfohlen, falls die Datenbank über längere Zeit ohne Erweiterung der Festplattenkapazität ausgeführt werden soll)

Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichend Festplattenkapazität und Überwachung zur Sicherstellung, dass dieser nicht überschritten wird (2 TB empfohlen, falls die Datenbank über längere Zeit ohne Erweiterung der Festplattenkapazität ausgeführt werden soll)

Die HDS-Software installiert derzeit die folgenden Treiberversionen für die Kommunikation mit dem Datenbankserver:

PostgreSQL

Microsoft SQL-Server

Der Treiber Postgres JDBC 42.2.5

SQL Server JDBC-Treiber 4.6

Diese Treiberversion unterstützt SQL Server Always On (Always On Failover Cluster Instances und Always On-Verfügbarkeitsgruppen).

Zusätzliche Anforderungen für die Windows-Authentifizierung gegen Microsoft SQL Server

Wenn Sie möchten, dass HDS-Knoten die Windows-Authentifizierung verwenden, um Zugriff auf Ihre Keystore-Datenbank auf Microsoft SQL Server zu erhalten, benötigen Sie die folgende Konfiguration in Ihrer Umgebung:

  • Die HDS-Knoten, die Active Directory-Infrastruktur und der MS SQL Server müssen alle mit dem NTP synchronisiert werden.

  • Das Windows-Konto, das Sie auf HDS-Knoten bereitstellen, muss Lese-/Schreibzugriff auf die Datenbank haben.

  • Die DNS-Server, die Sie für HDS-Knoten bereitstellen, müssen in der Lage sein, Ihr Key Distribution Center (KDC) aufzulösen.

  • Sie können die HDS-Datenbankinstanz auf Ihrem Microsoft SQL Server als Service Principal Name (SPN) in Ihrem Active Directory registrieren. Siehe Registrieren eines Dienstprinzipalnamens für Kerberos-Verbindungen.

    Das HDS-Setup-Tool, der HDS-Launcher und das lokale KMS müssen für den Zugriff auf die Keystore-Datenbank die Windows-Authentifizierung verwenden. Sie verwenden die Details aus Ihrer ISO-Konfiguration, um die SPN zu konstruieren, wenn sie den Zugriff mit der Kerberos-Authentifizierung anfordern.

Anforderungen an externe Konnektivität

Konfigurieren Sie Ihre Firewall so, dass die folgende Konnektivität für die HDS-Anwendungen zugelassen ist:

Anwendung

Protokoll

Port

Richtung von der App

Ziel

Hybrid-Datensicherheitsknoten

TCP

443

Ausgehend HTTPS und WSS

  • Webex-Server:

    • *.wbx2.com

    • *.ciscospark.com

  • Alle Common Identity-Hosts

  • Weitere URLs, die für die Hybrid-Datensicherheit in der Tabelle Zusätzliche URLs für Webex-Hybriddienste unter Netzwerkanforderungen für Webex-Dienste aufgeführt sind

HDS-Einrichtungstool

TCP

443

Ausgehendes HTTPS

  • *.wbx2.com

  • Alle Common Identity-Hosts

  • hub.docker.com

Die Hybrid-Datensicherheitsknoten funktionieren mit NAT (Network Access Translation) oder hinter einer Firewall, solange NAT oder Firewall die erforderlichen ausgehenden Verbindungen zu den in der vorangehenden Tabelle aufgeführten Domänenzielen zulässt. Für eingehende Verbindungen zu den Hybrid-Datensicherheitsknoten sollten keine Ports aus dem Internet sichtbar sein. In Ihrem Rechenzentrum benötigen Clients aus administrativen Gründen Zugriff auf die Hybrid-Datensicherheitsknoten auf den TCP-Ports 443 und 22.

Die URLs für die CI-Hosts (Common Identity) sind regionsspezifisch. Dies sind die aktuellen CI-Hosts:

Region

Host-URLs der allgemeinen Identität

Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Europäische Union

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Vereinigte Arabische Emirate

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Vorgaben für Proxy-Server

  • Wir unterstützen offiziell die folgenden Proxylösungen, die in ihre Hybriden Sicherheitsknoten integriert werden können.

    • Transparenter Proxy – Cisco Web Sicherheitsgerät (WSA).

    • Explizite –.

      Squid-Proxys, die den HTTPS-Datenverkehr untersuchen, können die Einrichtung von Websocket-Verbindungen (wss:) beeinträchtigen. Informationen zur Behebung dieses Problems finden Sie unter Konfigurieren von Squid-Proxys für Hybrid-Datensicherheit.

  • Wir unterstützen die folgenden Authentifizierungskombinationen für explizite Proxys:

    • Keine Authentifizierung mit http oder HTTPS

    • Grundlegende Authentifizierung mit http oder HTTPS

    • Verdauungsauthentifizierung nur mit HTTPS

  • Um einen transparenten Proxy oder einen HTTPS expliziten Proxy zu erhalten, müssen Sie eine Kopie des Stammzertifikat des Stellvertreters besitzen. Die Bereitstellungsanweisungen in diesem Handbuch zeigen Ihnen, wie Sie die Kopie in die Vertrauensspeicher der Hybriden Datensicherheitsknoten hochladen können.

  • Das Netzwerk, das die HDS Nodes hostet, muss so konfiguriert sein, dass es den ausgehenden TCP Traffic auf Port 443 durch den Proxy zwingt

  • Proxys, die den Webverkehr inspizieren, können die Websteckverbindung beeinträchtigen. Wenn dieses Problem auftritt, wird das Problem durch Umgehung des Datenverkehrs zu wbx2.com und ciscospark.com gelöst.

Erfüllen der Voraussetzungen für die Hybrid-Datensicherheit

Stellen Sie mit dieser Checkliste sicher, dass Sie bereit für die Installation und Konfiguration Ihres Hybrid-Datensicherheitsclusters sind.
1

Stellen Sie sicher, dass Ihre Partnerorganisation die Multi-Tenant-HDS-Funktion aktiviert hat, und sichern Sie sich die Anmeldeinformationen für ein Konto mit vollen Partneradministratorrechten und vollen Administratorrechten. Stellen Sie sicher, dass Ihre Webex-Kundenorganisation für Pro Pack für Cisco Webex Control Hub aktiviert ist. Wenden Sie sich an Ihren Cisco-Partner oder an Ihren Account Manager, falls Sie Hilfe bei diesem Verfahren benötigen.

Kundenorganisationen sollten keine vorhandene HDS-Bereitstellung haben.

2

Wählen Sie einen Domänennamen für Ihre HDS-Bereitstellung (z. B. hds.company.com) aus und rufen Sie eine Zertifikatskette ab, die ein X.509-Zertifikat, einen privaten Schlüssel und alle Zwischenzertifikate enthält. Die Zertifikatskette muss die Anforderungen in X.509-Zertifikatsanforderungen erfüllen.

3

Bereiten Sie identische virtuelle Hosts vor, die Sie als Hybrid-Datensicherheitsknoten in Ihrem Cluster einrichten werden. Sie benötigen mindestens zwei separate Hosts (3 empfohlen), die sich im selben sicheren Rechenzentrum befinden und die Anforderungen unter Anforderungen für virtuelle Hosts erfüllen.

4

Bereiten Sie den Datenbankserver vor, der als Schlüsseldatenspeicher für den Cluster dient, gemäß den Anforderungen für den Datenbankserver. Der Datenbankserver muss sich im sicheren Rechenzentrum mit den virtuellen Hosts befinden.

  1. Erstellen Sie eine Datenbank für die Schlüsselspeicherung. (Sie müssen diese Datenbank erstellen. Verwenden Sie nicht die Standarddatenbank. Die HDS-Anwendungen erstellen bei Installation das Datenbankschema.)

  2. Sammeln Sie die Informationen, die die Knoten zur Kommunikation mit dem Datenbankserver benötigen:

    • Der Hostname oder die IP-Adresse (Host) und der Port

    • Der Name der Datenbank (dbname) zur Schlüsselspeicherung

    • Der Benutzername und das Kennwort eines Benutzers mit allen Rechten in der Schlüsseldatenbank

5

Richten Sie für eine schnelle Notfallwiederherstellung eine Backup-Umgebung in einem anderen Rechenzentrum ein. Die Backup-Umgebung spiegelt die Produktionsumgebung von VMs und eines Backup-Datenbankservers wider. Wenn beispielsweise in der Produktion 3 VMs HDS-Knoten ausführen, sollte die Backup-Umgebung 3 VMs haben.

6

Richten Sie einen syslog-Host ein, um Protokolle aus den Knoten im Cluster zu sammeln. Dokumentieren Sie dessen Netzwerkadresse und syslog-Port (Standard ist UDP 514).

7

Erstellen Sie eine sichere Backup-Richtlinie für die Hybrid-Datensicherheitsknoten, den Datenbankserver und den Syslog-Host. Um einen nicht behebbaren Datenverlust zu vermeiden, müssen Sie mindestens die Datenbank und die für die Hybrid-Datensicherheitsknoten generierte Konfigurations-ISO-Datei sichern.

Da auf den Hybrid-Datensicherheitsknoten die für die Ver- und Entschlüsselung von Inhalten verwendeten Schlüssel gespeichert werden, führt das Versäumnis, eine betriebliche Bereitstellung aufrechtzuerhalten, zum NICHT BEHEBBAREN VERLUST dieser Inhalte.

Webex-App-Clients speichern ihre Schlüssel im Zwischenspeicher, sodass ein Ausfall möglicherweise nicht sofort spürbar ist, aber mit der Zeit offensichtlich wird. Vorübergehende Ausfälle sind unvermeidlich, aber behebbar. Bei einem vollständigen Verlust (keine Backups verfügbar) entweder der Datenbank oder der ISO-Konfigurationsdatei gehen jedoch Kundendaten unwiederbringlich verloren. Von den Betreibern der Hybrid-Datensicherheitsknoten wird erwartet, dass sie häufige Sicherungen der Datenbank und der Konfigurations-ISO-Datei erstellen und im Falle eines katastrophalen Ausfalls das Rechenzentrum für die Hybrid-Datensicherheit neu erstellen.

8

Stellen Sie sicher, dass Ihre Firewall-Konfiguration eine Verbindung für Ihre Hybrid-Datensicherheitsknoten ermöglicht, wie unter Externe Verbindungsanforderungen beschrieben.

9

Installieren Sie Docker ( https://www.docker.com) auf jedem lokalen Computer, auf dem ein unterstütztes Betriebssystem ausgeführt wird (Microsoft Windows 10 Professional, Enterprise 64-Bit oder Mac OSX Yosemite 10.10.3 oder höher) und ein Webbrowser, der unter http://127.0.0.1:8080. darauf zugreifen kann.

Mit der Docker-Instanz können Sie das HDS Setup Tool herunterladen und ausführen, das die lokalen Konfigurationsinformationen für alle Hybrid-Datensicherheitsknoten erstellt. Möglicherweise benötigen Sie eine Docker Desktop-Lizenz. Weitere Informationen finden Sie unter Anforderungen für Docker Desktop .

Um das HDS Setup Tool zu installieren und auszuführen, muss der lokale Computer über die unter Anforderungen an externe Konnektivität beschriebenen Konnektivität verfügen.

10

Wenn Sie einen Proxy mit Hybrid Data Security integrieren, stellen Sie sicher, dass er die Anforderungen für den Proxy-Server erfüllt.

Neue und geänderte Informationen

Neue und geänderte Informationen

In dieser Tabelle werden neue Funktionen, Änderungen an vorhandenen Inhalten und alle wichtigen Fehler beschrieben, die im Bereitstellungsleitfaden für Multi-Tenant-Hybrid-Datensicherheit behoben wurden.

Datum

Vorgenommenen Änderungen

13. Dezember 2024

Erste Version.

Multi-Tenant Hybrid-Datensicherheit deaktivieren

Multi-Tenant-HDS-Deaktivierungsaufgabenablauf

Führen Sie diese Schritte aus, um Multi-Tenant-HDS vollständig zu deaktivieren.

Vorbereitungen

Diese Aufgabe sollte nur von einem Partnervolladministrator ausgeführt werden.
1

Entfernen Sie alle Kunden aus allen Ihren Clustern, wie unter Mandantenorganisationen entfernen erwähnt.

2

Widerrufen Sie die CMKs aller Kunden, wie unter CMKs von Tenants, die aus HDS entfernt wurden erwähnt.

3

Entfernen Sie alle Knoten aus all Ihren Clustern, wie unter Einen Knoten entfernen erwähnt.

4

Löschen Sie alle Ihre Cluster aus Partner Hub mithilfe einer der folgenden beiden Methoden.

  • Klicken Sie auf den Cluster, den Sie löschen möchten, und wählen Sie Diesen Cluster löschen in der oberen rechten Ecke der Übersichtsseite.
  • Klicken Sie auf der Seite „Ressourcen“ auf der rechten Seite eines Clusters auf ... und wählen Sie Cluster entfernen aus.
5

Klicken Sie auf der Übersichtsseite zur Hybrid-Datensicherheit auf die Registerkarte Einstellungen und klicken Sie auf der HDS-Statuskarte auf HDS deaktivieren .

Erste Schritte mit der Multi-Tenant-Hybrid-Datensicherheit

Multi-Tenant Hybrid-Datensicherheit – Übersicht

Vom ersten Tag an stand die Datensicherheit im Mittelpunkt der Entwicklung der Webex-App. Der Eckpfeiler dieser Sicherheit ist die durchgängige Verschlüsselung von Inhalten, die durch die Interaktion der Webex-App-Clients mit dem Schlüsselverwaltungsdienst (Key Management Service, KMS) ermöglicht wird. Der KMS erstellt und verwaltet die Kryptografieschlüssel, mit denen die Clients ihre Nachrichten und Dateien dynamisch ver- und entschlüsseln.

Standardmäßig erhalten alle Webex-App-Kunden eine durchgängige Verschlüsselung mit dynamischen Schlüsseln, die im Cloud-KMS im Sicherheitsbereich von Cisco gespeichert werden. Mit Hybrid Data Security werden KMS und andere Sicherheitsfunktionen in das Rechenzentrum Ihres Unternehmens verschoben, damit die Schlüssel zu ihren verschlüsselten Inhalten ausschließlich bei Ihnen liegen.

Multi-Tenant Hybrid Data Security ermöglicht es Unternehmen, HDS über einen vertrauenswürdigen lokalen Partner zu nutzen, der als Dienstleister fungieren und lokale Verschlüsselungs- und andere Sicherheitsdienste verwalten kann. Diese Einrichtung ermöglicht der Partnerorganisation die vollständige Kontrolle über die Bereitstellung und Verwaltung von Verschlüsselungscodes und stellt sicher, dass die Benutzerdaten von Kundenorganisationen vor externem Zugriff geschützt sind. Partnerorganisationen richten HDS-Instanzen ein und erstellen nach Bedarf HDS-Cluster. Im Gegensatz zu einer normalen HDS-Bereitstellung, die auf eine einzelne Organisation beschränkt ist, kann jede Instanz mehrere Kundenorganisationen unterstützen.

Partnerorganisationen haben zwar die Kontrolle über die Bereitstellung und Verwaltung, sie haben jedoch keinen Zugriff auf von Kunden generierte Daten und Inhalte. Dieser Zugriff ist auf Kundenorganisationen und ihre Benutzer beschränkt.

Dadurch können kleinere Organisationen auch HDS nutzen, da Schlüsselverwaltungsdienst und Sicherheitsinfrastruktur wie Rechenzentren im Besitz des vertrauenswürdigen lokalen Partners sind.

So bietet Multi-Tenant Hybrid Data Security Datensouveränität und Datenkontrolle

  • Benutzergenerierte Inhalte sind wie Cloud-Dienstanbieter vor externem Zugriff geschützt.
  • Vertrauenswürdige Partner vor Ort verwalten die Verschlüsselungscodes von Kunden, mit denen sie bereits eine bestehende Beziehung haben.
  • Option für lokalen technischen Support, falls vom Partner bereitgestellt.
  • Unterstützt Meeting-, Messaging- und Calling-Inhalte.

Dieses Dokument soll Partnerorganisationen bei der Einrichtung und Verwaltung von Kunden in einem Multi-Tenant-Hybrid-Datensicherheitssystem unterstützen.

Rollen in der Multi-Tenant-Hybrid-Datensicherheit

  • Partner-Volladministrator – Kann Einstellungen für alle Kunden verwalten, die der Partner verwaltet. Außerdem können Sie bereits vorhandenen Benutzern in der Organisation Administratorrollen zuweisen und bestimmte Kunden für die Verwaltung durch Partneradministratoren zuweisen.
  • Partneradministrator – Kann Einstellungen für Kunden verwalten, die der Administrator bereitgestellt hat oder die dem Benutzer zugewiesen wurden.
  • Volladministrator – Administrator der Partnerorganisation, der berechtigt ist, Aufgaben auszuführen, z. B. die Änderung von Organisationseinstellungen, die Verwaltung von Lizenzen und das Zuweisen von Rollen.
  • Durchgängige Multi-Tenant-HDS-Einrichtung und -Verwaltung aller Kundenorganisationen – Partner-Volladministrator und Volle Administratorrechte erforderlich.
  • Verwaltung zugewiesener Mandanten-Organisationen – Partneradministrator und volle Administratorrechte erforderlich.

Sicherheitsbereichsarchitektur

Die Webex-Cloud-Architektur unterteilt verschiedene Arten von Diensten in separate Bereiche oder Vertrauensdomänen, wie unten dargestellt.

Bereiche der Trennung (ohne Hybrid-Datensicherheit)

Um die Hybrid-Datensicherheit besser zu verstehen, schauen wir uns zunächst diesen reinen Cloud-Fall an, bei dem Cisco alle Funktionen in seinen Cloud-Bereichen bereitstellt. Der Identitätsdienst, der einzige Ort, an dem Benutzer direkt mit ihren persönlichen Informationen in Verbindung gebracht werden können, wie z. B. die E-Mail-Adresse, ist logisch und physisch vom Sicherheitsbereich in Rechenzentrum B getrennt. Er ist wiederum von dem Bereich getrennt, in dem verschlüsselte Inhalte letztendlich gespeichert werden, in Rechenzentrum C.

In diesem Diagramm ist der Client die Webex-App, die auf dem Laptop eines Benutzers ausgeführt wird und sich mit dem Identitätsdienst authentifiziert hat. Wenn der Benutzer eine Nachricht verfasst, die er an einen Bereich senden möchte, finden folgende Schritte statt:

  1. Der Client stellt eine sichere Verbindung zum Schlüsselverwaltungsdienst her, und fordert anschließend einen Schlüssel zum Verschlüsseln der Nachricht an. Die sichere Verbindung verwendet ECDH und der Schlüsselverwaltungsdienst verschlüsselt den Schlüssel mit einem AES-256-Hauptschlüssel.

  2. Die Nachricht wird verschlüsselt, bevor sie den Client verlässt. Der Client sendet sie an den Indexdienst, der verschlüsselte Suchindizes erstellt, um zukünftige Suchvorgänge nach Inhalten zu unterstützen.

  3. Die verschlüsselte Nachricht wird an den Compliancedienst gesendet, damit Complianceprüfungen vorgenommen werden können.

  4. Die verschlüsselte Nachricht wird im Speicherbereich abgelegt.

Wenn Sie die Hybrid-Datensicherheit bereitstellen, verschieben Sie die Sicherheitsbereichsfunktionen (KMS, Indexierung und Compliance) in Ihr lokales Rechenzentrum. Die anderen Cloud-Dienste, aus denen Webex besteht (einschließlich Identitätsspeicher und Inhaltsspeicher), verbleiben in den Bereichen von Cisco.

Zusammenarbeit mit anderen Organisationen

Benutzer in Ihrer Organisation können die Webex-App regelmäßig verwenden, um mit externen Teilnehmern in anderen Organisationen zusammenzuarbeiten. Wenn einer Ihrer Benutzer einen Schlüssel für einen Bereich anfordert, der Ihrer Organisation gehört (da er von einem Ihrer Benutzer erstellt wurde) sendet Ihr Schlüsselverwaltungsdienst den Schlüssel über einen mit ECDH gesicherten Kanal an den Client. Wenn eine andere Organisation jedoch den Schlüssel für den Bereich besitzt, leitet Ihr KMS die Anforderung über einen separaten ECDH-Kanal an die Webex-Cloud weiter, um den Schlüssel vom entsprechenden KMS zu erhalten, und gibt den Schlüssel dann an Ihren Benutzer im ursprünglichen Kanal zurück.

Der KMS-Dienst, der unter Organisation A ausgeführt wird, überprüft die Verbindungen zu KMSs in anderen Organisationen mit x.509-PKI-Zertifikaten. Weitere Informationen zur Erzeugung eines x.509-Zertifikats für die Verwendung mit Ihrer Multi-Tenant-Hybrid-Datensicherheitsbereitstellung finden Sie unter Vorbereiten Ihrer Umgebung .

Erwartungen an die Bereitstellung der Hybrid-Datensicherheit

Eine Bereitstellung der Hybrid-Datensicherheit erfordert ein erhebliches Engagement und ein Bewusstsein für die Risiken, die mit dem Besitz von Verschlüsselungscodes einhergehen.

Zur Bereitstellung der Hybrid-Datensicherheit müssen Sie Folgendes bereitstellen:

Der vollständige Verlust der Konfigurations-ISO, die Sie für Hybrid Data Security erstellen, oder der von Ihnen bereitgestellten Datenbank führt zum Verlust der Schlüssel. Der Schlüsselverlust verhindert, dass Benutzer Bereichsinhalte und andere verschlüsselte Daten in der Webex-App entschlüsseln. Falls dies geschieht, können Sie eine neue Bereitstellung erstellen, es werden dabei jedoch nur neue Inhalte angezeigt. Gehen Sie folgendermaßen vor, damit Sie nicht den Zugriff auf die Daten verlieren:

  • Verwalten Sie die Sicherung und Wiederherstellung der Datenbank und die ISO-Konfigurationsdatei.

  • Bereiten Sie sich darauf vor, eine schnelle Notfallwiederherstellung durchzuführen, wenn eine Katastrophe eintritt, z. B. ein Fehler der Datenbank oder ein Absturz des Rechenzentrums.

Es gibt keinen Mechanismus, um Schlüssel nach einer HDS-Bereitstellung zurück in die Cloud zu verschieben.

Übergeordneter Einrichtungsprozess

Dieses Dokument behandelt die Einrichtung und Verwaltung einer Multi-Tenant-Hybrid-Datensicherheitsbereitstellung:

  • Hybrid-Datensicherheit einrichten – Dazu gehört die Vorbereitung der erforderlichen Infrastruktur und die Installation der Hybrid-Datensicherheitssoftware, der Aufbau eines HDS-Clusters, das Hinzufügen von Tenant-Organisationen zum Cluster und die Verwaltung ihrer Customer Main Keys (CMKs). Damit können alle Benutzer Ihrer Kundenorganisationen Ihr Hybrid-Datensicherheitscluster für Sicherheitsfunktionen verwenden.

    Die Einrichtungs-, Aktivierungs- und Verwaltungsphase werden in den nächsten drei Kapiteln ausführlich behandelt.

  • Aufrechterhaltung Ihrer Hybrid-Datensicherheitsbereitstellung – Die Webex-Cloud stellt automatisch laufende Upgrades bereit. Ihre IT-Abteilung kann Ebene-1-Support anbieten und bei Bedarf den Cisco-Support hinzuziehen. Sie können Benachrichtigungen auf dem Bildschirm verwenden und E-Mail-basierte Warnungen in Partner Hub einrichten.

  • Allgemeine Warnungen, Schritte zur Fehlerbehebung und bekannte Probleme verstehen: Wenn bei der Bereitstellung oder Verwendung von Hybrid-Datensicherheit Probleme auftreten, können Sie das letzte Kapitel dieses Leitfadens und der Anhang „Bekannte Probleme“ bei der Ermittlung und Behebung des Problems helfen.

Bereitstellungsmodell für die Hybrid-Datensicherheit

Im Rechenzentrum Ihres Unternehmens stellen Sie die hybride Datensicherheit als ein Cluster von Knoten auf separaten virtuellen Hosts bereit. Die Knoten kommunizieren mit der Webex Cloud über sichere Websockets und sicheres HTTP.

Während des Installationsvorgangs stellen wir Ihnen die OVA-Datei bereit, mit der Sie die virtuelle Appliance auf den von Ihnen angegebenen VMs einrichten können. Mit dem HDS-Setuptool erstellen Sie eine benutzerdefinierte ISO-Clusterkonfigurationsdatei, die Sie bei den einzelnen Knoten mounten. Der Hybrid-Datensicherheitscluster verwendet den von Ihnen bereitgestellten Syslogd-Server und die PostgreSQL- oder Microsoft SQL Server-Datenbank. (Sie konfigurieren die Syslogd- und Datenbankverbindungsdetails im HDS Setup Tool.)

Bereitstellungsmodell für die Hybrid-Datensicherheit

Die Mindestanzahl von Knoten in einem Cluster lautet zwei. Wir empfehlen mindestens drei pro Cluster. Die Tatsache, dass mehrere Knoten vorhanden sind, stellt sicher, dass der Dienst während eines Software-Upgrades oder anderer Wartungsaktivitäten auf einem Knoten nicht unterbrochen wird. (Die Webex-Cloud aktualisiert jeweils nur einen Knoten.)

Alle Knoten in einem Cluster greifen auf denselben Schlüsseldatenspeicher zu und sie protokollieren Aktivitäten auf demselben Syslog-Server. Die Knoten selbst besitzen keinen Status und verarbeiten Schlüsselanfragen nach dem Round-Robin-Verfahren, wie von der Cloud vorgegeben.

Knoten werden aktiv, wenn Sie sie in Partner Hub registrieren. Um einen einzelnen Knoten zu deaktivieren, können Sie die Registrierung aufheben und ggf. zu einem späteren Zeitpunkt erneut registrieren.

Standby-Rechenzentrum für die Notfallwiederherstellung

Während der Bereitstellung richten Sie ein sicheres Standby-Rechenzentrum ein. Bei einem Absturz des Rechenzentrums können Sie die Bereitstellung manuell auf das Standby-Rechenzentrum umstellen.

Vor dem Failover verfügt Rechenzentrum A über aktive HDS-Knoten und die primäre PostgreSQL- oder Microsoft SQL Server-Datenbank, während B über eine Kopie der ISO-Datei mit zusätzlichen Konfigurationen, in der Organisation registrierte VMs und eine Standby-Datenbank verfügt. Nach dem Failover verfügt Rechenzentrum B über aktive HDS-Knoten und die primäre Datenbank, während A über nicht registrierte VMs und eine Kopie der ISO-Datei verfügt und sich die Datenbank im Standby-Modus befindet.
Manuelles Failover zum Standby-Rechenzentrum

Die Datenbanken der aktiven und Standby-Rechenzentren sind synchronisiert, wodurch die Zeit für die Durchführung des Failovers minimiert wird.

Die aktiven Hybrid-Datensicherheitsknoten müssen sich immer im selben Rechenzentrum wie der aktive Datenbankserver befinden.

Proxy-Support

Die Hybriddatensicherheit unterstützt explizite, transparente Inspektionen und Nichtinspizierungsproxys. Sie können diese Proxys an Ihre Bereitstellung binden, damit Sie den Datenverkehr aus dem Unternehmen heraus in die-Cisco sichern und überwachen können. Sie können eine Netzwerkverwaltung auf den Knoten für Zertifikats-Management verwenden und den Status der gesamten Konnektivität überprüfen, nachdem Sie den Proxy auf den Knoten eingerichtet haben.

Die Hybrid Data Sicherheitshinweis unterstützt die folgenden Proxyoptionen:

  • Kein Proxy: Der Standardwert, wenn Sie nicht die Konfiguration von Vertrauensspeicher und Proxy für die Integration eines Proxys beim Einrichten des HDS-Knotens verwenden. Es ist keine Zertifikatsaktualisierung erforderlich.

  • Transparenter Proxy ohne Prüfung – Die Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert und sollten keine Änderungen erfordern, um mit einem Proxy ohne Prüfung zu arbeiten. Es ist keine Zertifikatsaktualisierung erforderlich.

  • Transparentes Tunneln oder Proxyprüfen: Die Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert. Es sind keine Änderungen bei der Konfigurationänderung von http oder HTTPS Allerdings benötigen die Knoten eine Stammzertifikat, sodass Sie dem Proxy Vertrauen. Die Inspektion von Proxys wird in der Regel von ihm verwendet, um Strategien durchzusetzen, welche Websites besichtigt werden können und welche Arten von Inhalten nicht zulässig sind. Diese Art von Proxy entschlüsselt den gesamten Datenverkehr (auch HTTPS).

  • Expliziter Proxy: Mit explizitem Proxy teilen Sie den HDS-Knoten mit, welcher Proxyserver und welches Authentifizierungsschema verwendet werden sollen. Um einen expliziten Proxy zu konfigurieren, müssen Sie die folgenden Informationen zu den einzelnen Knoten eingeben:

    1. Proxy-IP/FQDN: Adresse, die verwendet werden kann, um die Proxy-Maschine zu erreichen.

    2. Proxy-Port: Eine Portnummer, die der Proxy verwendet, um nach proxyem Datenverkehr zu suchen.

    3. Proxy-Protokoll: Wählen Sie je nachdem, was Ihr Proxy-Server unterstützt, zwischen den folgenden Protokollen aus:

      • – Und steuert alle Anfragen, die der Client sendet.

      • HTTPS – stellt einen Kanal zum Server bereit. Der Client erhält und prüft das Zertifikat des Servers.

    4. Authentifizierungstyp: Wählen Sie aus den folgenden Authentifizierungstypen aus:

      • Keine: Es ist keine weitere Authentifizierung erforderlich.

        Verfügbar, wenn Sie entweder http oder HTTPS als Proxyprotokoll auswählen.

      • Basic – wird für einen HTTP-Benutzeragenten verwendet, um bei einer Anfrage einen Benutzernamen und ein Kennwort anzugeben. Zertifikatsformat verwendet.

        Verfügbar, wenn Sie entweder http oder HTTPS als Proxyprotokoll auswählen.

        Hiermit müssen Sie die Benutzername und das Passwort eines jeden Knotens eingeben.

      • Digest – wird verwendet, um das Konto vor dem Senden sensibler Informationen zu bestätigen. Gibt eine Hashfunktion auf die Benutzername und das Passwort ein, bevor Sie über das Netzwerk senden.

        Nur verfügbar, wenn Sie HTTPS als Proxyprotokoll auswählen.

        Hiermit müssen Sie die Benutzername und das Passwort eines jeden Knotens eingeben.

Beispiel für hybride Datensicherheitsknoten und Proxy

Dieses Diagramm zeigt eine Beispielverbindung zwischen der Hybriddatensicherheit, dem Netzwerk und einem Proxy. Für die transparente Inspektion und HTTPS explizite Überprüfung der Proxyoptionen müssen dieselben Stammzertifikat auf dem Proxy und auf den Hybriden Datensicherheitsknoten installiert sein.

Externer DNS Auflösungsmodus blockiert (explizite Proxykonfigurationen)

Wenn Sie einen Knoten registrieren oder die Proxykonfiguration des Knotens überprüfen, testet das Verfahren die DNS und die Konnektivität der Cisco WebEx. Bei Bereitstellungen mit expliziten Proxykonfigurationen, die keine externe DNS für interne Clients zulassen, wenn der Knoten die DNS-Server nicht Abfragen kann, geht er automatisch in den gesperrten externen DNS-Server. In diesem Modus können Knotenregistrierungen und andere Proxyverbindungstests fortgeführt werden.

Umgebung vorbereiten

Anforderungen für die Multi-Tenant-Hybrid-Datensicherheit

Cisco Webex-Lizenzanforderungen

So stellen Sie Multi-Tenant Hybrid Data Security bereit:

  • Partnerorganisationen: Wenden Sie sich an Ihren Cisco-Partner oder Account Manager und stellen Sie sicher, dass die Multi-Tenant-Funktion aktiviert ist.

  • Mandantenorganisationen: Sie benötigen Pro Pack für Cisco Webex Control Hub. (Siehe https://www.cisco.com/go/pro-pack.)

Docker Desktop-Anforderungen

Bevor Sie Ihre HDS-Knoten installieren, benötigen Sie Docker Desktop, um ein Setup-Programm auszuführen. Docker hat kürzlich sein Lizenzierungsmodell aktualisiert. Ihre Organisation benötigt möglicherweise ein kostenpflichtiges Abonnement für Docker Desktop. Weitere Informationen finden Sie im Docker-Blog-Post: " Docker aktualisiert und erweitert unsere Produktabonnements".

Anforderungen an das X.509-Zertifikat

Diese Zertifikatskette muss die folgenden Anforderungen erfüllen:

Tabelle 1: X.509-Zertifikatsanforderungen für die Hybrid-Datensicherheitsbereitstellung

Anforderung

Details

  • Von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert

Standardmäßig vertrauen wir den Zertifizierungsstellen in der Mozilla-Liste (mit Ausnahme von WoSign und StartCom) unter https://wiki.mozilla.org/CA:IncludedCAs.

  • Trägt einen CN-Domänennamen (Common Name), der Ihre Hybrid-Datensicherheitsbereitstellung identifiziert

  • Ist kein Platzhalterzertifikat

Der CN muss nicht erreichbar und kein Live-Host sein. Wir empfehlen die Verwendung eines Namens, der Ihre Organisation widerspiegelt, z. B. hds.unternehmen.com.

Der CN darf kein * (Platzhalter) enthalten.

Der CN wird verwendet, um die Hybrid-Datensicherheitsknoten für Webex-App-Clients zu verifizieren. Alle Hybrid-Datensicherheitsknoten in Ihrem Cluster verwenden das gleiche Zertifikat. Ihr KMS identifiziert sich selbst unter Verwendung der CN-Domäne, nicht einer beliebigen Domäne, die in den x.509v3-SAN-Feldern definiert ist.

Nachdem Sie einen Knoten mit diesem Zertifikat registriert haben, kann der CN-Domänenname nicht mehr geändert werden.

  • Keine SHA1-Signatur

Die KMS-Software unterstützt keine SHA1-Signaturen zum Validieren von Verbindungen zu KMS anderer Organisationen.

  • Als passwortgeschützte PKCS #12-Datei formatiert

  • Verwenden Sie den Anzeigenamen kms-private-key zum Kennzeichnen des Zertifikats, des privaten Schlüssels und aller Zwischenzertifikate, die hochgeladen werden sollen.

Sie können das Format Ihres Zertifikats mithilfe einer Konvertierungssoftware wie OpenSSL ändern.

Sie müssen das Passwort eingeben, wenn Sie das HDS-Setuptool ausführen.

Die KMS-Software erzwingt keine Schlüsselnutzung und beschränkt erweiterte Schlüsselnutzung nicht. Einige Zertifizierungsstellen erfordern Beschränkungen einer erweiterten Schlüsselnutzung für jedes Zertifikat, wie z. B. Server-Authentifizierung. Die Server-Authentifizierung oder andere Einstellungen zu verwenden, ist zulässig.

Anforderungen für virtuelle Gastgeber

Die virtuellen Hosts, die Sie als Hybrid-Datensicherheitsknoten in Ihrem Cluster einrichten, haben die folgenden Anforderungen:

  • Mindestens zwei separate Hosts (3 empfohlen) befinden sich im gleichen sicheren Rechenzentrum

  • VMware ESXi 6.5 (oder höher) installiert und ausgeführt.

    Sie müssen ein Upgrade durchführen, wenn Sie über eine frühere Version von ESXi verfügen.

  • Mindestens 4 vCPUs, 8 GB Hauptspeicher, 30 GB lokaler Festplattenspeicher pro Server

Datenbankserveranforderungen

Erstellen Sie eine neue Datenbank für die Schlüsselspeicherung. Verwenden Sie nicht die Standarddatenbank. Die HDS-Anwendungen erstellen bei Installation das Datenbankschema.

Für den Datenbankserver gibt es zwei Optionen. Die Anforderungen für jede dieser Komponenten lauten wie folgt:

Tabelle 2. Anforderungen für Datenbankserver nach Datenbanktyp

PostgreSQL

Microsoft SQL-Server

  • PostgreSQL 14, 15 oder 16, installiert und ausgeführt.

  • SQL Server 2016, 2017 oder 2019 (Enterprise oder Standard) installiert.

    SQL Server 2016 erfordert Service Pack 2 und kumulatives Update 2 oder höher.

Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichend Festplattenkapazität und Überwachung zur Sicherstellung, dass dieser nicht überschritten wird (2 TB empfohlen, falls die Datenbank über längere Zeit ohne Erweiterung der Festplattenkapazität ausgeführt werden soll)

Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichend Festplattenkapazität und Überwachung zur Sicherstellung, dass dieser nicht überschritten wird (2 TB empfohlen, falls die Datenbank über längere Zeit ohne Erweiterung der Festplattenkapazität ausgeführt werden soll)

Die HDS-Software installiert derzeit die folgenden Treiberversionen für die Kommunikation mit dem Datenbankserver:

PostgreSQL

Microsoft SQL-Server

Der Treiber Postgres JDBC 42.2.5

SQL Server JDBC-Treiber 4.6

Diese Treiberversion unterstützt SQL Server Always On (Always On Failover Cluster Instances und Always On-Verfügbarkeitsgruppen).

Zusätzliche Anforderungen für die Windows-Authentifizierung gegen Microsoft SQL Server

Wenn Sie möchten, dass HDS-Knoten die Windows-Authentifizierung verwenden, um Zugriff auf Ihre Keystore-Datenbank auf Microsoft SQL Server zu erhalten, benötigen Sie die folgende Konfiguration in Ihrer Umgebung:

  • Die HDS-Knoten, die Active Directory-Infrastruktur und der MS SQL Server müssen alle mit dem NTP synchronisiert werden.

  • Das Windows-Konto, das Sie auf HDS-Knoten bereitstellen, muss Lese-/Schreibzugriff auf die Datenbank haben.

  • Die DNS-Server, die Sie für HDS-Knoten bereitstellen, müssen in der Lage sein, Ihr Key Distribution Center (KDC) aufzulösen.

  • Sie können die HDS-Datenbankinstanz auf Ihrem Microsoft SQL Server als Service Principal Name (SPN) in Ihrem Active Directory registrieren. Siehe Registrieren eines Dienstprinzipalnamens für Kerberos-Verbindungen.

    Das HDS-Setup-Tool, der HDS-Launcher und das lokale KMS müssen für den Zugriff auf die Keystore-Datenbank die Windows-Authentifizierung verwenden. Sie verwenden die Details aus Ihrer ISO-Konfiguration, um die SPN zu konstruieren, wenn sie den Zugriff mit der Kerberos-Authentifizierung anfordern.

Anforderungen an externe Konnektivität

Konfigurieren Sie Ihre Firewall so, dass die folgende Konnektivität für die HDS-Anwendungen zugelassen ist:

Anwendung

Protokoll

Port

Richtung von der App

Ziel

Hybrid-Datensicherheitsknoten

TCP

443

Ausgehend HTTPS und WSS

  • Webex-Server:

    • *.wbx2.com

    • *.ciscospark.com

  • Alle Common Identity-Hosts

  • Weitere URLs, die für die Hybrid-Datensicherheit in der Tabelle Zusätzliche URLs für Webex-Hybriddienste unter Netzwerkanforderungen für Webex-Dienste aufgeführt sind

HDS-Einrichtungstool

TCP

443

Ausgehendes HTTPS

  • *.wbx2.com

  • Alle Common Identity-Hosts

  • hub.docker.com

Die Hybrid-Datensicherheitsknoten funktionieren mit NAT (Network Access Translation) oder hinter einer Firewall, solange NAT oder Firewall die erforderlichen ausgehenden Verbindungen zu den in der vorangehenden Tabelle aufgeführten Domänenzielen zulässt. Für eingehende Verbindungen zu den Hybrid-Datensicherheitsknoten sollten keine Ports aus dem Internet sichtbar sein. In Ihrem Rechenzentrum benötigen Clients aus administrativen Gründen Zugriff auf die Hybrid-Datensicherheitsknoten auf den TCP-Ports 443 und 22.

Die URLs für die CI-Hosts (Common Identity) sind regionsspezifisch. Dies sind die aktuellen CI-Hosts:

Region

Host-URLs der allgemeinen Identität

Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Europäische Union

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Vereinigte Arabische Emirate

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Vorgaben für Proxy-Server

  • Wir unterstützen offiziell die folgenden Proxylösungen, die in ihre Hybriden Sicherheitsknoten integriert werden können.

    • Transparenter Proxy – Cisco Web Sicherheitsgerät (WSA).

    • Explizite –.

      Squid-Proxys, die den HTTPS-Datenverkehr untersuchen, können die Einrichtung von Websocket-Verbindungen (wss:) beeinträchtigen. Informationen zur Behebung dieses Problems finden Sie unter Konfigurieren von Squid-Proxys für Hybrid-Datensicherheit.

  • Wir unterstützen die folgenden Authentifizierungskombinationen für explizite Proxys:

    • Keine Authentifizierung mit http oder HTTPS

    • Grundlegende Authentifizierung mit http oder HTTPS

    • Verdauungsauthentifizierung nur mit HTTPS

  • Um einen transparenten Proxy oder einen HTTPS expliziten Proxy zu erhalten, müssen Sie eine Kopie des Stammzertifikat des Stellvertreters besitzen. Die Bereitstellungsanweisungen in diesem Handbuch zeigen Ihnen, wie Sie die Kopie in die Vertrauensspeicher der Hybriden Datensicherheitsknoten hochladen können.

  • Das Netzwerk, das die HDS Nodes hostet, muss so konfiguriert sein, dass es den ausgehenden TCP Traffic auf Port 443 durch den Proxy zwingt

  • Proxys, die den Webverkehr inspizieren, können die Websteckverbindung beeinträchtigen. Wenn dieses Problem auftritt, wird das Problem durch Umgehung des Datenverkehrs zu wbx2.com und ciscospark.com gelöst.

Erfüllen der Voraussetzungen für die Hybrid-Datensicherheit

Stellen Sie mit dieser Checkliste sicher, dass Sie bereit für die Installation und Konfiguration Ihres Hybrid-Datensicherheitsclusters sind.
1

Stellen Sie sicher, dass Ihre Partnerorganisation die Multi-Tenant-HDS-Funktion aktiviert hat, und sichern Sie sich die Anmeldeinformationen für ein Konto mit vollen Partneradministratorrechten und vollen Administratorrechten. Stellen Sie sicher, dass Ihre Webex-Kundenorganisation für Pro Pack für Cisco Webex Control Hub aktiviert ist. Wenden Sie sich an Ihren Cisco-Partner oder an Ihren Account Manager, falls Sie Hilfe bei diesem Verfahren benötigen.

Kundenorganisationen sollten keine vorhandene HDS-Bereitstellung haben.

2

Wählen Sie einen Domänennamen für Ihre HDS-Bereitstellung (z. B. hds.company.com) aus und rufen Sie eine Zertifikatskette ab, die ein X.509-Zertifikat, einen privaten Schlüssel und alle Zwischenzertifikate enthält. Die Zertifikatskette muss die Anforderungen in X.509-Zertifikatsanforderungen erfüllen.

3

Bereiten Sie identische virtuelle Hosts vor, die Sie als Hybrid-Datensicherheitsknoten in Ihrem Cluster einrichten werden. Sie benötigen mindestens zwei separate Hosts (3 empfohlen), die sich im selben sicheren Rechenzentrum befinden und die Anforderungen unter Anforderungen für virtuelle Hosts erfüllen.

4

Bereiten Sie den Datenbankserver vor, der als Schlüsseldatenspeicher für den Cluster dient, gemäß den Anforderungen für den Datenbankserver. Der Datenbankserver muss sich im sicheren Rechenzentrum mit den virtuellen Hosts befinden.

  1. Erstellen Sie eine Datenbank für die Schlüsselspeicherung. (Sie müssen diese Datenbank erstellen. Verwenden Sie nicht die Standarddatenbank. Die HDS-Anwendungen erstellen bei Installation das Datenbankschema.)

  2. Sammeln Sie die Informationen, die die Knoten zur Kommunikation mit dem Datenbankserver benötigen:

    • Der Hostname oder die IP-Adresse (Host) und der Port

    • Der Name der Datenbank (dbname) zur Schlüsselspeicherung

    • Der Benutzername und das Kennwort eines Benutzers mit allen Rechten in der Schlüsseldatenbank

5

Richten Sie für eine schnelle Notfallwiederherstellung eine Backup-Umgebung in einem anderen Rechenzentrum ein. Die Backup-Umgebung spiegelt die Produktionsumgebung von VMs und eines Backup-Datenbankservers wider. Wenn beispielsweise in der Produktion 3 VMs HDS-Knoten ausführen, sollte die Backup-Umgebung 3 VMs haben.

6

Richten Sie einen syslog-Host ein, um Protokolle aus den Knoten im Cluster zu sammeln. Dokumentieren Sie dessen Netzwerkadresse und syslog-Port (Standard ist UDP 514).

7

Erstellen Sie eine sichere Backup-Richtlinie für die Hybrid-Datensicherheitsknoten, den Datenbankserver und den Syslog-Host. Um einen nicht behebbaren Datenverlust zu vermeiden, müssen Sie mindestens die Datenbank und die für die Hybrid-Datensicherheitsknoten generierte Konfigurations-ISO-Datei sichern.

Da auf den Hybrid-Datensicherheitsknoten die für die Ver- und Entschlüsselung von Inhalten verwendeten Schlüssel gespeichert werden, führt das Versäumnis, eine betriebliche Bereitstellung aufrechtzuerhalten, zum NICHT BEHEBBAREN VERLUST dieser Inhalte.

Webex-App-Clients speichern ihre Schlüssel im Zwischenspeicher, sodass ein Ausfall möglicherweise nicht sofort spürbar ist, aber mit der Zeit offensichtlich wird. Vorübergehende Ausfälle sind unvermeidlich, aber behebbar. Bei einem vollständigen Verlust (keine Backups verfügbar) entweder der Datenbank oder der ISO-Konfigurationsdatei gehen jedoch Kundendaten unwiederbringlich verloren. Von den Betreibern der Hybrid-Datensicherheitsknoten wird erwartet, dass sie häufige Sicherungen der Datenbank und der Konfigurations-ISO-Datei erstellen und im Falle eines katastrophalen Ausfalls das Rechenzentrum für die Hybrid-Datensicherheit neu erstellen.

8

Stellen Sie sicher, dass Ihre Firewall-Konfiguration eine Verbindung für Ihre Hybrid-Datensicherheitsknoten ermöglicht, wie unter Externe Verbindungsanforderungen beschrieben.

9

Installieren Sie Docker ( https://www.docker.com) auf jedem lokalen Computer, auf dem ein unterstütztes Betriebssystem ausgeführt wird (Microsoft Windows 10 Professional, Enterprise 64-Bit oder Mac OSX Yosemite 10.10.3 oder höher) und ein Webbrowser, der unter http://127.0.0.1:8080. darauf zugreifen kann.

Mit der Docker-Instanz können Sie das HDS Setup Tool herunterladen und ausführen, das die lokalen Konfigurationsinformationen für alle Hybrid-Datensicherheitsknoten erstellt. Möglicherweise benötigen Sie eine Docker Desktop-Lizenz. Weitere Informationen finden Sie unter Anforderungen für Docker Desktop .

Um das HDS Setup Tool zu installieren und auszuführen, muss der lokale Computer über die unter Anforderungen an externe Konnektivität beschriebenen Konnektivität verfügen.

10

Wenn Sie einen Proxy mit Hybrid Data Security integrieren, stellen Sie sicher, dass er die Anforderungen für den Proxy-Server erfüllt.

Hybrid-Datensicherheitscluster einrichten

Ablauf der Bereitstellungsaufgabe für die Hybrid-Datensicherheit

Vorbereitungen

1

Erste Einrichtung durchführen und Installationsdateien herunterladen

Laden Sie die OVA-Datei für eine spätere Verwendung auf Ihren lokalen Computer herunter.

2

Erstellen einer ISO-Konfigurationsdatei für die HDS-Hosts

Erstellen Sie mit dem HDS Setup Tool eine ISO-Konfigurationsdatei für die Hybrid-Datensicherheitsknoten.

3

Installieren des HDS Host OVA

Erstellen Sie eine virtuelle Maschine aus der OVA-Datei und führen Sie eine erste Konfiguration durch, z. B. Netzwerkeinstellungen.

Die Option zum Konfigurieren der Netzwerkeinstellungen während der OVA-Bereitstellung wurde mit ESXi 6.5 getestet. In früheren Versionen ist diese Option möglicherweise nicht verfügbar.

4

Einrichten der Hybrid-Datensicherheits-VM

Melden Sie sich bei der VM-Konsole an und legen Sie die Anmeldeinformationen fest. Konfigurieren Sie die Netzwerkeinstellungen für den Knoten, falls Sie diese bei der OVA-Bereitstellung nicht konfiguriert haben.

5

Hochladen und Mounten der HDS-Konfigurations-ISO

Konfigurieren Sie die VM aus der ISO-Konfigurationsdatei, die Sie mit dem HDS Setup Tool erstellt haben.

6

Konfigurieren des HDS Knotens für Proxyintegration

Wenn für die Netzwerkumgebung eine Proxy-Konfiguration erforderlich ist, geben Sie den Proxy-Typ an, den Sie für den Knoten verwenden möchten, und fügen Sie das Proxy-Zertifikat ggf. zum Vertrauensspeicher hinzu.

7

Ersten Knoten im Cluster registrieren

Registrieren Sie die VM in der Cisco Webex Cloud als Hybrid-Datensicherheitsknoten.

8

Weitere Knoten erstellen und registrieren

Schließen Sie die Cluster-Einrichtung ab.

9

Aktivieren Sie Multi-Tenant-HDS in Partner Hub.

Aktivieren Sie HDS und verwalten Sie Mandantenorganisationen in Partner Hub.

Erste Einrichtung durchführen und Installationsdateien herunterladen

Bei dieser Aufgabe laden Sie eine OVA-Datei auf Ihren Computer herunter (nicht auf die Server, die Sie als Hybrid-Datensicherheitsknoten eingerichtet haben). Sie können diese Datei zu einem späteren Zeitpunkt im Installationsprozess verwenden.

1

Melden Sie sich bei Partner Hub an und klicken Sie auf Dienste.

2

Suchen Sie im Abschnitt „Cloud-Dienste“ nach der Hybrid-Datensicherheitskarte und klicken Sie auf Einrichten.

3

Klicken Sie auf Ressource hinzufügen und dann auf OVA-Datei herunterladen auf der Karte Software installieren und konfigurieren .

Ältere Versionen des Softwarepakets (OVA) sind mit den neuesten Upgrades für die Hybrid-Datensicherheit nicht kompatibel. Dies kann zu Problemen beim Upgrade der Anwendung führen. Stellen Sie sicher, dass Sie die neueste Version der OVA-Datei herunterladen.

Sie können die OVA auch jederzeit im Abschnitt Hilfe herunterladen. Klicken Sie auf Einstellungen > Hilfe > Hybrid-Datensicherheitssoftware herunterladen.

Der Download der OVA-Datei beginnt automatisch. Speichern Sie die Datei auf Ihrem Computer.
4

Klicken Sie optional auf Bereitstellungsleitfaden zur Hybrid-Datensicherheit anzeigen , um zu überprüfen, ob eine spätere Version dieses Leitfadens verfügbar ist.

Erstellen einer ISO-Konfigurationsdatei für die HDS-Hosts

Beim Einrichtungsprozess für die Hybrid-Datensicherheit wird eine ISO-Datei erstellt. Anschließend verwenden Sie die ISO, um Ihren Hybrid-Datensicherheitshost zu konfigurieren.

Vorbereitungen
1

Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

In regulären Umgebungen:

docker rmi ciscocitg/hds-setup:stabil

In FedRAMP-Umgebungen:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

2

Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

Docker Anmeldung -u hdscustomersro
3

Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

In regulären Umgebungen:

docker pull ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

  • In regulären Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In FedRAMP-Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express-Server hören auf Port 8080) sehen.

6

Das Setup-Tool unterstützt die Verbindung zu localhost über http://localhost:8080 nicht. Verwenden Sie http://127.0.0.1:8080 , um eine Verbindung zum Localhost herzustellen.

Navigieren Sie in einem Webbrowser zum Localhost, http://127.0.0.1:8080, und geben Sie bei Aufforderung den Admin-Benutzernamen für Partner Hub ein.

Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto festzulegen. Das Tool zeigt dann die Standard-Anmeldeaufforderung an.

7

Wenn Sie dazu aufgefordert werden, geben Sie Ihre Partner Hub-Administratoranmeldeinformationen ein und klicken Sie dann auf Anmelden , um den Zugriff auf die für die Hybrid-Datensicherheit erforderlichen Dienste zu erlauben.

8

Klicken Sie auf der Übersichtsseite des Setup Tool auf Get Started (Erste Schritte).

9

Auf der Seite ISO-Import stehen Ihnen folgende Optionen zur Verfügung:

  • Nein – Wenn Sie Ihren ersten HDS-Knoten erstellen, müssen Sie keine ISO-Datei hochladen.
  • Ja: Wenn Sie bereits HDS-Knoten erstellt haben, wählen Sie Ihre ISO-Datei im Browse aus und laden Sie sie hoch.
10

Überprüfen Sie, ob Ihr X.509-Zertifikat die Anforderungen in X.509-Zertifikatsanforderungen erfüllt.

  • Wenn Sie noch nie ein Zertifikat hochgeladen haben, laden Sie das X.509-Zertifikat hoch, geben Sie das Passwort ein und klicken Sie auf Weiter.
  • Wenn Ihr Zertifikat in Ordnung ist, klicken Sie auf Weiter.
  • Wenn Ihr Zertifikat abgelaufen ist oder Sie es ersetzen möchten, wählen Sie Nein für Weiterhin HDS-Zertifikatskette und privaten Schlüssel aus vorheriger ISO verwenden? aus. Laden Sie ein neues X.509-Zertifikat hoch, geben Sie das Passwort ein und klicken Sie auf Weiter.
11

Geben Sie die Datenbankadresse und das Konto für HDS ein, um auf Ihren Schlüsseldatenspeicher zuzugreifen:

  1. Wählen Sie Ihren Datenbanktyp (PostgreSQL oder Microsoft SQL Server) aus.

    Wenn Sie Microsoft SQL Server auswählen, wird das Feld „Authentifizierungstyp“ angezeigt.

  2. (Nur Microsoft SQL Server ) Wählen Sie Ihren Authentifizierungstyp aus:

    • Basisauthentifizierung: Sie benötigen einen lokalen SQL-Server-Kontonamen im Feld Benutzername .

    • Windows-Authentifizierung: Sie benötigen ein Windows-Konto im Format Benutzername@DOMÄNE im Feld Benutzername .

  3. Geben Sie die Adresse des Datenbankservers im Format : oder : ein.

    Beispiel:
    dbhost.example.org:1433 oder 198.51.100.17:1433

    Sie können eine IP-Adresse für die Basisauthentifizierung verwenden, wenn die Knoten nicht DNS zur Auflösung des Hostnamens verwenden können.

    Wenn Sie die Windows-Authentifizierung verwenden, müssen Sie einen vollständig qualifizierten Domänennamen im Format dbhost.example.org:1433 eingeben.

  4. Geben Sie den Datenbanknamen ein.

  5. Geben Sie den Benutzernamen und das Kennwort eines Benutzers mit allen Berechtigungen in der Schlüsselspeicherdatenbank ein.

12

Wählen Sie einen TLS-Datenbankverbindungsmodus aus:

Modus

Beschreibung

TLS bevorzugen (Standardoption)

HDS-Knoten benötigen kein TLS, um eine Verbindung zum Datenbankserver herzustellen. Wenn Sie TLS auf dem Datenbankserver aktivieren, versuchen die Knoten eine verschlüsselte Verbindung.

TLS erforderlich

HDS-Knoten verbinden sich nur, wenn der Datenbankserver TLS aushandeln kann.

TLS erforderlich und Zertifikat signer überprüfen

Dieser Modus gilt nicht für SQL Server-Datenbanken.

  • HDS-Knoten verbinden sich nur, wenn der Datenbankserver TLS aushandeln kann.

  • Nach dem Herstellen einer TLS-Verbindung vergleicht der Knoten den Unterzeichner des Zertifikats vom Datenbankserver mit der Zertifizierungsstelle im Datenbank-Stammzertifikat. Wenn sie nicht übereinstimmen, wird die Verbindung durch den Knoten hergestellt.

Verwenden Sie die Stammzertifikat-Steuerung unterhalb des Dropdown-Dropdowns, um den Stammzertifikat Option hochzuladen.

TLS erforderlich und Zertifikats signer und Hostname überprüfen

  • HDS-Knoten verbinden sich nur, wenn der Datenbankserver TLS aushandeln kann.

  • Nach dem Herstellen einer TLS-Verbindung vergleicht der Knoten den Unterzeichner des Zertifikats vom Datenbankserver mit der Zertifizierungsstelle im Datenbank-Stammzertifikat. Wenn sie nicht übereinstimmen, wird die Verbindung durch den Knoten hergestellt.

  • Die Knoten überprüfen außerdem, ob der Host-Name im Serverzertifikat mit dem Host-Namen im Feld Datenbank-Host und Port übereinstimmt. Die Namen müssen genau mit den Namen übereinstimmen, oder der Knoten unterfällt die Verbindung.

Verwenden Sie die Stammzertifikat-Steuerung unterhalb des Dropdown-Dropdowns, um den Stammzertifikat Option hochzuladen.

Wenn Sie das Stammzertifikat hochladen (falls erforderlich) und auf Weiter klicken, testet das HDS Setup Tool die TLS-Verbindung zum Datenbankserver. Das Tool überprüft auch den Zertifikat signer und den Hostnamen, falls vorhanden. Wenn ein Test fehlschlägt, zeigt das Tool eine Fehlermeldung an, in der das Problem beschrieben wird. Sie können auswählen, ob Sie den Fehler ignorieren und mit der Einrichtung fortfahren möchten. (Aufgrund von Verbindungsunterschieden können die HDS-Knoten möglicherweise eine TLS-Verbindung herstellen, auch wenn das HDS Setup Tool diese nicht erfolgreich testen kann.)

13

Konfigurieren Sie auf der Seite Systemprotokolle Ihren Syslogd-Server:

  1. Geben Sie die URL des Syslog-Servers ein.

    Wenn der Server nicht über die Knoten für Ihr HDS-Cluster DNS-aufgelöst werden kann, verwenden Sie eine IP-Adresse in der URL.

    Beispiel:
    udp://10.92.43.23:514 zeigt die Protokollierung auf dem Syslogd-Host 10.92.43.23 auf UDP-Port 514 an.

  2. Wenn Sie Ihren Server für die Verwendung der TLS-Verschlüsselung einrichten, aktivieren Sie das Kontrollkästchen Ist Ihr Syslog-Server für die SSL-Verschlüsselung konfiguriert?.

    Wenn Sie dieses Kontrollkästchen aktivieren, stellen Sie sicher, dass Sie eine TCP-URL eingeben, z. B. tcp://10.92.43.23:514.

  3. Wählen Sie in der Dropdown-Liste Syslog-Aufzeichnungsbeendigung auswählen die entsprechende Einstellung für Ihre ISO-Datei aus: Choose or NewLine wird für Graylog und Rsyslog TCP verwendet

    • Null-Byte -- \x00

    • Neue Zeile – \n – Wählen Sie diese Auswahl für Graylog und Rsyslog TCP.

  4. Klicken Sie auf Weiter.

14

(Optional) Sie können den Standardwert für einige Datenbankverbindungsparameter unter Erweiterte Einstellungen ändern. Im Allgemeinen ist dieser Parameter der einzige, den Sie ändern möchten:

app_datasource_connection_pool_maxGröße: 10
15

Klicken Sie im Bildschirm Kennwort für Dienstkonten zurücksetzen auf Weiter .

Passwörter für Dienstkonten haben eine Lebensdauer von neun Monaten. Verwenden Sie diesen Bildschirm, wenn Ihre Passwörter bald ablaufen oder Sie sie zurücksetzen möchten, um frühere ISO-Dateien ungültig zu machen.

16

Klicken Sie auf Download ISO File (ISO-Datei herunterladen). Speichern Sie die Datei an einem leicht auffindbaren Speicherort.

17

Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System.

Sichern Sie die Sicherungskopie sicher. Die Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff auf Administratoren für Hybrid-Datensicherheit, die Konfigurationsänderungen vornehmen sollten.

18

Um das Setup Tool herunterzufahren, tippen Sie STRG+C ein.

Nächste Schritte

Sichern Sie die ISO-Konfigurationsdatei. Sie benötigen sie, um weitere Knoten für die Wiederherstellung zu erstellen oder Konfigurationsänderungen vorzunehmen. Wenn Sie alle Kopien der ISO-Datei verlieren, haben Sie auch den Hauptschlüssel verloren. Die Schlüssel aus Ihrer PostgreSQL- oder Microsoft SQL Server-Datenbank können nicht wiederhergestellt werden.

Wir haben nie eine Kopie dieses Schlüssels und können nicht helfen, wenn Sie ihn verlieren.

Installieren des HDS Host OVA

Verwenden Sie dieses Verfahren, um eine virtuelle Maschine aus der OVA-Datei zu erstellen.
1

Melden Sie sich über den VMware vSphere-Client auf Ihrem Computer bei dem ESXi virtuellen Host an.

2

Wählen Sie Datei > OVF-Vorlage bereitstellen aus.

3

Geben Sie im Assistenten den Speicherort der OVA-Datei an, die Sie zuvor heruntergeladen haben, und klicken Sie auf Weiter.

4

Geben Sie auf der Seite Name und Ordner auswählen einen Namen der virtuellen Maschine für den Knoten ein (z. B. „HDS_Node_1“), wählen Sie einen Ort aus, an dem sich die Knotenbereitstellung der virtuellen Maschine befinden kann, und klicken Sie auf Weiter.

5

Wählen Sie auf der Seite Berechnungsressource auswählen die Ziel-Berechnungsressource aus, und klicken Sie auf Weiter.

Eine Validierungsprüfung wird ausgeführt. Nach Abschluss werden die Vorlagendetails angezeigt.

6

Überprüfen Sie die Vorlagendetails, und klicken Sie dann auf Weiter.

7

Wenn Sie aufgefordert werden, die Ressourcenkonfiguration auf der Seite Konfiguration auszuwählen, klicken Sie auf 4 CPU und dann auf Weiter.

8

Klicken Sie auf der Seite Speicher auswählen auf Weiter , um das standardmäßige Festplattenformat und die VM-Speicherrichtlinie zu akzeptieren.

9

Wählen Sie auf der Seite Netzwerke auswählen die Netzwerkoption aus der Liste der Einträge aus, um die gewünschte Konnektivität für die VM bereitzustellen.

10

Konfigurieren Sie auf der Seite Vorlage anpassen die folgenden Netzwerkeinstellungen:

  • Host-Name: Geben Sie den FQDN (Host-Name und Domäne) oder ein Wort des Host-Namens für den Knoten ein.

    • Sie müssen die Domäne nicht auf die Domäne ändern, über die Sie das X.509-Zertifikat erhalten haben.

    • Um eine erfolgreiche Registrierung in der Cloud sicherzustellen, verwenden Sie im FQDN oder dem Hostnamen, den Sie für den Knoten festgelegt haben, nur Kleinbuchstaben. Großbuchstaben werden derzeit nicht unterstützt.

    • Der FQDN darf insgesamt nicht länger als 64 Zeichen sein.

  • IP-Adresse: Geben Sie die IP-Adresse für die interne Schnittstelle des Knotens ein.

    Ihr Knoten hat jetzt eine interne IP-Adresse und einen DNS-Namen. DHCP wird nicht unterstützt.

  • Maske: Geben Sie die Adresse der Subnetzmaske in Punkt-Dezimalschrift ein. Beispiel: 255.255.255.0.
  • Gateway: Geben Sie die Gateway-IP-Adresse ein. Ein Gateway ist ein Netzwerkknoten, der als Zugangspunkt zu einem anderen Netzwerk dient.
  • DNS-Server: Geben Sie eine durch Kommas getrennte Liste von DNS-Servern ein, die die Übersetzung von Domänennamen in numerische IP-Adressen verarbeiten. (Es sind bis zu 4 DNS-Einträge zulässig.)
  • NTP-Server – Geben Sie den NTP-Server Ihrer Organisation oder einen anderen externen NTP-Server ein, der in Ihrer Organisation verwendet werden kann. Die Standard-NTP-Server funktionieren möglicherweise nicht für alle Unternehmen. Sie können auch eine durch Kommas getrennte Liste verwenden, um mehrere NTP-Server einzugeben.

  • Stellen Sie alle Knoten im selben Subnetz oder VLAN bereit, damit alle Knoten in einem Cluster zu Verwaltungszwecken von Clients in Ihrem Netzwerk aus erreichbar sind.

Wenn Sie dies vorziehen, können Sie die Konfiguration der Netzwerkeinstellungen überspringen und die Schritte unter Einrichten der Hybrid-Datensicherheit-VM befolgen, um die Einstellungen über die Knotenkonsole zu konfigurieren.

Die Option zum Konfigurieren der Netzwerkeinstellungen während der OVA-Bereitstellung wurde mit ESXi 6.5 getestet. In früheren Versionen ist diese Option möglicherweise nicht verfügbar.

11

Klicken Sie mit der rechten Maustaste auf die Knoten-VM, und wählen Sie Ein/Aus > Einschalten.

Die Hybrid-Datensicherheitssoftware wird als Gast auf dem VM-Host installiert. Sie können sich jetzt bei der Konsole anmelden und den Knoten konfigurieren.

Leitfaden zur Fehlerbehebung

Es kann zu einer Verzögerung von einigen Minuten kommen, bis die Knotencontainer angezeigt werden. Beim erstmaligen Start wird eine Bridge-Firewall-Nachricht angezeigt, während der Sie sich anmelden können.

Einrichten der Hybrid-Datensicherheits-VM

Mit diesem Verfahren können Sie sich zum ersten Mal bei der VM-Konsole des Hybrid-Datensicherheitsknotens anmelden und die Anmeldeinformationen festlegen. Sie können auch die Konsole verwenden, um die Netzwerkeinstellungen für den Knoten zu konfigurieren, falls Sie diese bei der OVA-Bereitstellung nicht konfiguriert haben.

1

Wählen Sie im VMware vSphere-Client, Ihre Hybrid-Datensicherheitsknoten-VM und daraufhin die Registerkarte Console (Konsole) aus.

Die VM fährt hoch und ein Anmeldebildschirm erscheint. Drücken Sie die Eingabetaste, falls der Anmeldebildschirm nicht angezeigt wird.
2

Verwenden Sie den folgenden Standard-Anmeldenamen und das Standardkennwort, um sich anzumelden und die Anmeldedaten zu ändern:

  1. Benutzername: admin

  2. Passwort: Cisco

Da Sie sich zum ersten Mal bei der VM anmelden, müssen Sie das Administratorkennwort ändern.

3

Wenn Sie die Netzwerkeinstellungen bereits unter Installieren der HDS-Host-OVA konfiguriert haben, überspringen Sie den Rest dieses Verfahrens. Wählen Sie andernfalls im Hauptmenü die Option Konfiguration bearbeiten aus.

4

Richten Sie eine statische Konfiguration ein und geben Sie die Daten für IP-Adresse, Maske, Gateway und DNS ein. Ihr Knoten hat jetzt eine interne IP-Adresse und einen DNS-Namen. DHCP wird nicht unterstützt.

5

(Optional) Ändern Sie die Werte für Hostname, Domäne oder NTP-Server, wenn dies gemäß Ihren Netzwerkrichtlinien erforderlich ist.

Sie müssen die Domäne nicht auf die Domäne ändern, über die Sie das X.509-Zertifikat erhalten haben.

6

Speichern Sie die Netzwerkkonfiguration und starten Sie die VM neu, damit die Änderungen in Kraft treten.

Hochladen und Mounten der HDS-Konfigurations-ISO

Verwenden Sie dieses Verfahren, um die virtuelle Maschine über die ISO-Datei, die Sie mit dem HDS Setup Tool erstellt haben, zu konfigurieren.

Vorbereitungen

Da die ISO-Datei den Hauptschlüssel enthält, sollte sie nur auf Basis eines "Need-to-Know"-Basis zugänglich gemacht werden, für den Zugriff durch die Hybrid Data Security-VMs und alle Administratoren, die möglicherweise Änderungen vornehmen müssen. Stellen Sie sicher, dass nur diese Administratoren Zugriff auf den Datenspeicher haben.

1

Laden Sie die ISO-Datei von Ihrem Computer hoch:

  1. Klicken Sie im linken Navigationsbereich des VMware vSphere Client auf den ESXi-Server.

  2. Klicken Sie in der Hardwareliste der Registerkarte „Configuration“ (Konfiguration) auf Storage (Speicher).

  3. Rechtsklicken Sie in der Datenspeicher-Liste auf den Datenspeicher Ihrer VMs. Klicken Sie daraufhin auf Browse Datastore (Datenspeicher durchsuchen).

  4. Klicken Sie auf das Symbol „Upload Files“ (Dateien hochladen) und daraufhin auf Upload File (Datei hochladen).

  5. Navigieren Sie zum Speicherort der ISO-Datei auf Ihrem Computer und klicken Sie auf Open (Öffnen).

  6. Klicken Sie auf Yes (Ja), um die Upload/Download-Warnung zu bestätigen und schließen Sie den Datenspeicherdialog.

2

Mounten Sie die ISO-Datei:

  1. Rechtsklicken Sie im linken Navigationsbereich des VMware vSphere Client auf die VM. Klicken Sie daraufhin auf Edit Settings (Einstellungen bearbeiten).

  2. Klicken Sie auf OK, um die Warnung zu eingeschränkten Optionen zu bestätigen.

  3. Klicken Sie auf CD/DVD-Laufwerk 1, wählen Sie die Option zum Mounten einer Datenspeicher-ISO-Datei aus und navigieren Sie zu dem Speicherort, zu dem Sie die ISO-Konfigurationsdatei hochgeladen haben.

  4. Aktivieren Sie die Kontrollkästchen Connected (Verbunden) und Connect at power on (Beim Einschalten verbinden).

  5. Speichern Sie Ihre Änderungen und starten Sie die virtuelle Maschine neu.

Nächste Schritte

Wenn Ihre IT-Richtlinie dies erfordert, können Sie optional die ISO-Datei unmounten, nachdem alle Knoten die Konfigurationsänderungen übernommen haben. Weitere Informationen finden Sie unter (Optional) ISO nach HDS-Konfiguration unmounten .

Konfigurieren des HDS Knotens für Proxyintegration

Wenn die Netzwerkumgebung einen Proxy erfordert, geben Sie mit diesem Vorgang den Typ des Proxy an, den Sie in die Hybriddatensicherheit integrieren möchten. Wenn Sie einen transparenten Anrufproxy oder einen HTTPS expliziten Proxy wählen, können Sie die Stammzertifikat über die Schnittstelle des Knotens hochladen und installiert werden. Sie können auch die Proxyverbindung über die Schnittstelle überprüfen und mögliche Probleme beheben.

Vorbereitungen

1

Geben Sie den HDS Knoten Setup URL https://[HDS Node IP oder FQDN]/Setup in einem Webbrowser ein, geben Sie die Administrationsdaten ein, die Sie für den Knoten eingerichtet haben, und klicken Sie dann auf Anmelden.

2

Gehen Sie zu Trust Store & Proxyund wählen Sie dann eine Option:

  • Kein Proxy – Die Standardoption, bevor Sie einen Proxy integrieren. Es ist keine Zertifikatsaktualisierung erforderlich.
  • Transparenter Proxy ohne Prüfung: Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert und sollten keine Änderungen erfordern, um mit einem Proxy ohne Prüfung zu arbeiten. Es ist keine Zertifikatsaktualisierung erforderlich.
  • Transparentes Prüfen des Proxys: Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert. Bei der Bereitstellung der Hybriden Datensicherheit sind keine HTTPS-Konfigurationshinstellungsänderungen erforderlich, allerdings benötigen die Hägg-Knoten eine Stammzertifikat, damit Sie dem Proxy Vertrauen. Die Inspektion von Proxys wird in der Regel von ihm verwendet, um Strategien durchzusetzen, welche Websites besichtigt werden können und welche Arten von Inhalten nicht zulässig sind. Diese Art von Proxy entschlüsselt den gesamten Datenverkehr (auch HTTPS).
  • Expliziter Proxy – Mit explizitem Proxy können Sie dem Client (HDS-Knoten) mitteilen, welcher Proxyserver verwendet werden soll. Diese Option unterstützt mehrere Authentifizierungstypen. Nachdem Sie diese Option aktiviert haben, müssen Sie folgende Informationen eingeben:

    1. Proxy-IP/FQDN: Adresse, die verwendet werden kann, um die Proxy-Maschine zu erreichen.

    2. Proxy-Port: Eine Portnummer, die der Proxy verwendet, um nach proxyem Datenverkehr zu suchen.

    3. Proxy-Protokoll – Wählen Sie http (zeigt alle Anforderungen an und steuert sie, die vom Client empfangen werden) oder https (stellt einen Kanal zum Server bereit, und der Client empfängt und validiert das Serverzertifikat). Wählen Sie eine Option, basierend auf Ihren Proxy-Server unterstützt.

    4. Authentifizierungstyp: Wählen Sie aus den folgenden Authentifizierungstypen aus:

      • Keine: Es ist keine weitere Authentifizierung erforderlich.

        Verfügbar für http oder HTTPS.

      • Basic – wird für einen HTTP-Benutzeragenten verwendet, um bei einer Anfrage einen Benutzernamen und ein Kennwort anzugeben. Zertifikatsformat verwendet.

        Verfügbar für http oder HTTPS.

        Wenn Sie diese Option auswählen, müssen Sie auch die Benutzername und das Passwort eingeben.

      • Digest – wird verwendet, um das Konto vor dem Senden sensibler Informationen zu bestätigen. Gibt eine Hashfunktion auf die Benutzername und das Passwort ein, bevor Sie über das Netzwerk senden.

        Nur für HTTPS Proxies verfügbar.

        Wenn Sie diese Option auswählen, müssen Sie auch die Benutzername und das Passwort eingeben.

Befolgen Sie die nächsten Schritte für einen transparenten Inspektionsproxy, einen HTTP expliziten Proxy mit Basisauthentifizierung oder einen HTTPS expliziten Proxy

3

Klicken Sie auf ein Zertifikat für das Stammzertifikat oder Endnutzerzertifikat hochladen, und navigieren Sie dann zu einer Stammzertifikat für den Proxy.

Das Zertifikat ist hochgeladen, aber noch nicht installiert, da Sie den Knoten neu starten müssen, um das Zertifikat zu installieren. Klicken Sie auf den Chevron Pfeil unter dem Namen des Zertifikats, um weitere Details zu erhalten, oder klicken Sie auf löschen, Wenn Sie Fehler gemacht haben und die Datei erneut hochladen möchten.

4

Klicken Sie auf Stellvertreterverbindung prüfen , um die Netzwerkverbindung zwischen dem Knoten und dem Proxy zu testen.

Wenn der Verbindungstest ausfällt, wird eine Fehlermeldung angezeigt, die den Grund und die Frage, wie Sie das Problem beheben können, anzeigt.

Wenn Sie eine Meldung sehen, dass eine externe DNS nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen. Diese Bedingung wird in vielen expliziten Proxykonfigurationen erwartet. Sie können mit dem Setup fortfahren, und der Knoten wird im gesperrten externen DNS-Server funktionieren. Wenn Sie glauben, dass es sich um einen Fehler handelt, führen Sie die folgenden Schritte aus. Siehe Modus für blockierte externe DNS-Auflösung deaktivieren.

5

Nach dem Durchführen des Verbindungstests, für expliziten Proxy, der nur auf HTTPS gesetzt ist, aktivieren Sie die Option so schalten Sie alle Port 443/444 https Anfragen aus diesem Knoten durch den expliziten Proxy Diese Einstellung benötigt 15 Sekunden, um wirksam zu werden.

6

Klicken Sie auf alle-Zertifizierungsstellen in den Trust Store installieren (erscheint für einen HTTPS expliziten Proxy oder einen transparenten Inspektionskrimi) oder Neustart (erscheint für einen HTTP expliziten Proxy), lesen Sie die Aufforderung, und klicken Sie dann auf in

Der Knoten startet innerhalb weniger Minuten.

7

Nachdem der Knoten erneut gestartet wurde, melden Sie sich bei Bedarf erneut an, und öffnen Sie dann die Übersichtsseite, um die Verbindungsüberprüfungen zu überprüfen, um sicherzustellen, dass Sie alle im grünen Status sind.

Die Proxyverbindung prüft nur eine Unterdomäne von WebEx.com. Wenn es Verbindungsprobleme gibt, ist ein häufiges Problem, dass einige der in den instructions aufgeführten-C-Domänen beim Proxy gesperrt werden.

Ersten Knoten im Cluster registrieren

Diese Aufgabe übernimmt den generischen Knoten, den Sie unter Einrichten der Hybrid Data Security-VM erstellt haben, registriert den Knoten bei der Webex Cloud und wandelt ihn in einen Hybrid Data Security-Knoten um.

Bei der Registrierung Ihres ersten Knotens erstellen Sie ein Cluster, zu dem der Knoten zugewiesen wird. Ein Cluster umfasst einen oder mehrere Knoten, die aus Redundanzgründen bereitgestellt werden.

Vorbereitungen

  • Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.

  • Stellen Sie sicher, dass alle Popupblocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.

1

Melden Sie sich bei https://admin.webex.com an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach der Karte „Hybrid-Datensicherheit“, und klicken Sie auf Einrichten.

4

Klicken Sie auf der sich öffnenden Seite auf Ressource hinzufügen.

5

Geben Sie im ersten Feld der Karte Knoten hinzufügen einen Namen für das Cluster ein, dem Sie Ihren Hybrid-Datensicherheitsknoten zuweisen möchten.

Benennen Sie Ihre Cluster nach Möglichkeit nach dem geografischen Standort der Clusterknoten. Beispiele: „San Francisco“ oder „New York“ oder „Dallas“

6

Geben Sie im zweiten Feld die interne IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) Ihres Knotens ein und klicken Sie unten auf dem Bildschirm auf Hinzufügen .

Diese IP-Adresse oder FQDN sollte mit der IP-Adresse oder dem Hostnamen und der Domäne übereinstimmen, die Sie beim Einrichten der Hybrid-Datensicherheit-VM verwendet haben.

Es wird eine Meldung angezeigt, dass Sie Ihren Knoten in Webex registrieren können.
7

Klicken Sie auf Go to Node (Zum Knoten wechseln).

Nach einigen Augenblicken werden Sie zu den Knoten-Konnektivitätstests für Webex-Dienste umgeleitet. Sind alle Tests erfolgreich, wird die Seite „Allow Access to Hybrid Data Security Node“ (Zugriff zu Hybrid-Datensicherheits-Knoten gewähren) angezeigt. Bestätigen Sie dort, dass Sie Ihrer Webex-Organisation die Zugriffsberechtigungen für Ihren Knoten erteilen möchten.

8

Aktivieren Sie das Kontrollkästchen Allow Access to Your Hybrid Data Security Node (Zugriff zu Ihrem Hybrid-Datensicherheits-Knoten gewähren) und klicken Sie anschließend auf Continue (Weiter).

Ihr Konto wird validiert, und die Meldung „Registrierung abgeschlossen“ zeigt an, dass Ihr Knoten jetzt in der Webex Cloud registriert ist.
9

Klicken Sie auf den Link oder schließen Sie die Registerkarte, um zur Partner Hub-Hybrid-Datensicherheitsseite zurückzukehren.

Auf der Seite Hybrid-Datensicherheit wird das neue Cluster mit dem registrierten Knoten auf der Registerkarte Ressourcen angezeigt. Der Knoten lädt die aktuelle Software automatisch aus der Cloud herunter.

Weitere Knoten erstellen und registrieren

Um Ihrem Cluster weitere Knoten hinzuzufügen, erstellen Sie einfach weitere VMs, mounten die ISO-Konfigurationsdatei und registrieren daraufhin den Knoten. Wir empfehlen, mindestens 3 Knoten zu betreiben.

Vorbereitungen

  • Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.

  • Stellen Sie sicher, dass alle Popupblocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.

1

Erstellen Sie eine neue virtuelle Maschine über die OVA und wiederholen Sie die Schritte unter Installieren der HDS-Host-OVA.

2

Richten Sie die Erstkonfiguration für die neue VM ein. Wiederholen Sie die Schritte unter Einrichten der Hybrid-Datensicherheit-VM.

3

Wiederholen Sie auf der neuen VM die Schritte unter HDS-Konfigurations-ISO hochladen und mounten.

4

Wenn Sie einen Proxy für Ihre Bereitstellung einrichten, wiederholen Sie die Schritte unter Konfigurieren des HDS-Knotens für die Proxy-Integration nach Bedarf für den neuen Knoten.

5

Registrieren Sie den Knoten.

  1. Wählen Sie unter https://admin.webex.com Services (Dienste) aus dem Menü auf der linken Bildschirmseite aus.

  2. Suchen Sie im Abschnitt „Cloud-Dienste“ nach der Hybrid-Datensicherheitskarte und klicken Sie auf Alle anzeigen.

    Die Seite „Hybrid-Datensicherheitsressourcen“ wird angezeigt.

  3. Der neu erstellte Cluster wird auf der Seite Ressourcen angezeigt.

  4. Klicken Sie auf den Cluster, um die dem Cluster zugewiesenen Knoten anzuzeigen.

  5. Klicken Sie rechts auf dem Bildschirm auf Knoten hinzufügen .

  6. Geben Sie die interne IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) Ihres Knotens ein und klicken Sie auf Hinzufügen.

    Es wird eine Seite mit einer Meldung geöffnet, die angibt, dass Sie Ihren Knoten in der Webex-Cloud registrieren können. Nach einigen Augenblicken werden Sie zu den Knoten-Konnektivitätstests für Webex-Dienste umgeleitet. Sind alle Tests erfolgreich, wird die Seite „Allow Access to Hybrid Data Security Node“ (Zugriff zu Hybrid-Datensicherheits-Knoten gewähren) angezeigt. Bestätigen Sie dort, dass Sie Ihrer Organisation die Zugriffsberechtigungen für Ihren Knoten erteilen möchten.

  7. Aktivieren Sie das Kontrollkästchen Allow Access to Your Hybrid Data Security Node (Zugriff zu Ihrem Hybrid-Datensicherheits-Knoten gewähren) und klicken Sie anschließend auf Continue (Weiter).

    Ihr Konto wird validiert, und die Meldung „Registrierung abgeschlossen“ zeigt an, dass Ihr Knoten jetzt in der Webex Cloud registriert ist.

  8. Klicken Sie auf den Link oder schließen Sie die Registerkarte, um zur Partner Hub-Hybrid-Datensicherheitsseite zurückzukehren.

    Die Popup-Meldung Knoten hinzugefügt wird auch unten auf dem Bildschirm in Partner Hub angezeigt.

    Ihr Knoten ist registriert.

Mandantenorganisationen für Multi-Tenant-Hybrid-Datensicherheit verwalten

Multi-Tenant HDS in Partner Hub aktivieren

Diese Aufgabe stellt sicher, dass alle Benutzer der Kundenorganisationen HDS für lokale Verschlüsselungsschlüssel und andere Sicherheitsdienste nutzen können.

Vorbereitungen

Stellen Sie sicher, dass Sie die Einrichtung Ihres Multi-Tenant-HDS-Clusters mit der erforderlichen Anzahl an Knoten abgeschlossen haben.

1

Melden Sie sich bei https://admin.webex.com an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach „Hybrid-Datensicherheit“ und klicken Sie auf Einstellungen bearbeiten.

4

Klicken Sie auf der Karte HDS-Status auf HDS-Aktivierung .

Mandantenorganisationen in Partner Hub hinzufügen

Weisen Sie bei dieser Aufgabe Kundenorganisationen Ihrem Hybrid-Datensicherheitscluster zu.

1

Melden Sie sich bei https://admin.webex.com an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach Hybrid-Datensicherheit und klicken Sie auf Alle anzeigen.

4

Klicken Sie auf den Cluster, dem ein Kunde zugewiesen werden soll.

5

Wechseln Sie zur Registerkarte Zugewiesene Kunden .

6

Klicken Sie auf Kunden hinzufügen.

7

Wählen Sie im Dropdown-Menü den Kunden aus, den Sie hinzufügen möchten.

8

Klicken Sie auf Hinzufügen. Der Kunde wird dem Cluster hinzugefügt.

9

Wiederholen Sie die Schritte 6 bis 8, um mehrere Kunden zu Ihrem Cluster hinzuzufügen.

10

Klicken Sie auf Fertig am unteren Bildschirmrand, nachdem Sie die Kunden hinzugefügt haben.

Nächste Schritte

Führen Sie das HDS-Einrichtungstool wie unter Erstellen von Kundenhauptschlüsseln (Customer Main Keys, CMKs) mit dem HDS-Einrichtungstool beschrieben aus, um die Einrichtung abzuschließen.

Kundenhauptschlüssel (Customer Main Keys, CMKs) mit dem HDS Setup-Tool erstellen

Vorbereitungen

Weisen Sie Kunden dem entsprechenden Cluster zu, wie unter Mandantenorganisationen in Partner Hub hinzufügen beschrieben. Führen Sie das HDS Setup-Tool aus, um den Einrichtungsprozess für die neu hinzugefügten Kundenorganisationen abzuschließen.

  • Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zu zugreifen, führen Sie Docker auf diesem Computer aus. Der Einrichtungsprozess erfordert die Anmeldeinformationen eines Partner Hub-Kontos mit vollen Administratorrechten für Ihre Organisation.

    Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxy-Einstellungen (Server, Port, Anmeldeinformationen) über die Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in Schritt 5 aufrufen. Diese Tabelle enthält einige mögliche Umgebungsvariablen:

    Beschreibung

    Variable

    HTTP-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

  • Die von Ihnen generierte ISO-Konfigurationsdatei enthält den Hauptschlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die neueste Kopie dieser Datei, wenn Sie Konfigurationsänderungen wie die folgenden vornehmen:

    • Datenbank-Anmeldeinformationen

    • Zertifikats-Aktualisierungen

    • Änderungen an der Autorisierungsrichtlinie

  • Wenn Sie Datenbankverbindungen verschlüsseln möchten, richten Sie Ihre PostgreSQL- oder SQL Server-Bereitstellung für TLS ein.

Beim Einrichtungsprozess für die Hybrid-Datensicherheit wird eine ISO-Datei erstellt. Anschließend verwenden Sie die ISO, um Ihren Hybrid-Datensicherheitshost zu konfigurieren.

1

Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

In regulären Umgebungen:

docker rmi ciscocitg/hds-setup:stabil

In FedRAMP-Umgebungen:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

2

Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

Docker Anmeldung -u hdscustomersro
3

Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

In regulären Umgebungen:

docker pull ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

  • In regulären Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In FedRAMP-Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express-Server hören auf Port 8080) sehen.

6

Das Setup-Tool unterstützt die Verbindung zu localhost über http://localhost:8080 nicht. Verwenden Sie http://127.0.0.1:8080 , um eine Verbindung zum Localhost herzustellen.

Navigieren Sie in einem Webbrowser zum Localhost, http://127.0.0.1:8080, und geben Sie bei Aufforderung den Admin-Benutzernamen für Partner Hub ein.

Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto festzulegen. Das Tool zeigt dann die Standard-Anmeldeaufforderung an.

7

Wenn Sie dazu aufgefordert werden, geben Sie Ihre Partner Hub-Administratoranmeldeinformationen ein und klicken Sie dann auf Anmelden , um den Zugriff auf die für die Hybrid-Datensicherheit erforderlichen Dienste zu erlauben.

8

Klicken Sie auf der Übersichtsseite des Setup Tool auf Get Started (Erste Schritte).

9

Klicken Sie auf der Seite ISO-Import auf Ja.

10

Wählen Sie Ihre ISO-Datei im Browser aus und laden Sie sie hoch.

Stellen Sie sicher, dass die Verbindung zu Ihrer Datenbank hergestellt wird, um eine CMK-Verwaltung durchzuführen.
11

Gehen Sie zur Registerkarte Mandanten-CMK-Verwaltung , auf der Sie die folgenden drei Möglichkeiten zur Verwaltung von Mandanten-CMKs finden.

  • CMK für alle ORGs erstellen oder CMK erstellen – Klicken Sie auf diese Schaltfläche im Banner am oberen Rand des Bildschirms, um CMKs für alle neu hinzugefügten Organisationen zu erstellen.
  • Klicken Sie auf die Schaltfläche CMKs verwalten auf der rechten Seite des Bildschirms und klicken Sie auf CMKs erstellen , um CMKs für alle neu hinzugefügten Organisationen zu erstellen.
  • Klicken Sie in der Tabelle neben dem Status der ausstehenden CMK-Verwaltung einer bestimmten Organisation, und klicken Sie auf CMK erstellen , um CMK für diese Organisation zu erstellen.
12

Sobald die CMK-Erstellung erfolgreich war, ändert sich der Status in der Tabelle von CMK-Verwaltung ausstehend zu CMK-Verwaltung.

13

Wenn die CMK-Erstellung nicht erfolgreich war, wird ein Fehler angezeigt.

Mandantenorganisationen entfernen

Vorbereitungen

Nach dem Entfernen können Benutzer von Kundenorganisationen HDS nicht mehr für ihre Verschlüsselungsanforderungen nutzen und verlieren alle vorhandenen Bereiche. Wenden Sie sich an Ihren Cisco-Partner oder Ihren Account Manager, bevor Sie Kundenorganisationen entfernen.

1

Melden Sie sich bei https://admin.webex.com an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach Hybrid-Datensicherheit und klicken Sie auf Alle anzeigen.

4

Klicken Sie auf der Registerkarte Ressourcen auf den Cluster, aus dem Sie Kundenorganisationen entfernen möchten.

5

Klicken Sie auf der sich öffnenden Seite auf Zugewiesene Kunden.

6

Klicken Sie in der angezeigten Liste der Kundenorganisationen auf ... auf der rechten Seite der Kundenorganisation, die Sie entfernen möchten, und klicken Sie auf Aus Cluster entfernen.

Nächste Schritte

Schließen Sie den Löschvorgang ab, indem Sie die CMKs der Kundenorganisationen sperren, wie unter CMKs von Tenants, die aus HDS entfernt wurden, beschrieben.

Widerrufen Sie die CMKs von Mandanten, die aus HDS entfernt wurden.

Vorbereitungen

Entfernen Sie Kunden aus dem entsprechenden Cluster, wie unter Mandantenorganisationen entfernen beschrieben. Führen Sie das HDS Setup-Tool aus, um den Entfernungsprozess für die Kundenorganisationen abzuschließen, die entfernt wurden.

  • Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zu zugreifen, führen Sie Docker auf diesem Computer aus. Der Einrichtungsprozess erfordert die Anmeldeinformationen eines Partner Hub-Kontos mit vollen Administratorrechten für Ihre Organisation.

    Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxy-Einstellungen (Server, Port, Anmeldeinformationen) über die Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in Schritt 5 aufrufen. Diese Tabelle enthält einige mögliche Umgebungsvariablen:

    Beschreibung

    Variable

    HTTP-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

  • Die von Ihnen generierte ISO-Konfigurationsdatei enthält den Hauptschlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die neueste Kopie dieser Datei, wenn Sie Konfigurationsänderungen wie die folgenden vornehmen:

    • Datenbank-Anmeldeinformationen

    • Zertifikats-Aktualisierungen

    • Änderungen an der Autorisierungsrichtlinie

  • Wenn Sie Datenbankverbindungen verschlüsseln möchten, richten Sie Ihre PostgreSQL- oder SQL Server-Bereitstellung für TLS ein.

Beim Einrichtungsprozess für die Hybrid-Datensicherheit wird eine ISO-Datei erstellt. Anschließend verwenden Sie die ISO, um Ihren Hybrid-Datensicherheitshost zu konfigurieren.

1

Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

In regulären Umgebungen:

docker rmi ciscocitg/hds-setup:stabil

In FedRAMP-Umgebungen:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

2

Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

Docker Anmeldung -u hdscustomersro
3

Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

In regulären Umgebungen:

docker pull ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

  • In regulären Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In FedRAMP-Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express-Server hören auf Port 8080) sehen.

6

Das Setup-Tool unterstützt die Verbindung zu localhost über http://localhost:8080 nicht. Verwenden Sie http://127.0.0.1:8080 , um eine Verbindung zum Localhost herzustellen.

Navigieren Sie in einem Webbrowser zum Localhost, http://127.0.0.1:8080, und geben Sie bei Aufforderung den Admin-Benutzernamen für Partner Hub ein.

Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto festzulegen. Das Tool zeigt dann die Standard-Anmeldeaufforderung an.

7

Wenn Sie dazu aufgefordert werden, geben Sie Ihre Partner Hub-Administratoranmeldeinformationen ein und klicken Sie dann auf Anmelden , um den Zugriff auf die für die Hybrid-Datensicherheit erforderlichen Dienste zu erlauben.

8

Klicken Sie auf der Übersichtsseite des Setup Tool auf Get Started (Erste Schritte).

9

Klicken Sie auf der Seite ISO-Import auf Ja.

10

Wählen Sie Ihre ISO-Datei im Browser aus und laden Sie sie hoch.

11

Gehen Sie zur Registerkarte Mandanten-CMK-Verwaltung , auf der Sie die folgenden drei Möglichkeiten zur Verwaltung von Mandanten-CMKs finden.

  • CMK für alle ORGs sperren oder CMK sperren – Klicken Sie auf diese Schaltfläche im Banner am oberen Bildschirmrand, um die CMKs aller Organisationen zu sperren, die entfernt wurden.
  • Klicken Sie auf die Schaltfläche CMKs verwalten auf der rechten Seite des Bildschirms und klicken Sie auf CMKs sperren , um die CMKs aller Organisationen zu sperren, die entfernt wurden.
  • Klicken in der Nähe der CMK wird widerrufen Status einer bestimmten Organisation in der Tabelle und klicken Sie auf CMK widerrufen um CMK für diese bestimmte Organisation zu widerrufen.
12

Sobald die CMK-Sperrung erfolgreich ist, wird die Kundenorganisation nicht mehr in der Tabelle angezeigt.

13

Wenn die CMK-Sperrung nicht erfolgreich ist, wird ein Fehler angezeigt.

Testen Ihrer Hybrid-Datensicherheitsbereitstellung

Testen Ihrer Bereitstellung für die Hybrid-Datensicherheit

Mit diesem Verfahren können Sie Verschlüsselungsszenarien für die Multi-Tenant-Hybrid-Datensicherheit testen.

Vorbereitungen

  • Richten Sie die Multi-Tenant-Hybrid-Datensicherheitsbereitstellung ein.

  • Stellen Sie sicher, dass Sie auf das Syslog zugreifen können, um zu überprüfen, ob wichtige Anforderungen an Ihre Multi-Tenant-Hybrid-Datensicherheitsbereitstellung weitergeleitet werden.

1

Schlüssel für einen bestimmten Bereich werden vom Ersteller des Bereichs festgelegt. Melden Sie sich bei der Webex-App als einer der Benutzer der Kundenorganisation an und erstellen Sie einen Bereich.

Wenn Sie die Hybrid-Datensicherheitsbereitstellung deaktivieren, sind Inhalte in von Benutzern erstellten Bereichen nicht mehr verfügbar, nachdem die im Client zwischengespeicherten Kopien der Verschlüsselungscodes ersetzt wurden.

2

Senden Sie Nachrichten an den neuen Bereich.

3

Überprüfen Sie die Syslog-Ausgabe, um sicherzustellen, dass die Schlüsselanforderungen an Ihre Hybrid-Datensicherheitsbereitstellung weitergeleitet werden.

  1. Um zu prüfen, ob ein Benutzer zuerst einen sicheren Kanal zum KMS eingerichtet hat, filtern Sie nach kms.data.method=create und kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Sie sollten einen Eintrag wie den folgenden finden (IDs wurden zur besseren Lesbarkeit gekürzt):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:ANFRAGE] empfangen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Um zu überprüfen, ob ein Benutzer einen vorhandenen Schlüssel im KMS anfordert, filtern Sie nach kms.data.method=retrieve und kms.data.type=KEY:

    Sie sollten einen Eintrag wie den folgenden finden:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:ANFRAGE] empfangen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Um zu überprüfen, ob ein Benutzer die Erstellung eines neuen KMS-Schlüssels anfordert, filtern Sie nach kms.data.method=create und kms.data.type=KEY_COLLECTION:

    Sie sollten einen Eintrag wie den folgenden finden:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:ANFRAGE] empfangen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Um zu überprüfen, ob ein Benutzer die Erstellung eines neuen KMS-Ressourcenobjekts (KRO) anfordert, wenn ein Bereich oder eine andere geschützte Ressource erstellt wird, filtern Sie kms.data.method=create und kms.data.type=RESOURCE_COLLECTION:

    Sie sollten einen Eintrag wie den folgenden finden: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:ANFRAGE] empfangen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Überwachen des Status der Hybrid-Datensicherheit

Eine Statusanzeige in Partner Hub zeigt Ihnen an, ob die Multi-Tenant-Hybrid-Datensicherheitsbereitstellung gut funktioniert. Für stärker proaktive Warnungen können Sie sich für E-Mail-Benachrichtigungen anmelden. Sie werden benachrichtigt, wenn Alarme oder Software-Upgrades den Dienst beeinträchtigen.
1

Wählen Sie in Partner Hub im Menü auf der linken Seite des Bildschirms die Option Dienste aus.

2

Suchen Sie im Abschnitt „Cloud-Dienste“ nach „Hybrid-Datensicherheit“ und klicken Sie auf Einstellungen bearbeiten.

Die Seite „Hybrid Data Security Settings“ (Einstellungen für Hybrid-Datensicherheit) wird angezeigt.
3

Geben Sie im Abschnitt zu E-Mail-Benachrichtigungen eine oder mehrere Adressen durch Komma getrennt ein und drücken Sie Enter.

HDS-Bereitstellung verwalten

Verwalten der HDS-Bereitstellung

Verwenden Sie die hier beschriebenen Aufgaben, um Ihre Hybrid-Datensicherheitsbereitstellung zu verwalten.

Festlegen des Upgrade-Zeitplans für Cluster

Software-Upgrades für Hybrid Data Security werden automatisch auf Cluster-Ebene ausgeführt, um sicherzustellen, dass auf allen Knoten immer die gleiche Software-Version ausgeführt wird. Die Upgrades werden gemäß des Upgrade-Zeitplans für den Cluster ausgeführt. Sie können neue verfügbare Software-Upgrades optional auch vor dem geplanten Upgrade-Zeitpunkt manuell installieren. Sie können einen eigenen Upgrade-Zeitplan festlegen oder den Standardzeitplan um 3:00 Uhr morgens täglich für USA: Amerika/Los Angeles verwenden. Bei Bedarf können Sie anstehende Upgrades auch verzögern.

So legen Sie den Upgrade-Zeitplan fest:

1

Melden Sie sich bei Partner Hub an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach „Hybrid-Datensicherheit“ und klicken Sie auf Einrichten.

4

Wählen Sie auf der Seite „Hybrid-Datensicherheitsressourcen“ den Cluster aus.

5

Klicken Sie auf die Registerkarte Cluster-Einstellungen .

6

Wählen Sie auf der Seite „Cluster-Einstellungen“ unter „Upgrade-Zeitplan“ die Uhrzeit und die Zeitzone für den Upgrade-Zeitplan aus.

Hinweis: Unter der Zeitzone wird der nächste verfügbare Zeitpunkt für ein Upgrade angezeigt. Sie können das Upgrade bei Bedarf auf den folgenden Tag verschieben, indem Sie auf Um 24 Stunden verschieben klicken.

Ändern der Knotenkonfiguration

Gelegentlich kann es erforderlich sein, die Konfiguration Ihres Hybrid-Datensicherheitsknotens zu ändern, z. B.:

  • Änderung der x.509-Zertifikate aufgrund Ablaufs oder anderer Gründe.

    Wir unterstützen keine Änderung des CN-Domänennamens eines Zertifikats. Die Domäne muss mit der Originaldomäne übereinstimmen, die zur Registrierung des Clusters verwendet wurde.

  • Datenbankeinstellungen werden aktualisiert, um auf eine Replik der PostgreSQL- oder Microsoft SQL Server-Datenbank zu wechseln.

    Wir unterstützen keine Migration von Daten von PostgreSQL zu Microsoft SQL Server oder auf den entgegengesetzten Weg. Um die Datenbankumgebung zu wechseln, starten Sie eine neue Bereitstellung von Hybrid Data Security.

  • Erstellen einer neuen Konfiguration, um ein neues Datenzentrum vorzubereiten.

Aus Sicherheitsgründen verwendet Hybrid Data Security Dienstkonto-Passwörter mit einer Laufzeit von neun Monaten. Nachdem das HDS Setup Tool diese Passwörter generiert hat, stellen Sie sie für jeden Ihrer HDS-Knoten in der ISO-Konfigurationsdatei bereit. Wenn die Kennwörter Ihrer Organisation fast ablaufen, erhalten Sie eine Benachrichtigung vom Webex-Team, mit der Sie das Passwort für Ihr Computerkonto zurücksetzen können. (Die E-Mail enthält den Text "Verwenden Sie die Maschinenkonto-API, um das Passwort zu aktualisieren"). Wenn Ihre Passwörter noch nicht abgelaufen sind, bietet Ihnen das Tool zwei Optionen:

  • Weiches Zurücksetzen – Das alte und das neue Kennwort können beide bis zu 10 Tage lang verwendet werden. Verwenden Sie diesen Zeitraum, um die ISO-Datei der Knoten schrittweise zu ersetzen.

  • Harte Zurücksetzung: Die alten Passwörter funktionieren sofort nicht mehr.

Wenn Ihre Passwörter ohne Zurücksetzen ablaufen, wirkt sich dies auf Ihren HDS-Dienst aus, was ein sofortiges Zurücksetzen und Ersetzen der ISO-Datei auf allen Knoten erfordert.

Verwenden Sie dieses Verfahren, um eine neue ISO-Konfigurationsdatei zu generieren und auf Ihren Cluster anzuwenden.

Vorbereitungen

  • Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zu zugreifen, führen Sie Docker auf diesem Computer aus. Der Einrichtungsprozess erfordert die Anmeldeinformationen eines Partner Hub-Kontos mit vollen Partneradministratorrechten.

    Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxy-Einstellungen (Server, Port, Anmeldeinformationen) über die Docker-Umgebungsvariablen an, wenn Sie den Docker Container in 1.e aufrufen. Diese Tabelle enthält einige mögliche Umgebungsvariablen:

    Beschreibung

    Variable

    HTTP-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

  • Um eine neue Konfiguration zu erstellen, benötigen Sie eine Kopie der aktuellen ISO-Konfigurationsdatei. Die ISO enthält den Masterschlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die ISO-Datei, wenn Sie Konfigurationsänderungen vornehmen, wie z. B. Datenbank-Anmeldeinformationen, Zertifikataktualisierungen oder Änderungen an der Autorisierungsrichtlinie.

1

Führen Sie auf einem lokalen Computer, auf dem Docker läuft, das HDS Setup Tool aus.

  1. Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

    In regulären Umgebungen:

    docker rmi ciscocitg/hds-setup:stabil

    In FedRAMP-Umgebungen:

    docker rmi ciscocitg/hds-setup-fedramp:stabil

    Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

  2. Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

    Docker Anmeldung -u hdscustomersro

  3. Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

    In regulären Umgebungen:

    docker pull ciscocitg/hds-setup:stable

    In FedRAMP-Umgebungen:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Stellen Sie sicher, dass Sie für hierfür per Pull das neueste Setup-Tool aufrufen. Versionen des Tools, die vor dem 22. Februar 2018 erstellt wurden, verfügen nicht über die Bildschirme zum Zurücksetzen des Passworts.

  5. Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

    • In regulären Umgebungen ohne Proxy:

      Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • In regulären Umgebungen mit einem HTTP-Proxy:

      Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • In regulären Umgebungen mit einem HTTPSproxy:

      Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • In FedRAMP-Umgebungen ohne Proxy:

      Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

      Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

      Docker run -p 8080:8080 --rm -it -e GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express server listening on port 8080) sehen.

  6. Verwenden Sie einen Browser, um sich mit dem Localhost zu http://127.0.0.1:8080verbinden.

    Das Setup-Tool unterstützt die Verbindung zu localhost über http://localhost:8080 nicht. Verwenden Sie http://127.0.0.1:8080 , um eine Verbindung zum Localhost herzustellen.

  7. Wenn Sie dazu aufgefordert werden, geben Sie Ihre Partner Hub-Kundenanmeldeinformationen ein und klicken Sie dann auf Akzeptieren , um fortzufahren.

  8. Importieren Sie die aktuelle ISO-Konfigurationsdatei.

  9. Befolgen Sie die Anweisungen, um das Tool abzuschließen und die aktualisierte Datei herunterzuladen.

    Um das Setup Tool herunterzufahren, tippen Sie STRG+C ein.

  10. Erstellen Sie eine Backup-Kopie der aktualisierten Datei in einem anderen Datenzentrum.

2

Wenn Sie nur einen HDS-Knoten ausführen, erstellen Sie eine neue VM für den Hybrid-Datensicherheitsknoten und registrieren Sie sie mithilfe der neuen ISO-Konfigurationsdatei. Detaillierte Anweisungen finden Sie unter Weitere Knoten erstellen und registrieren.

  1. Installieren des HDS Host OVA

  2. Richten Sie die HDS-VM ein.

  3. Mounten Sie die aktualisierte Konfigurationsdatei.

  4. Registrieren Sie den neuen Knoten im Partner Hub.

3

Mounten Sie bei vorhandenen HDS-Knoten, auf denen die ältere Konfigurationsdatei ausgeführt wird, die ISO-Datei. Führen Sie für jeden Knoten des Knotens folgende Schritte durch, indem Sie jeden Knoten aktualisieren, bevor Sie den nächsten Knoten deaktivieren:

  1. Deaktivieren Sie die Virtuelle Maschine.

  2. Rechtsklicken Sie im linken Navigationsbereich des VMware vSphere Client auf die VM. Klicken Sie daraufhin auf Edit Settings (Einstellungen bearbeiten).

  3. Klicken Sie auf CD/DVD-Laufwerk 1, wählen Sie die Option zum Bereitstellen einer ISO-Datei und navigieren Sie zu dem Speicherort, unter dem der Download der neuen ISO-Konfigurationsdatei abliegt.

  4. Aktivieren Sie das Kontrollkästchen Verbinden beim Einschalten.

  5. Speichern Sie Ihre Änderungen und starten Sie Sie die virtuelle Maschine.

4

Wiederholen Sie Schritt 3, um bei jedem weiteren Knoten zu ersetzen, auf dem noch die alte Konfiguration ausgeführt wird, die Konfiguration zu ersetzen.

Blockierte externe DNS Auflösungsmodus deaktivieren

Wenn Sie einen Knoten registrieren oder die Proxykonfiguration des Knotens überprüfen, testet das Verfahren die DNS und die Konnektivität der Cisco WebEx. Wenn der DNS-Server des Knotens öffentliche DNS nicht auflösen kann, geht der Knoten automatisch in den gesperrten externen DNS-Server.

Wenn Ihre Knoten öffentliche DNS über interne DNS-Server auflösen können, aktivieren Sie diesen Modus, indem Sie den Proxyverbindungstest für jeden Knoten deaktivieren.

Vorbereitungen

Stellen Sie sicher, dass Ihre internen DNS-Server öffentliche DNS und ihre Knoten mit Ihnen kommunizieren können.
1

Öffnen Sie in einem Webbrowser die Schnittstelle für den Hybrid-Datensicherheitsknoten (IP-Adresse/Einrichtung, https://192.0.2.0/setup), geben Sie beispielsweise die für den Knoten eingerichteten Admin-Anmeldeinformationen ein, und klicken Sie dann auf Anmelden.

2

Gehen Sie zu Übersicht (Standardseite).

Wenn diese Option aktiviert ist, wird die externe DNS auf "Ja" gesetzt .

3

Gehen Sie zur Seite Vertrauensspeicher und Proxy .

4

Klicken Sie auf Stellvertreterverbindung prüfen.

Wenn Sie eine Meldung sehen, dass eine externe DNS nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen und wird in diesem Modus verbleiben. Andernfalls sollte nach dem Neustart des Knotens und der Rückfahrt zur Übersichtsseite die gesperrte externe DNS auf "Nein" gesetzt werden.

Nächste Schritte

Wiederholen Sie den Proxy Verbindungstest für jeden Knoten in Ihrem Cisco Data SicherheitCluster.

Entfernen eines Knotens

Mit diesem Verfahren können Sie einen Hybrid-Datensicherheitsknoten aus der Webex-Cloud entfernen. Löschen Sie nach dem Entfernen des Knotens aus dem Cluster die virtuelle Maschine, um den weiteren Zugriff auf Ihre Sicherheitsdaten zu verhindern.
1

Melden Sie sich über den VMware vSphere-Client auf Ihrem Computer bei dem ESXi virtuellen Host an und schalten Sie die virtuelle Maschine aus.

2

Entfernen des Knotens:

  1. Melden Sie sich bei Partner Hub an und wählen Sie Dienste aus.

  2. Klicken Sie auf der Hybrid-Datensicherheitskarte auf Alle anzeigen , um die Seite „Hybrid-Datensicherheitsressourcen“ anzuzeigen.

  3. Wählen Sie Ihr Cluster aus, um den Bereich „Übersicht“ anzuzeigen.

  4. Klicken Sie auf den Knoten, den Sie entfernen möchten.

  5. Klicken Sie in dem rechts angezeigten Bereich auf Registrierung dieses Knotens aufheben .

  6. Sie können die Registrierung des Knotens auch aufheben, indem Sie auf der rechten Seite des Knotens auf Diesen Knoten entfernen klicken.

3

Löschen Sie die VM im vSphere-Client. (Klicken Sie im linken Navigationsbereich mit der rechten Maustaste auf die VM, und klicken Sie auf Löschen.)

Wenn Sie die VM nicht löschen, denken Sie daran, die Konfigurations-ISO-Datei zu deinstallieren. Ohne die ISO-Datei können Sie die VM nicht verwenden, um auf Ihre Sicherheitsdaten zuzugreifen.

Notfallwiederherstellung mit Standby-Rechenzentrum

Der wichtigste Dienst, den Ihr Hybrid-Datensicherheitscluster bietet, ist die Erstellung und Speicherung von Schlüsseln, mit denen Nachrichten und andere in der Webex-Cloud gespeicherte Inhalte verschlüsselt werden. Für jeden Benutzer innerhalb der Organisation, der der Hybrid-Datensicherheit zugewiesen ist, werden neue Anforderungen zur Schlüsselerstellung an das Cluster weitergeleitet. Der Cluster ist zudem dafür verantwortlich, die erstellten Schlüssel an Benutzer zurückzusenden, die zum Abrufen von Schlüsseln berechtigt sind. Hierzu gehören beispielsweise Mitglieder eines Gesprächsraums.

Da der Cluster die wichtige Funktion erfüllt, diese Schlüssel bereitzustellen, ist es höchst wichtig, dass der Cluster in Betrieb bleibt und korrekte Backups erstellt werden. Der Verlust der Hybrid-Datensicherheitsdatenbank oder der für das Schema verwendeten Konfigurations-ISO führt zu einem NICHT BEHEBBAREN VERLUST von Kundeninhalten. Die folgenden Praktiken sind zwingend erforderlich, um einem derartigen Verlust vorzubeugen:

Wenn eine Katastrophe dazu führt, dass die HDS-Bereitstellung im primären Rechenzentrum nicht mehr verfügbar ist, führen Sie dieses Verfahren aus, um ein manuelles Failover auf das Standby-Rechenzentrum durchzuführen.

Vorbereitungen

Heben Sie die Registrierung aller Knoten aus Partner Hub auf, wie unter Knoten entfernen erwähnt. Verwenden Sie die neueste ISO-Datei, die für die Knoten des zuvor aktiven Clusters konfiguriert wurde, um das unten genannte Failover-Verfahren durchzuführen.
1

Starten Sie das HDS-Setup-Tool und führen Sie die unter Erstellen einer Konfigurations-ISO für die HDS-Hosts beschriebenen Schritte aus.

2

Schließen Sie den Konfigurationsprozess ab und speichern Sie die ISO-Datei an einem leicht auffindbaren Speicherort.

3

Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Sichern Sie die Sicherungskopie sicher. Die Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff auf Administratoren für Hybrid-Datensicherheit, die Konfigurationsänderungen vornehmen sollten.

4

Rechtsklicken Sie im linken Navigationsbereich des VMware vSphere Client auf die VM. Klicken Sie daraufhin auf Edit Settings (Einstellungen bearbeiten).

5

Klicken Sie auf Einstellungen bearbeiten >CD/DVD-Laufwerk 1 und wählen Sie Datenspeicher-ISO-Datei.

Stellen Sie sicher, dass Verbunden und Verbinden beim Einschalten aktiviert sind, damit aktualisierte Konfigurationsänderungen nach dem Starten der Knoten wirksam werden können.

6

Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 15 Minuten lang keine Alarme vorhanden sind.

7

Registrieren Sie den Knoten im Partner Hub. Weitere Informationen finden Sie unter Ersten Knoten im Cluster registrieren.

8

Wiederholen Sie den Vorgang für jeden Knoten im Standby-Rechenzentrum.

Nächste Schritte

Wenn das primäre Rechenzentrum nach dem Failover wieder aktiv wird, die Registrierung der Knoten des Standby-Rechenzentrums aufheben und den oben genannten Prozess der ISO-Konfiguration und der Registrierung der Knoten des primären Rechenzentrums wiederholen.

(Optional) ISO nach HDS-Konfiguration aushängen

Die Standard-HDS-Konfiguration wird mit eingebauter ISO ausgeführt. Einige Kunden ziehen es jedoch vor, die ISO-Dateien nicht kontinuierlich eingebunden zu lassen. Sie können die ISO-Datei unmounten, nachdem alle HDS-Knoten die neue Konfiguration übernommen haben.

Sie verwenden weiterhin die ISO-Dateien, um Konfigurationsänderungen vorzunehmen. Wenn Sie eine neue ISO erstellen oder eine ISO über das Setup-Tool aktualisieren, müssen Sie die aktualisierte ISO auf allen HDS-Knoten mounten. Wenn alle Knoten die Konfigurationsänderungen übernommen haben, können Sie die ISO mit diesem Verfahren erneut deinstallieren.

Vorbereitungen

Aktualisieren Sie alle Ihre HDS-Knoten auf Version 2021.01.22.4720 oder höher.

1

Fahren Sie einen Ihrer HDS-Knoten herunter.

2

Wählen Sie in der vCenter Server-Appliance den HDS-Knoten aus.

3

Wählen Sie Einstellungen bearbeiten > CD/DVD-Laufwerk und deaktivieren Sie ISO-Datei für Datenspeicher.

4

Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 20 Minuten lang keine Alarme angezeigt werden.

5

Wiederholen Sie dies für jeden HDS-Knoten der Reihe nach.

Problembehandlung der Hybrid-Datensicherheit

Anzeigen von Warnungen und Beheben von Fehlern

Eine Hybrid-Datensicherheitsbereitstellung gilt als nicht verfügbar, wenn alle Knoten im Cluster nicht erreichbar sind oder der Cluster so langsam arbeitet, dass eine Zeitüberschreitung erforderlich ist. Wenn Benutzer Ihr Hybrid-Datensicherheitscluster nicht erreichen können, treten folgende Symptome auf:

  • Neue Bereiche können nicht erstellt werden (es konnten keine neuen Schlüssel erstellt werden)

  • Nachrichten- und Bereichstitel konnten für folgende Benutzer nicht entschlüsselt werden:

    • Neue zu einem Bereich hinzugefügte Benutzer (Schlüssel konnten nicht abgerufen werden)

    • Vorhandene Benutzer in einem Bereich, der einen neuen Client verwendet (Schlüssel konnten nicht abgerufen werden)

  • Vorhandene Benutzer in einem Bereich werden weiterhin erfolgreich ausgeführt, sofern ihre Clients über einen Cache für Verschlüsselungsschlüssel verfügen

Es ist wichtig, dass Sie Ihren Hybrid-Datensicherheitscluster ordnungsgemäß überwachen und alle Warnungen umgehend adressieren, um Dienstunterbrechungen zu vermeiden.

Warnungen

Wenn es ein Problem mit der Einrichtung der Hybrid-Datensicherheit gibt, zeigt Partner Hub Warnungen an den Administrator der Organisation an und sendet E-Mails an die konfigurierte E-Mail-Adresse. Die Warnungen betreffen viele gängige Szenarien.

Tabelle 1: Häufig auftretende Probleme und Schritte zur Problembehebung

Alarm

Vorgang

Fehler beim Zugriff auf die lokale Datenbank.

Überprüfen Sie das System auf Datenbankfehler oder lokale Netzwerkprobleme.

Fehler beim Herstellen einer Verbindung zur lokalen Datenbank.

Vergewissern Sie sich, dass der Datenbankserver verfügbar ist und die richtigen Dienstkonto-Anmeldeinformationen in der Knotenkonfiguration verwendet wurden.

Fehler beim Zugriff auf den Clouddienst.

Überprüfen Sie, ob die Knoten auf die Webex-Server zugreifen können, wie unter Externe Verbindungsanforderungen angegeben.

Registrierung des Clouddiensts wird erneuert.

Registrierung von Clouddiensten wurde verworfen. Erneuerung der Registrierung wird durchgeführt.

Registrierung des Clouddiensts wurde verworfen.

Registrierung von Clouddiensten wurde beendet. Dienst wird beendet.

Dienst noch nicht aktiviert.

Aktivieren Sie HDS in Partner Hub.

Konfigurierte Domäne stimmt nicht mit dem Serverzertifikat überein.

Vergewissern Sie sich, dass das Serverzertifikat mit der konfigurierten Dienstaktivierungsdomäne übereinstimmt.

Die wahrscheinlichste Ursache lautet, dass die Zertifikat-CN vor kurzem geändert wurde und nun von der CN abweicht, die während der ursprünglichen Einrichtung verwendet wurde.

Clouddienste konnten nicht authentifiziert werden.

Prüfen Sie die Daten auf korrekte Eingabe und einen möglichen Ablauf der Dienstkonto-Anmeldeinformationen.

Lokale Schlüsselspeicherdatei konnte nicht geöffnet werden.

Überprüfen Sie die lokale Schlüsselspeicherdatei auf Integrität und Kennwortgenauigkeit.

Lokales Serverzertifikat ist ungültig.

Überprüfen Sie das Ablaufdatum des Serverzertifikats und vergewissern Sie sich, dass es von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.

Metriken konnten nicht gepostet werden.

Überprüfen Sie den Zugriff des lokalen Netzwerks auf externe Clouddienste.

Das Verzeichnis /media/configdrive/hds ist nicht vorhanden.

Überprüfen Sie die ISO-Mountkonfiguration auf dem virtuellen Host. Vergewissern Sie sich, dass die ISO-Datei vorhanden ist, die beim Neustart für das Mounten konfiguriert ist und das Mounten erfolgreich ausgeführt wird.

Die Einrichtung der Mandanten-Organisation ist für die hinzugefügten Organisationen nicht abgeschlossen

Schließen Sie die Einrichtung ab, indem Sie mit dem HDS Setup Tool CMKs für neu hinzugefügte Mandantenorganisationen erstellen.

Die Einrichtung der Mandantenorganisation ist für die entfernten Organisationen nicht abgeschlossen

Schließen Sie die Einrichtung ab, indem Sie die CMKs der Mandantenorganisationen, die mit dem HDS Setup Tool entfernt wurden, widerrufen.

Problembehandlung der Hybrid-Datensicherheit

Beachten Sie bei der Behebung von Problemen mit Hybrid Data Security die folgenden allgemeinen Richtlinien.
1

Prüfen Sie Partner Hub auf Warnungen und beheben Sie alle Elemente, die Sie dort finden. Weitere Informationen finden Sie im Bild unten.

2

Überprüfen Sie die Syslog-Serverausgabe auf Aktivität aus der Hybrid-Datensicherheitsbereitstellung. Filtern Sie nach Wörtern wie „Warnung“ und „Fehler“, um bei der Fehlerbehebung zu helfen.

3

Kontaktieren Sie den Cisco-Support.

Sonstige Hinweise

Bekannte Probleme mit Hybrid-Datensicherheit

  • Wenn Sie Ihren Hybrid-Datensicherheitscluster herunterfahren (indem Sie ihn im Partner Hub löschen oder alle Knoten herunterfahren), Ihre Konfigurations-ISO-Datei verlieren oder den Zugriff auf die Keystore-Datenbank verlieren, können Webex-App-Benutzer von Kundenorganisationen keine Bereiche in ihrer Personenliste mehr verwenden, die mit Schlüsseln von Ihrem KMS erstellt wurden. Wir haben aktuell keine Problemumgehung oder Lösung für dieses Problem und empfehlen Ihnen dringend, Ihre HDS-Dienste nicht herunterzufahren, sobald sie aktive Benutzerkonten verarbeiten.

  • Ein Client, der über eine bestehende ECDH-Verbindung zu einem KMS verfügt, hält die Verbindung für einen Zeitraum aufrecht (ca. eine Stunde).

Generieren einer PKCS12-Datei mit OpenSSL

Vorbereitungen

  • OpenSSL ist eines der Tools, mit denen die PKCS12-Datei im richtigen Format für das Laden in das HDS-Setuptool erstellt werden kann. Es gibt auch andere Verfahren, keines davon wird von uns bevorzugt.

  • Wenn Sie sich für die Verwendung von OpenSSL entscheiden, stellen wir Ihnen dieses Verfahren als Richtlinie zur Verfügung, um eine Datei zu erstellen, die die X.509-Zertifikatsanforderungen in X.509-Zertifikatsanforderungen erfüllt. Machen Sie sich mit diesen Anforderungen vertraut, bevor Sie fortfahren.

  • Installieren Sie OpenSSL in einer unterstützten Umgebung. Software und Dokumentation finden Sie auf https://www.openssl.org.

  • Erstellen Sie einen privaten Schlüssel.

  • Beginnen Sie mit diesem Verfahren, wenn Sie das Serverzertifikat von Ihrer Zertifizierungsstelle (CA, Certificate Authority) erhalten.

1

Wenn Sie das Zertifikat von der CA erhalten, speichern Sie es als hdsnode.pem.

2

Zeigen Sie das Zertifikat als Text an, und überprüfen Sie die Details.

openssl x509 -text -noout -in hdsnode.pem

3

Erstellen Sie in einem Text-Editor eine Zertifikatpaketdatei namens hdsnode-bundle.pem. Die Paketdatei muss das Serverzertifikat, alle CA-Zwischenzertifikate sowie die CA-Stammzertifikate im unten angegebenen Format enthalten:

-----BEGIN CERTIFICATE------ ### Serverzertifikat. ### -----END CERTIFICATE------- BEGIN CERTIFICATE----- ### Zwischenzertifikat. ### -----END CERTIFICATE-------BEGIN CERTIFICATE----- ### Stamm-CA-Zertifikat. ### -----END CERTIFICATE-----

4

Erstellen Sie die P12-Datei mit dem Anzeigenamen kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Überprüfen Sie die Zertifikatdetails.

  1. openssl pkcs12 -in hdsnode.p12

  2. Geben Sie ein Passwort an der Eingabeaufforderung ein, um den privaten Schlüssel zu verschlüsseln, sodass er in der Ausgabe aufgeführt wird. Überprüfen Sie dann, ob der private Schlüssel und das erste Zertifikat die folgenden Zeilen enthalten: friendlyName: kms-private-key.

    Beispiel:

    bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Schlüsselattribute:  PEM-Passphrase eingeben: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY-----  -----END ENCRYPTED PRIVATE KEY----- Bag Attribute friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE-----

Nächste Schritte

Kehren Sie zurück zu Voraussetzungen für Hybrid-Datensicherheit erfüllen. Sie verwenden die Datei hdsnode.p12 und das Passwort, das Sie dafür festgelegt haben, unter Erstellen einer Konfigurations-ISO für die HDS-Hosts.

Sie können diese Dateien wiederverwenden, um ein neues Zertifikat anzufordern, wenn das ursprüngliche Zertifikat abläuft.

Datenverkehr zwischen den HDS-Knoten und der Cloud

Metriksammlung von ausgehendem Datenverkehr

Die Hybrid-Datensicherheitsknoten senden bestimmte Metriken an die Webex-Cloud. Dazu gehören Systemmetriken für max. Heap, verbrauchter Heap, CPU-Auslastung und Threadanzahl; Metriken zu synchronen und asynchronen Threads; Metriken zu Warnungen, darunter auch ein Schwellenwert der verschlüsselten Verbindungen, Latenz oder eine Anforderungswarteschlangenlänge; Metriken zum Datenspeicher; und Metriken zu verschlüsselten Verbindungen. Die Knoten senden verschlüsseltes Schlüsselmaterial über einen Out-of-Band-Kanal (separat von der Anforderung).

Eingehender Datenverkehr

Die Hybrid-Datensicherheitsknoten erhalten die folgenden Arten von eingehendem Datenverkehr von der Webex-Cloud:

  • Verschlüsselungsanforderungen von Clients, die vom Verschlüsselungsdienst umgeleitet werden

  • Upgrades für die Knoten-Software

Konfigurieren von Tintenfisch für die Hybriddatensicherheit

WebSocket kann nicht über SquID Proxy verbunden werden

Squid-Proxys, die den HTTPS-Datenverkehr prüfen, können die Einrichtung von Websocket-Verbindungen (wss:) beeinträchtigen, die für Hybrid Data Security erforderlich ist. Diese Abschnitte geben Anweisungen, wie Sie verschiedene Versionen von Squid konfigurieren, um WSS zu ignorieren: Datenverkehr für den ordnungsgemäßen Ablauf der Services.

Squid 4 und 5

Fügen Sie die on_unsupported_protocol Richtlinie zu squid.conf hinzu:

on_unsupported_protocol Alle tunnel

Squid 3.5.27

Wir haben die Hybriddatensicherheit erfolgreich mit den folgenden Regeln getestet, die zu squid .conf hinzugefügt wurden. Diese Regeln können sich geändert werden, da wir Funktionen entwickeln und die WebEx Cisco aktualisieren.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 alle ssl_bump stare step2 alle ssl_bump bump step3 alle

Hybrid-Datensicherheitscluster einrichten

Ablauf der Bereitstellungsaufgabe für die Hybrid-Datensicherheit

Vorbereitungen

1

Erste Einrichtung durchführen und Installationsdateien herunterladen

Laden Sie die OVA-Datei für eine spätere Verwendung auf Ihren lokalen Computer herunter.

2

Erstellen einer ISO-Konfigurationsdatei für die HDS-Hosts

Erstellen Sie mit dem HDS Setup Tool eine ISO-Konfigurationsdatei für die Hybrid-Datensicherheitsknoten.

3

Installieren des HDS Host OVA

Erstellen Sie eine virtuelle Maschine aus der OVA-Datei und führen Sie eine erste Konfiguration durch, z. B. Netzwerkeinstellungen.

Die Option zum Konfigurieren der Netzwerkeinstellungen während der OVA-Bereitstellung wurde mit ESXi 7.0 getestet. In früheren Versionen ist diese Option möglicherweise nicht verfügbar.

4

Einrichten der Hybrid-Datensicherheits-VM

Melden Sie sich bei der VM-Konsole an und legen Sie die Anmeldeinformationen fest. Konfigurieren Sie die Netzwerkeinstellungen für den Knoten, falls Sie diese bei der OVA-Bereitstellung nicht konfiguriert haben.

5

Hochladen und Mounten der HDS-Konfigurations-ISO

Konfigurieren Sie die VM aus der ISO-Konfigurationsdatei, die Sie mit dem HDS Setup Tool erstellt haben.

6

Konfigurieren des HDS Knotens für Proxyintegration

Wenn für die Netzwerkumgebung eine Proxy-Konfiguration erforderlich ist, geben Sie den Proxy-Typ an, den Sie für den Knoten verwenden möchten, und fügen Sie das Proxy-Zertifikat ggf. zum Vertrauensspeicher hinzu.

7

Ersten Knoten im Cluster registrieren

Registrieren Sie die VM in der Cisco Webex Cloud als Hybrid-Datensicherheitsknoten.

8

Weitere Knoten erstellen und registrieren

Schließen Sie die Cluster-Einrichtung ab.

9

Aktivieren Sie Multi-Tenant-HDS in Partner Hub.

Aktivieren Sie HDS und verwalten Sie Mandantenorganisationen in Partner Hub.

Erste Einrichtung durchführen und Installationsdateien herunterladen

Bei dieser Aufgabe laden Sie eine OVA-Datei auf Ihren Computer herunter (nicht auf die Server, die Sie als Hybrid-Datensicherheitsknoten eingerichtet haben). Sie können diese Datei zu einem späteren Zeitpunkt im Installationsprozess verwenden.

1

Melden Sie sich bei Partner Hub an und klicken Sie auf Dienste.

2

Suchen Sie im Abschnitt „Cloud-Dienste“ nach der Hybrid-Datensicherheitskarte und klicken Sie auf Einrichten.

Das Klicken auf Einrichten in Partner Hub ist entscheidend für den Bereitstellungsprozess. Fahren Sie mit der Installation nicht fort, ohne diesen Schritt abzuschließen.

3

Klicken Sie auf Ressource hinzufügen und dann auf OVA-Datei herunterladen auf der Karte Software installieren und konfigurieren .

Ältere Versionen des Softwarepakets (OVA) sind mit den neuesten Upgrades für die Hybrid-Datensicherheit nicht kompatibel. Dies kann zu Problemen beim Upgrade der Anwendung führen. Stellen Sie sicher, dass Sie die neueste Version der OVA-Datei herunterladen.

Sie können die OVA auch jederzeit im Abschnitt Hilfe herunterladen. Klicken Sie auf Einstellungen > Hilfe > Hybrid-Datensicherheitssoftware herunterladen.

Der Download der OVA-Datei beginnt automatisch. Speichern Sie die Datei auf Ihrem Computer.
4

Klicken Sie optional auf Bereitstellungsleitfaden zur Hybrid-Datensicherheit anzeigen , um zu überprüfen, ob eine spätere Version dieses Leitfadens verfügbar ist.

Erstellen einer ISO-Konfigurationsdatei für die HDS-Hosts

Beim Einrichtungsprozess für die Hybrid-Datensicherheit wird eine ISO-Datei erstellt. Anschließend verwenden Sie die ISO, um Ihren Hybrid-Datensicherheitshost zu konfigurieren.

Vorbereitungen
1

Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

In regulären Umgebungen:

docker rmi ciscocitg/hds-setup:stabil

In FedRAMP-Umgebungen:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

2

Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

Docker Anmeldung -u hdscustomersro
3

Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

In regulären Umgebungen:

docker pull ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

  • In regulären Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In FedRAMP-Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express-Server hören auf Port 8080) sehen.

6

Das Setup-Tool unterstützt die Verbindung zu localhost über http://localhost:8080 nicht. Verwenden Sie http://127.0.0.1:8080 , um eine Verbindung zum Localhost herzustellen.

Navigieren Sie in einem Webbrowser zum Localhost, http://127.0.0.1:8080, und geben Sie bei Aufforderung den Admin-Benutzernamen für Partner Hub ein.

Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto festzulegen. Das Tool zeigt dann die Standard-Anmeldeaufforderung an.

7

Wenn Sie dazu aufgefordert werden, geben Sie Ihre Partner Hub-Administratoranmeldeinformationen ein und klicken Sie dann auf Anmelden , um den Zugriff auf die für die Hybrid-Datensicherheit erforderlichen Dienste zu erlauben.

8

Klicken Sie auf der Übersichtsseite des Setup Tool auf Get Started (Erste Schritte).

9

Auf der Seite ISO-Import stehen Ihnen folgende Optionen zur Verfügung:

  • Nein – Wenn Sie Ihren ersten HDS-Knoten erstellen, müssen Sie keine ISO-Datei hochladen.
  • Ja: Wenn Sie bereits HDS-Knoten erstellt haben, wählen Sie Ihre ISO-Datei im Browse aus und laden Sie sie hoch.
10

Überprüfen Sie, ob Ihr X.509-Zertifikat die Anforderungen in X.509-Zertifikatsanforderungen erfüllt.

  • Wenn Sie noch nie ein Zertifikat hochgeladen haben, laden Sie das X.509-Zertifikat hoch, geben Sie das Passwort ein und klicken Sie auf Weiter.
  • Wenn Ihr Zertifikat in Ordnung ist, klicken Sie auf Weiter.
  • Wenn Ihr Zertifikat abgelaufen ist oder Sie es ersetzen möchten, wählen Sie Nein für Weiterhin HDS-Zertifikatskette und privaten Schlüssel aus vorheriger ISO verwenden? aus. Laden Sie ein neues X.509-Zertifikat hoch, geben Sie das Passwort ein und klicken Sie auf Weiter.
11

Geben Sie die Datenbankadresse und das Konto für HDS ein, um auf Ihren Schlüsseldatenspeicher zuzugreifen:

  1. Wählen Sie Ihren Datenbanktyp (PostgreSQL oder Microsoft SQL Server) aus.

    Wenn Sie Microsoft SQL Server auswählen, wird das Feld „Authentifizierungstyp“ angezeigt.

  2. (Nur Microsoft SQL Server ) Wählen Sie Ihren Authentifizierungstyp aus:

    • Basisauthentifizierung: Sie benötigen einen lokalen SQL-Server-Kontonamen im Feld Benutzername .

    • Windows-Authentifizierung: Sie benötigen ein Windows-Konto im Format Benutzername@DOMÄNE im Feld Benutzername .

  3. Geben Sie die Adresse des Datenbankservers im Format : oder : ein.

    Beispiel:
    dbhost.example.org:1433 oder 198.51.100.17:1433

    Sie können eine IP-Adresse für die Basisauthentifizierung verwenden, wenn die Knoten nicht DNS zur Auflösung des Hostnamens verwenden können.

    Wenn Sie die Windows-Authentifizierung verwenden, müssen Sie einen vollständig qualifizierten Domänennamen im Format dbhost.example.org:1433 eingeben.

  4. Geben Sie den Datenbanknamen ein.

  5. Geben Sie den Benutzernamen und das Kennwort eines Benutzers mit allen Berechtigungen in der Schlüsselspeicherdatenbank ein.

12

Wählen Sie einen TLS-Datenbankverbindungsmodus aus:

Modus

Beschreibung

TLS bevorzugen (Standardoption)

HDS-Knoten benötigen kein TLS, um eine Verbindung zum Datenbankserver herzustellen. Wenn Sie TLS auf dem Datenbankserver aktivieren, versuchen die Knoten eine verschlüsselte Verbindung.

TLS erforderlich

HDS-Knoten verbinden sich nur, wenn der Datenbankserver TLS aushandeln kann.

TLS erforderlich und Zertifikat signer überprüfen

Dieser Modus gilt nicht für SQL Server-Datenbanken.

  • HDS-Knoten verbinden sich nur, wenn der Datenbankserver TLS aushandeln kann.

  • Nach dem Herstellen einer TLS-Verbindung vergleicht der Knoten den Unterzeichner des Zertifikats vom Datenbankserver mit der Zertifizierungsstelle im Datenbank-Stammzertifikat. Wenn sie nicht übereinstimmen, wird die Verbindung durch den Knoten hergestellt.

Verwenden Sie die Stammzertifikat-Steuerung unterhalb des Dropdown-Dropdowns, um den Stammzertifikat Option hochzuladen.

TLS erforderlich und Zertifikats signer und Hostname überprüfen

  • HDS-Knoten verbinden sich nur, wenn der Datenbankserver TLS aushandeln kann.

  • Nach dem Herstellen einer TLS-Verbindung vergleicht der Knoten den Unterzeichner des Zertifikats vom Datenbankserver mit der Zertifizierungsstelle im Datenbank-Stammzertifikat. Wenn sie nicht übereinstimmen, wird die Verbindung durch den Knoten hergestellt.

  • Die Knoten überprüfen außerdem, ob der Host-Name im Serverzertifikat mit dem Host-Namen im Feld Datenbank-Host und Port übereinstimmt. Die Namen müssen genau mit den Namen übereinstimmen, oder der Knoten unterfällt die Verbindung.

Verwenden Sie die Stammzertifikat-Steuerung unterhalb des Dropdown-Dropdowns, um den Stammzertifikat Option hochzuladen.

Wenn Sie das Stammzertifikat hochladen (falls erforderlich) und auf Weiter klicken, testet das HDS Setup Tool die TLS-Verbindung zum Datenbankserver. Das Tool überprüft auch den Zertifikat signer und den Hostnamen, falls vorhanden. Wenn ein Test fehlschlägt, zeigt das Tool eine Fehlermeldung an, in der das Problem beschrieben wird. Sie können auswählen, ob Sie den Fehler ignorieren und mit der Einrichtung fortfahren möchten. (Aufgrund von Verbindungsunterschieden können die HDS-Knoten möglicherweise eine TLS-Verbindung herstellen, auch wenn das HDS Setup Tool diese nicht erfolgreich testen kann.)

13

Konfigurieren Sie auf der Seite Systemprotokolle Ihren Syslogd-Server:

  1. Geben Sie die URL des Syslog-Servers ein.

    Wenn der Server nicht über die Knoten für Ihr HDS-Cluster DNS-aufgelöst werden kann, verwenden Sie eine IP-Adresse in der URL.

    Beispiel:
    udp://10.92.43.23:514 zeigt die Protokollierung auf dem Syslogd-Host 10.92.43.23 auf UDP-Port 514 an.

  2. Wenn Sie Ihren Server für die Verwendung der TLS-Verschlüsselung einrichten, aktivieren Sie das Kontrollkästchen Ist Ihr Syslog-Server für die SSL-Verschlüsselung konfiguriert?.

    Wenn Sie dieses Kontrollkästchen aktivieren, stellen Sie sicher, dass Sie eine TCP-URL eingeben, z. B. tcp://10.92.43.23:514.

  3. Wählen Sie in der Dropdown-Liste Syslog-Aufzeichnungsbeendigung auswählen die entsprechende Einstellung für Ihre ISO-Datei aus: Choose or NewLine wird für Graylog und Rsyslog TCP verwendet

    • Null-Byte -- \x00

    • Neue Zeile -- \n– Wählen Sie diese Auswahl für Graylog und Rsyslog TCP.

  4. Klicken Sie auf Weiter.

14

(Optional) Sie können den Standardwert für einige Datenbankverbindungsparameter unter Erweiterte Einstellungen ändern. Im Allgemeinen ist dieser Parameter der einzige, den Sie ändern möchten:

app_datasource_connection_pool_maxGröße: 10
15

Klicken Sie im Bildschirm Kennwort für Dienstkonten zurücksetzen auf Weiter .

Passwörter für Dienstkonten haben eine Lebensdauer von neun Monaten. Verwenden Sie diesen Bildschirm, wenn Ihre Passwörter bald ablaufen oder Sie sie zurücksetzen möchten, um frühere ISO-Dateien ungültig zu machen.

16

Klicken Sie auf Download ISO File (ISO-Datei herunterladen). Speichern Sie die Datei an einem leicht auffindbaren Speicherort.

17

Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System.

Sichern Sie die Sicherungskopie sicher. Die Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff auf Administratoren für Hybrid-Datensicherheit, die Konfigurationsänderungen vornehmen sollten.

18

Um das Setup Tool herunterzufahren, tippen Sie STRG+C ein.

Nächste Schritte

Sichern Sie die ISO-Konfigurationsdatei. Sie benötigen sie, um weitere Knoten für die Wiederherstellung zu erstellen oder Konfigurationsänderungen vorzunehmen. Wenn Sie alle Kopien der ISO-Datei verlieren, haben Sie auch den Hauptschlüssel verloren. Die Schlüssel aus Ihrer PostgreSQL- oder Microsoft SQL Server-Datenbank können nicht wiederhergestellt werden.

Wir haben nie eine Kopie dieses Schlüssels und können nicht helfen, wenn Sie ihn verlieren.

Installieren des HDS Host OVA

Verwenden Sie dieses Verfahren, um eine virtuelle Maschine aus der OVA-Datei zu erstellen.
1

Melden Sie sich über den VMware vSphere-Client auf Ihrem Computer bei dem ESXi virtuellen Host an.

2

Wählen Sie Datei > OVF-Vorlage bereitstellen aus.

3

Geben Sie im Assistenten den Speicherort der OVA-Datei an, die Sie zuvor heruntergeladen haben, und klicken Sie auf Weiter.

4

Geben Sie auf der Seite Name und Ordner auswählen einen Namen der virtuellen Maschine für den Knoten ein (z. B. „HDS_Node_1“), wählen Sie einen Ort aus, an dem sich die Knotenbereitstellung der virtuellen Maschine befinden kann, und klicken Sie auf Weiter.

5

Wählen Sie auf der Seite Berechnungsressource auswählen die Ziel-Berechnungsressource aus, und klicken Sie auf Weiter.

Eine Validierungsprüfung wird ausgeführt. Nach Abschluss werden die Vorlagendetails angezeigt.

6

Überprüfen Sie die Vorlagendetails, und klicken Sie dann auf Weiter.

7

Wenn Sie aufgefordert werden, die Ressourcenkonfiguration auf der Seite Konfiguration auszuwählen, klicken Sie auf 4 CPU und dann auf Weiter.

8

Klicken Sie auf der Seite Speicher auswählen auf Weiter , um das standardmäßige Festplattenformat und die VM-Speicherrichtlinie zu akzeptieren.

9

Wählen Sie auf der Seite Netzwerke auswählen die Netzwerkoption aus der Liste der Einträge aus, um die gewünschte Konnektivität für die VM bereitzustellen.

10

Konfigurieren Sie auf der Seite Vorlage anpassen die folgenden Netzwerkeinstellungen:

  • Host-Name: Geben Sie den FQDN (Host-Name und Domäne) oder ein Wort des Host-Namens für den Knoten ein.

    • Sie müssen die Domäne nicht auf die Domäne ändern, über die Sie das X.509-Zertifikat erhalten haben.

    • Um eine erfolgreiche Registrierung in der Cloud sicherzustellen, verwenden Sie im FQDN oder dem Hostnamen, den Sie für den Knoten festgelegt haben, nur Kleinbuchstaben. Großbuchstaben werden derzeit nicht unterstützt.

    • Der FQDN darf insgesamt nicht länger als 64 Zeichen sein.

  • IP-Adresse: Geben Sie die IP-Adresse für die interne Schnittstelle des Knotens ein.

    Ihr Knoten hat jetzt eine interne IP-Adresse und einen DNS-Namen. DHCP wird nicht unterstützt.

  • Maske: Geben Sie die Adresse der Subnetzmaske in Punkt-Dezimalschrift ein. Beispiel: 255.255.255.0.
  • Gateway: Geben Sie die Gateway-IP-Adresse ein. Ein Gateway ist ein Netzwerkknoten, der als Zugangspunkt zu einem anderen Netzwerk dient.
  • DNS-Server: Geben Sie eine durch Kommas getrennte Liste von DNS-Servern ein, die die Übersetzung von Domänennamen in numerische IP-Adressen verarbeiten. (Es sind bis zu 4 DNS-Einträge zulässig.)
  • NTP-Server – Geben Sie den NTP-Server Ihrer Organisation oder einen anderen externen NTP-Server ein, der in Ihrer Organisation verwendet werden kann. Die Standard-NTP-Server funktionieren möglicherweise nicht für alle Unternehmen. Sie können auch eine durch Kommas getrennte Liste verwenden, um mehrere NTP-Server einzugeben.

  • Stellen Sie alle Knoten im selben Subnetz oder VLAN bereit, damit alle Knoten in einem Cluster zu Verwaltungszwecken von Clients in Ihrem Netzwerk aus erreichbar sind.

Wenn Sie dies vorziehen, können Sie die Konfiguration der Netzwerkeinstellungen überspringen und die Schritte unter Einrichten der Hybrid-Datensicherheit-VM befolgen, um die Einstellungen über die Knotenkonsole zu konfigurieren.

Die Option zum Konfigurieren der Netzwerkeinstellungen während der OVA-Bereitstellung wurde mit ESXi 7.0 getestet. In früheren Versionen ist diese Option möglicherweise nicht verfügbar.

11

Klicken Sie mit der rechten Maustaste auf die Knoten-VM, und wählen Sie Ein/Aus > Einschalten.

Die Hybrid-Datensicherheitssoftware wird als Gast auf dem VM-Host installiert. Sie können sich jetzt bei der Konsole anmelden und den Knoten konfigurieren.

Leitfaden zur Fehlerbehebung

Es kann zu einer Verzögerung von einigen Minuten kommen, bis die Knotencontainer angezeigt werden. Beim erstmaligen Start wird eine Bridge-Firewall-Nachricht angezeigt, während der Sie sich anmelden können.

Einrichten der Hybrid-Datensicherheits-VM

Mit diesem Verfahren können Sie sich zum ersten Mal bei der VM-Konsole des Hybrid-Datensicherheitsknotens anmelden und die Anmeldeinformationen festlegen. Sie können auch die Konsole verwenden, um die Netzwerkeinstellungen für den Knoten zu konfigurieren, falls Sie diese bei der OVA-Bereitstellung nicht konfiguriert haben.

1

Wählen Sie im VMware vSphere-Client, Ihre Hybrid-Datensicherheitsknoten-VM und daraufhin die Registerkarte Console (Konsole) aus.

Die VM fährt hoch und ein Anmeldebildschirm erscheint. Drücken Sie die Eingabetaste, falls der Anmeldebildschirm nicht angezeigt wird.
2

Verwenden Sie den folgenden Standard-Anmeldenamen und das Standardkennwort, um sich anzumelden und die Anmeldedaten zu ändern:

  1. Benutzername: admin

  2. Passwort: Cisco

Da Sie sich zum ersten Mal bei der VM anmelden, müssen Sie das Administratorkennwort ändern.

3

Wenn Sie die Netzwerkeinstellungen bereits unter Installieren der HDS-Host-OVA konfiguriert haben, überspringen Sie den Rest dieses Verfahrens. Wählen Sie andernfalls im Hauptmenü die Option Konfiguration bearbeiten aus.

4

Richten Sie eine statische Konfiguration ein und geben Sie die Daten für IP-Adresse, Maske, Gateway und DNS ein. Ihr Knoten hat jetzt eine interne IP-Adresse und einen DNS-Namen. DHCP wird nicht unterstützt.

5

(Optional) Ändern Sie die Werte für Hostname, Domäne oder NTP-Server, wenn dies gemäß Ihren Netzwerkrichtlinien erforderlich ist.

Sie müssen die Domäne nicht auf die Domäne ändern, über die Sie das X.509-Zertifikat erhalten haben.

6

Speichern Sie die Netzwerkkonfiguration und starten Sie die VM neu, damit die Änderungen in Kraft treten.

Hochladen und Mounten der HDS-Konfigurations-ISO

Verwenden Sie dieses Verfahren, um die virtuelle Maschine über die ISO-Datei, die Sie mit dem HDS Setup Tool erstellt haben, zu konfigurieren.

Vorbereitungen

Da die ISO-Datei den Hauptschlüssel enthält, sollte sie nur auf Basis eines "Need-to-Know"-Basis zugänglich gemacht werden, für den Zugriff durch die Hybrid Data Security-VMs und alle Administratoren, die möglicherweise Änderungen vornehmen müssen. Stellen Sie sicher, dass nur diese Administratoren Zugriff auf den Datenspeicher haben.

1

Laden Sie die ISO-Datei von Ihrem Computer hoch:

  1. Klicken Sie im linken Navigationsbereich des VMware vSphere Client auf den ESXi-Server.

  2. Klicken Sie in der Hardwareliste der Registerkarte „Configuration“ (Konfiguration) auf Storage (Speicher).

  3. Rechtsklicken Sie in der Datenspeicher-Liste auf den Datenspeicher Ihrer VMs. Klicken Sie daraufhin auf Browse Datastore (Datenspeicher durchsuchen).

  4. Klicken Sie auf das Symbol „Upload Files“ (Dateien hochladen) und daraufhin auf Upload File (Datei hochladen).

  5. Navigieren Sie zum Speicherort der ISO-Datei auf Ihrem Computer und klicken Sie auf Open (Öffnen).

  6. Klicken Sie auf Yes (Ja), um die Upload/Download-Warnung zu bestätigen und schließen Sie den Datenspeicherdialog.

2

Mounten Sie die ISO-Datei:

  1. Rechtsklicken Sie im linken Navigationsbereich des VMware vSphere Client auf die VM. Klicken Sie daraufhin auf Edit Settings (Einstellungen bearbeiten).

  2. Klicken Sie auf OK, um die Warnung zu eingeschränkten Optionen zu bestätigen.

  3. Klicken Sie auf CD/DVD-Laufwerk 1, wählen Sie die Option zum Mounten einer Datenspeicher-ISO-Datei aus und navigieren Sie zu dem Speicherort, zu dem Sie die ISO-Konfigurationsdatei hochgeladen haben.

  4. Aktivieren Sie die Kontrollkästchen Connected (Verbunden) und Connect at power on (Beim Einschalten verbinden).

  5. Speichern Sie Ihre Änderungen und starten Sie die virtuelle Maschine neu.

Nächste Schritte

Wenn Ihre IT-Richtlinie dies erfordert, können Sie optional die ISO-Datei unmounten, nachdem alle Knoten die Konfigurationsänderungen übernommen haben. Weitere Informationen finden Sie unter (Optional) ISO nach HDS-Konfiguration unmounten .

Konfigurieren des HDS Knotens für Proxyintegration

Wenn die Netzwerkumgebung einen Proxy erfordert, geben Sie mit diesem Vorgang den Typ des Proxy an, den Sie in die Hybriddatensicherheit integrieren möchten. Wenn Sie einen transparenten Anrufproxy oder einen HTTPS expliziten Proxy wählen, können Sie die Stammzertifikat über die Schnittstelle des Knotens hochladen und installiert werden. Sie können auch die Proxyverbindung über die Schnittstelle überprüfen und mögliche Probleme beheben.

Vorbereitungen

1

Geben Sie den HDS Knoten Setup URL https://[HDS Node IP oder FQDN]/Setup in einem Webbrowser ein, geben Sie die Administrationsdaten ein, die Sie für den Knoten eingerichtet haben, und klicken Sie dann auf Anmelden.

2

Gehen Sie zu Trust Store & Proxyund wählen Sie dann eine Option:

  • Kein Proxy – Die Standardoption, bevor Sie einen Proxy integrieren. Es ist keine Zertifikatsaktualisierung erforderlich.
  • Transparenter Proxy ohne Prüfung: Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert und sollten keine Änderungen erfordern, um mit einem Proxy ohne Prüfung zu arbeiten. Es ist keine Zertifikatsaktualisierung erforderlich.
  • Transparentes Prüfen des Proxys: Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert. Bei der Bereitstellung der Hybriden Datensicherheit sind keine HTTPS-Konfigurationshinstellungsänderungen erforderlich, allerdings benötigen die Hägg-Knoten eine Stammzertifikat, damit Sie dem Proxy Vertrauen. Die Inspektion von Proxys wird in der Regel von ihm verwendet, um Strategien durchzusetzen, welche Websites besichtigt werden können und welche Arten von Inhalten nicht zulässig sind. Diese Art von Proxy entschlüsselt den gesamten Datenverkehr (auch HTTPS).
  • Expliziter Proxy – Mit explizitem Proxy können Sie dem Client (HDS-Knoten) mitteilen, welcher Proxyserver verwendet werden soll. Diese Option unterstützt mehrere Authentifizierungstypen. Nachdem Sie diese Option aktiviert haben, müssen Sie folgende Informationen eingeben:

    1. Proxy-IP/FQDN: Adresse, die verwendet werden kann, um die Proxy-Maschine zu erreichen.

    2. Proxy-Port: Eine Portnummer, die der Proxy verwendet, um nach proxyem Datenverkehr zu suchen.

    3. Proxy-Protokoll – Wählen Sie http (zeigt alle Anforderungen an und steuert sie, die vom Client empfangen werden) oder https (stellt einen Kanal zum Server bereit, und der Client empfängt und validiert das Serverzertifikat). Wählen Sie eine Option, basierend auf Ihren Proxy-Server unterstützt.

    4. Authentifizierungstyp: Wählen Sie aus den folgenden Authentifizierungstypen aus:

      • Keine: Es ist keine weitere Authentifizierung erforderlich.

        Verfügbar für http oder HTTPS.

      • Basic – wird für einen HTTP-Benutzeragenten verwendet, um bei einer Anfrage einen Benutzernamen und ein Kennwort anzugeben. Zertifikatsformat verwendet.

        Verfügbar für http oder HTTPS.

        Wenn Sie diese Option auswählen, müssen Sie auch die Benutzername und das Passwort eingeben.

      • Digest – wird verwendet, um das Konto vor dem Senden sensibler Informationen zu bestätigen. Gibt eine Hashfunktion auf die Benutzername und das Passwort ein, bevor Sie über das Netzwerk senden.

        Nur für HTTPS Proxies verfügbar.

        Wenn Sie diese Option auswählen, müssen Sie auch die Benutzername und das Passwort eingeben.

Befolgen Sie die nächsten Schritte für einen transparenten Inspektionsproxy, einen HTTP expliziten Proxy mit Basisauthentifizierung oder einen HTTPS expliziten Proxy

3

Klicken Sie auf ein Zertifikat für das Stammzertifikat oder Endnutzerzertifikat hochladen, und navigieren Sie dann zu einer Stammzertifikat für den Proxy.

Das Zertifikat ist hochgeladen, aber noch nicht installiert, da Sie den Knoten neu starten müssen, um das Zertifikat zu installieren. Klicken Sie auf den Chevron Pfeil unter dem Namen des Zertifikats, um weitere Details zu erhalten, oder klicken Sie auf löschen, Wenn Sie Fehler gemacht haben und die Datei erneut hochladen möchten.

4

Klicken Sie auf Stellvertreterverbindung prüfen , um die Netzwerkverbindung zwischen dem Knoten und dem Proxy zu testen.

Wenn der Verbindungstest ausfällt, wird eine Fehlermeldung angezeigt, die den Grund und die Frage, wie Sie das Problem beheben können, anzeigt.

Wenn Sie eine Meldung sehen, dass eine externe DNS nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen. Diese Bedingung wird in vielen expliziten Proxykonfigurationen erwartet. Sie können mit dem Setup fortfahren, und der Knoten wird im gesperrten externen DNS-Server funktionieren. Wenn Sie glauben, dass es sich um einen Fehler handelt, führen Sie die folgenden Schritte aus. Siehe Modus für blockierte externe DNS-Auflösung deaktivieren.

5

Nach dem Durchführen des Verbindungstests, für expliziten Proxy, der nur auf HTTPS gesetzt ist, aktivieren Sie die Option so schalten Sie alle Port 443/444 https Anfragen aus diesem Knoten durch den expliziten Proxy Diese Einstellung benötigt 15 Sekunden, um wirksam zu werden.

6

Klicken Sie auf alle-Zertifizierungsstellen in den Trust Store installieren (erscheint für einen HTTPS expliziten Proxy oder einen transparenten Inspektionskrimi) oder Neustart (erscheint für einen HTTP expliziten Proxy), lesen Sie die Aufforderung, und klicken Sie dann auf in

Der Knoten startet innerhalb weniger Minuten.

7

Nachdem der Knoten erneut gestartet wurde, melden Sie sich bei Bedarf erneut an, und öffnen Sie dann die Übersichtsseite, um die Verbindungsüberprüfungen zu überprüfen, um sicherzustellen, dass Sie alle im grünen Status sind.

Die Proxyverbindung prüft nur eine Unterdomäne von WebEx.com. Wenn es Verbindungsprobleme gibt, ist ein häufiges Problem, dass einige der in den instructions aufgeführten-C-Domänen beim Proxy gesperrt werden.

Ersten Knoten im Cluster registrieren

Diese Aufgabe übernimmt den generischen Knoten, den Sie unter Einrichten der Hybrid Data Security-VM erstellt haben, registriert den Knoten bei der Webex Cloud und wandelt ihn in einen Hybrid Data Security-Knoten um.

Bei der Registrierung Ihres ersten Knotens erstellen Sie ein Cluster, zu dem der Knoten zugewiesen wird. Ein Cluster umfasst einen oder mehrere Knoten, die aus Redundanzgründen bereitgestellt werden.

Vorbereitungen

  • Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.

  • Stellen Sie sicher, dass alle Popupblocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.

1

Melden Sie sich bei https://admin.webex.com an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach der Karte „Hybrid-Datensicherheit“, und klicken Sie auf Einrichten.

4

Klicken Sie auf der sich öffnenden Seite auf Ressource hinzufügen.

5

Geben Sie im ersten Feld der Karte Knoten hinzufügen einen Namen für das Cluster ein, dem Sie Ihren Hybrid-Datensicherheitsknoten zuweisen möchten.

Benennen Sie Ihre Cluster nach Möglichkeit nach dem geografischen Standort der Clusterknoten. Beispiele: „San Francisco“ oder „New York“ oder „Dallas“

6

Geben Sie im zweiten Feld die interne IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) Ihres Knotens ein und klicken Sie unten auf dem Bildschirm auf Hinzufügen .

Diese IP-Adresse oder FQDN sollte mit der IP-Adresse oder dem Hostnamen und der Domäne übereinstimmen, die Sie beim Einrichten der Hybrid-Datensicherheit-VM verwendet haben.

Es wird eine Meldung angezeigt, dass Sie Ihren Knoten in Webex registrieren können.
7

Klicken Sie auf Go to Node (Zum Knoten wechseln).

Nach einigen Augenblicken werden Sie zu den Knoten-Konnektivitätstests für Webex-Dienste umgeleitet. Sind alle Tests erfolgreich, wird die Seite „Allow Access to Hybrid Data Security Node“ (Zugriff zu Hybrid-Datensicherheits-Knoten gewähren) angezeigt. Bestätigen Sie dort, dass Sie Ihrer Webex-Organisation die Zugriffsberechtigungen für Ihren Knoten erteilen möchten.

8

Aktivieren Sie das Kontrollkästchen Allow Access to Your Hybrid Data Security Node (Zugriff zu Ihrem Hybrid-Datensicherheits-Knoten gewähren) und klicken Sie anschließend auf Continue (Weiter).

Ihr Konto wird validiert, und die Meldung „Registrierung abgeschlossen“ zeigt an, dass Ihr Knoten jetzt in der Webex Cloud registriert ist.
9

Klicken Sie auf den Link oder schließen Sie die Registerkarte, um zur Partner Hub-Hybrid-Datensicherheitsseite zurückzukehren.

Auf der Seite Hybrid-Datensicherheit wird das neue Cluster mit dem registrierten Knoten auf der Registerkarte Ressourcen angezeigt. Der Knoten lädt die aktuelle Software automatisch aus der Cloud herunter.

Weitere Knoten erstellen und registrieren

Um Ihrem Cluster weitere Knoten hinzuzufügen, erstellen Sie einfach weitere VMs, mounten die ISO-Konfigurationsdatei und registrieren daraufhin den Knoten. Wir empfehlen, mindestens 3 Knoten zu betreiben.

Vorbereitungen

  • Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.

  • Stellen Sie sicher, dass alle Popupblocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.

1

Erstellen Sie eine neue virtuelle Maschine über die OVA und wiederholen Sie die Schritte unter Installieren der HDS-Host-OVA.

2

Richten Sie die Erstkonfiguration für die neue VM ein. Wiederholen Sie die Schritte unter Einrichten der Hybrid-Datensicherheit-VM.

3

Wiederholen Sie auf der neuen VM die Schritte unter HDS-Konfigurations-ISO hochladen und mounten.

4

Wenn Sie einen Proxy für Ihre Bereitstellung einrichten, wiederholen Sie die Schritte unter Konfigurieren des HDS-Knotens für die Proxy-Integration nach Bedarf für den neuen Knoten.

5

Registrieren Sie den Knoten.

  1. Wählen Sie unter https://admin.webex.com Services (Dienste) aus dem Menü auf der linken Bildschirmseite aus.

  2. Suchen Sie im Abschnitt „Cloud-Dienste“ nach der Hybrid-Datensicherheitskarte und klicken Sie auf Alle anzeigen.

    Die Seite „Hybrid-Datensicherheitsressourcen“ wird angezeigt.

  3. Der neu erstellte Cluster wird auf der Seite Ressourcen angezeigt.

  4. Klicken Sie auf den Cluster, um die dem Cluster zugewiesenen Knoten anzuzeigen.

  5. Klicken Sie rechts auf dem Bildschirm auf Knoten hinzufügen .

  6. Geben Sie die interne IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) Ihres Knotens ein und klicken Sie auf Hinzufügen.

    Es wird eine Seite mit einer Meldung geöffnet, die angibt, dass Sie Ihren Knoten in der Webex-Cloud registrieren können. Nach einigen Augenblicken werden Sie zu den Knoten-Konnektivitätstests für Webex-Dienste umgeleitet. Sind alle Tests erfolgreich, wird die Seite „Allow Access to Hybrid Data Security Node“ (Zugriff zu Hybrid-Datensicherheits-Knoten gewähren) angezeigt. Bestätigen Sie dort, dass Sie Ihrer Organisation die Zugriffsberechtigungen für Ihren Knoten erteilen möchten.

  7. Aktivieren Sie das Kontrollkästchen Allow Access to Your Hybrid Data Security Node (Zugriff zu Ihrem Hybrid-Datensicherheits-Knoten gewähren) und klicken Sie anschließend auf Continue (Weiter).

    Ihr Konto wird validiert, und die Meldung „Registrierung abgeschlossen“ zeigt an, dass Ihr Knoten jetzt in der Webex Cloud registriert ist.

  8. Klicken Sie auf den Link oder schließen Sie die Registerkarte, um zur Partner Hub-Hybrid-Datensicherheitsseite zurückzukehren.

    Die Popup-Meldung Knoten hinzugefügt wird auch unten auf dem Bildschirm in Partner Hub angezeigt.

    Ihr Knoten ist registriert.

Neue und geänderte Informationen

Neue und geänderte Informationen

In dieser Tabelle werden neue Funktionen, Änderungen an vorhandenen Inhalten und alle wichtigen Fehler beschrieben, die im Bereitstellungsleitfaden für Multi-Tenant-Hybrid-Datensicherheit behoben wurden.

Datum

Vorgenommenen Änderungen

08. Januar 2025

In Erste Einrichtung durchführen und Installationsdateien herunterladen wurde ein Hinweis hinzugefügt, dass das Klicken auf Einrichten auf der HDS-Karte in Partner Hub ein wichtiger Schritt des Installationsprozesses ist.

07. Januar 2025

Aktualisierte Anforderungen für virtuelle Gastgeber, Bereitstellungsaufgaben für Hybrid-Datensicherheit und Installieren der HDS-Host-OVA , um neue Anforderungen von ESXi 7.0 anzuzeigen.

13. Dezember 2024

Erste Veröffentlichung.

Multi-Tenant Hybrid-Datensicherheit deaktivieren

Multi-Tenant-HDS-Deaktivierungsaufgabenablauf

Führen Sie diese Schritte aus, um Multi-Tenant-HDS vollständig zu deaktivieren.

Vorbereitungen

Diese Aufgabe sollte nur von einem Partnervolladministrator ausgeführt werden.
1

Entfernen Sie alle Kunden aus allen Ihren Clustern, wie unter Mandantenorganisationen entfernen erwähnt.

2

Widerrufen Sie die CMKs aller Kunden, wie unter CMKs von Tenants, die aus HDS entfernt wurden erwähnt.

3

Entfernen Sie alle Knoten aus all Ihren Clustern, wie unter Einen Knoten entfernen erwähnt.

4

Löschen Sie alle Ihre Cluster aus Partner Hub mithilfe einer der folgenden beiden Methoden.

  • Klicken Sie auf den Cluster, den Sie löschen möchten, und wählen Sie Diesen Cluster löschen in der oberen rechten Ecke der Übersichtsseite.
  • Klicken Sie auf der Seite „Ressourcen“ auf der rechten Seite eines Clusters auf ... und wählen Sie Cluster entfernen aus.
5

Klicken Sie auf der Übersichtsseite zur Hybrid-Datensicherheit auf die Registerkarte Einstellungen und klicken Sie auf der HDS-Statuskarte auf HDS deaktivieren .

Erste Schritte mit der Multi-Tenant-Hybrid-Datensicherheit

Multi-Tenant Hybrid-Datensicherheit – Übersicht

Vom ersten Tag an stand die Datensicherheit im Mittelpunkt der Entwicklung der Webex-App. Der Eckpfeiler dieser Sicherheit ist die durchgängige Verschlüsselung von Inhalten, die durch die Interaktion der Webex-App-Clients mit dem Schlüsselverwaltungsdienst (Key Management Service, KMS) ermöglicht wird. Der KMS erstellt und verwaltet die Kryptografieschlüssel, mit denen die Clients ihre Nachrichten und Dateien dynamisch ver- und entschlüsseln.

Standardmäßig erhalten alle Webex-App-Kunden eine durchgängige Verschlüsselung mit dynamischen Schlüsseln, die im Cloud-KMS im Sicherheitsbereich von Cisco gespeichert werden. Mit Hybrid Data Security werden KMS und andere Sicherheitsfunktionen in das Rechenzentrum Ihres Unternehmens verschoben, damit die Schlüssel zu ihren verschlüsselten Inhalten ausschließlich bei Ihnen liegen.

Multi-Tenant Hybrid Data Security ermöglicht es Unternehmen, HDS über einen vertrauenswürdigen lokalen Partner zu nutzen, der als Dienstleister fungieren und lokale Verschlüsselungs- und andere Sicherheitsdienste verwalten kann. Diese Einrichtung ermöglicht der Partnerorganisation die vollständige Kontrolle über die Bereitstellung und Verwaltung von Verschlüsselungscodes und stellt sicher, dass die Benutzerdaten von Kundenorganisationen vor externem Zugriff geschützt sind. Partnerorganisationen richten HDS-Instanzen ein und erstellen nach Bedarf HDS-Cluster. Im Gegensatz zu einer normalen HDS-Bereitstellung, die auf eine einzelne Organisation beschränkt ist, kann jede Instanz mehrere Kundenorganisationen unterstützen.

Partnerorganisationen haben zwar die Kontrolle über die Bereitstellung und Verwaltung, sie haben jedoch keinen Zugriff auf von Kunden generierte Daten und Inhalte. Dieser Zugriff ist auf Kundenorganisationen und ihre Benutzer beschränkt.

Dadurch können kleinere Organisationen auch HDS nutzen, da Schlüsselverwaltungsdienst und Sicherheitsinfrastruktur wie Rechenzentren im Besitz des vertrauenswürdigen lokalen Partners sind.

So bietet Multi-Tenant Hybrid Data Security Datensouveränität und Datenkontrolle

  • Benutzergenerierte Inhalte sind wie Cloud-Dienstanbieter vor externem Zugriff geschützt.
  • Vertrauenswürdige Partner vor Ort verwalten die Verschlüsselungscodes von Kunden, mit denen sie bereits eine bestehende Beziehung haben.
  • Option für lokalen technischen Support, falls vom Partner bereitgestellt.
  • Unterstützt Meeting-, Messaging- und Calling-Inhalte.

Dieses Dokument soll Partnerorganisationen bei der Einrichtung und Verwaltung von Kunden in einem Multi-Tenant-Hybrid-Datensicherheitssystem unterstützen.

Rollen in der Multi-Tenant-Hybrid-Datensicherheit

  • Partner-Volladministrator – Kann Einstellungen für alle Kunden verwalten, die der Partner verwaltet. Außerdem können Sie bereits vorhandenen Benutzern in der Organisation Administratorrollen zuweisen und bestimmte Kunden für die Verwaltung durch Partneradministratoren zuweisen.
  • Partneradministrator – Kann Einstellungen für Kunden verwalten, die der Administrator bereitgestellt hat oder die dem Benutzer zugewiesen wurden.
  • Volladministrator – Administrator der Partnerorganisation, der berechtigt ist, Aufgaben auszuführen, z. B. die Änderung von Organisationseinstellungen, die Verwaltung von Lizenzen und das Zuweisen von Rollen.
  • Durchgängige Multi-Tenant-HDS-Einrichtung und -Verwaltung aller Kundenorganisationen – Partner-Volladministrator und Volle Administratorrechte erforderlich.
  • Verwaltung zugewiesener Mandanten-Organisationen – Partneradministrator und volle Administratorrechte erforderlich.

Sicherheitsbereichsarchitektur

Die Webex-Cloud-Architektur unterteilt verschiedene Arten von Diensten in separate Bereiche oder Vertrauensdomänen, wie unten dargestellt.

Bereiche der Trennung (ohne Hybrid-Datensicherheit)

Um die Hybrid-Datensicherheit besser zu verstehen, schauen wir uns zunächst diesen reinen Cloud-Fall an, bei dem Cisco alle Funktionen in seinen Cloud-Bereichen bereitstellt. Der Identitätsdienst, der einzige Ort, an dem Benutzer direkt mit ihren persönlichen Informationen in Verbindung gebracht werden können, wie z. B. die E-Mail-Adresse, ist logisch und physisch vom Sicherheitsbereich in Rechenzentrum B getrennt. Er ist wiederum von dem Bereich getrennt, in dem verschlüsselte Inhalte letztendlich gespeichert werden, in Rechenzentrum C.

In diesem Diagramm ist der Client die Webex-App, die auf dem Laptop eines Benutzers ausgeführt wird und sich mit dem Identitätsdienst authentifiziert hat. Wenn der Benutzer eine Nachricht verfasst, die er an einen Bereich senden möchte, finden folgende Schritte statt:

  1. Der Client stellt eine sichere Verbindung zum Schlüsselverwaltungsdienst her, und fordert anschließend einen Schlüssel zum Verschlüsseln der Nachricht an. Die sichere Verbindung verwendet ECDH und der Schlüsselverwaltungsdienst verschlüsselt den Schlüssel mit einem AES-256-Hauptschlüssel.

  2. Die Nachricht wird verschlüsselt, bevor sie den Client verlässt. Der Client sendet sie an den Indexdienst, der verschlüsselte Suchindizes erstellt, um zukünftige Suchvorgänge nach Inhalten zu unterstützen.

  3. Die verschlüsselte Nachricht wird an den Compliancedienst gesendet, damit Complianceprüfungen vorgenommen werden können.

  4. Die verschlüsselte Nachricht wird im Speicherbereich abgelegt.

Wenn Sie die Hybrid-Datensicherheit bereitstellen, verschieben Sie die Sicherheitsbereichsfunktionen (KMS, Indexierung und Compliance) in Ihr lokales Rechenzentrum. Die anderen Cloud-Dienste, aus denen Webex besteht (einschließlich Identitätsspeicher und Inhaltsspeicher), verbleiben in den Bereichen von Cisco.

Zusammenarbeit mit anderen Organisationen

Benutzer in Ihrer Organisation können die Webex-App regelmäßig verwenden, um mit externen Teilnehmern in anderen Organisationen zusammenzuarbeiten. Wenn einer Ihrer Benutzer einen Schlüssel für einen Bereich anfordert, der Ihrer Organisation gehört (da er von einem Ihrer Benutzer erstellt wurde) sendet Ihr Schlüsselverwaltungsdienst den Schlüssel über einen mit ECDH gesicherten Kanal an den Client. Wenn eine andere Organisation jedoch den Schlüssel für den Bereich besitzt, leitet Ihr KMS die Anforderung über einen separaten ECDH-Kanal an die Webex-Cloud weiter, um den Schlüssel vom entsprechenden KMS zu erhalten, und gibt den Schlüssel dann an Ihren Benutzer im ursprünglichen Kanal zurück.

Der KMS-Dienst, der unter Organisation A ausgeführt wird, überprüft die Verbindungen zu KMSs in anderen Organisationen mit x.509-PKI-Zertifikaten. Weitere Informationen zur Erzeugung eines x.509-Zertifikats für die Verwendung mit Ihrer Multi-Tenant-Hybrid-Datensicherheitsbereitstellung finden Sie unter Vorbereiten Ihrer Umgebung .

Erwartungen an die Bereitstellung der Hybrid-Datensicherheit

Eine Bereitstellung der Hybrid-Datensicherheit erfordert ein erhebliches Engagement und ein Bewusstsein für die Risiken, die mit dem Besitz von Verschlüsselungscodes einhergehen.

Zur Bereitstellung der Hybrid-Datensicherheit müssen Sie Folgendes bereitstellen:

Der vollständige Verlust der Konfigurations-ISO, die Sie für Hybrid Data Security erstellen, oder der von Ihnen bereitgestellten Datenbank führt zum Verlust der Schlüssel. Der Schlüsselverlust verhindert, dass Benutzer Bereichsinhalte und andere verschlüsselte Daten in der Webex-App entschlüsseln. Falls dies geschieht, können Sie eine neue Bereitstellung erstellen, es werden dabei jedoch nur neue Inhalte angezeigt. Gehen Sie folgendermaßen vor, damit Sie nicht den Zugriff auf die Daten verlieren:

  • Verwalten Sie die Sicherung und Wiederherstellung der Datenbank und die ISO-Konfigurationsdatei.

  • Bereiten Sie sich darauf vor, eine schnelle Notfallwiederherstellung durchzuführen, wenn eine Katastrophe eintritt, z. B. ein Fehler der Datenbank oder ein Absturz des Rechenzentrums.

Es gibt keinen Mechanismus, um Schlüssel nach einer HDS-Bereitstellung zurück in die Cloud zu verschieben.

Übergeordneter Einrichtungsprozess

Dieses Dokument behandelt die Einrichtung und Verwaltung einer Multi-Tenant-Hybrid-Datensicherheitsbereitstellung:

  • Hybrid-Datensicherheit einrichten – Dazu gehört die Vorbereitung der erforderlichen Infrastruktur und die Installation der Hybrid-Datensicherheitssoftware, der Aufbau eines HDS-Clusters, das Hinzufügen von Tenant-Organisationen zum Cluster und die Verwaltung ihrer Customer Main Keys (CMKs). Damit können alle Benutzer Ihrer Kundenorganisationen Ihr Hybrid-Datensicherheitscluster für Sicherheitsfunktionen verwenden.

    Die Einrichtungs-, Aktivierungs- und Verwaltungsphase werden in den nächsten drei Kapiteln ausführlich behandelt.

  • Aufrechterhaltung Ihrer Hybrid-Datensicherheitsbereitstellung – Die Webex-Cloud stellt automatisch laufende Upgrades bereit. Ihre IT-Abteilung kann Ebene-1-Support anbieten und bei Bedarf den Cisco-Support hinzuziehen. Sie können Benachrichtigungen auf dem Bildschirm verwenden und E-Mail-basierte Warnungen in Partner Hub einrichten.

  • Allgemeine Warnungen, Schritte zur Fehlerbehebung und bekannte Probleme verstehen: Wenn bei der Bereitstellung oder Verwendung von Hybrid-Datensicherheit Probleme auftreten, können Sie das letzte Kapitel dieses Leitfadens und der Anhang „Bekannte Probleme“ bei der Ermittlung und Behebung des Problems helfen.

Bereitstellungsmodell für die Hybrid-Datensicherheit

Im Rechenzentrum Ihres Unternehmens stellen Sie die hybride Datensicherheit als ein Cluster von Knoten auf separaten virtuellen Hosts bereit. Die Knoten kommunizieren mit der Webex Cloud über sichere Websockets und sicheres HTTP.

Während des Installationsvorgangs stellen wir Ihnen die OVA-Datei bereit, mit der Sie die virtuelle Appliance auf den von Ihnen angegebenen VMs einrichten können. Mit dem HDS-Setuptool erstellen Sie eine benutzerdefinierte ISO-Clusterkonfigurationsdatei, die Sie bei den einzelnen Knoten mounten. Der Hybrid-Datensicherheitscluster verwendet den von Ihnen bereitgestellten Syslogd-Server und die PostgreSQL- oder Microsoft SQL Server-Datenbank. (Sie konfigurieren die Syslogd- und Datenbankverbindungsdetails im HDS Setup Tool.)

Bereitstellungsmodell für die Hybrid-Datensicherheit

Die Mindestanzahl von Knoten in einem Cluster lautet zwei. Wir empfehlen mindestens drei pro Cluster. Die Tatsache, dass mehrere Knoten vorhanden sind, stellt sicher, dass der Dienst während eines Software-Upgrades oder anderer Wartungsaktivitäten auf einem Knoten nicht unterbrochen wird. (Die Webex-Cloud aktualisiert jeweils nur einen Knoten.)

Alle Knoten in einem Cluster greifen auf denselben Schlüsseldatenspeicher zu und sie protokollieren Aktivitäten auf demselben Syslog-Server. Die Knoten selbst besitzen keinen Status und verarbeiten Schlüsselanfragen nach dem Round-Robin-Verfahren, wie von der Cloud vorgegeben.

Knoten werden aktiv, wenn Sie sie in Partner Hub registrieren. Um einen einzelnen Knoten zu deaktivieren, können Sie die Registrierung aufheben und ggf. zu einem späteren Zeitpunkt erneut registrieren.

Standby-Rechenzentrum für die Notfallwiederherstellung

Während der Bereitstellung richten Sie ein sicheres Standby-Rechenzentrum ein. Bei einem Absturz des Rechenzentrums können Sie die Bereitstellung manuell auf das Standby-Rechenzentrum umstellen.

Vor dem Failover verfügt Rechenzentrum A über aktive HDS-Knoten und die primäre PostgreSQL- oder Microsoft SQL Server-Datenbank, während B über eine Kopie der ISO-Datei mit zusätzlichen Konfigurationen, in der Organisation registrierte VMs und eine Standby-Datenbank verfügt. Nach dem Failover verfügt Rechenzentrum B über aktive HDS-Knoten und die primäre Datenbank, während A über nicht registrierte VMs und eine Kopie der ISO-Datei verfügt und sich die Datenbank im Standby-Modus befindet.
Manuelles Failover zum Standby-Rechenzentrum

Die Datenbanken der aktiven und Standby-Rechenzentren sind synchronisiert, wodurch die Zeit für die Durchführung des Failovers minimiert wird.

Die aktiven Hybrid-Datensicherheitsknoten müssen sich immer im selben Rechenzentrum wie der aktive Datenbankserver befinden.

Proxy-Support

Die Hybriddatensicherheit unterstützt explizite, transparente Inspektionen und Nichtinspizierungsproxys. Sie können diese Proxys an Ihre Bereitstellung binden, damit Sie den Datenverkehr aus dem Unternehmen heraus in die-Cisco sichern und überwachen können. Sie können eine Netzwerkverwaltung auf den Knoten für Zertifikats-Management verwenden und den Status der gesamten Konnektivität überprüfen, nachdem Sie den Proxy auf den Knoten eingerichtet haben.

Die Hybrid Data Sicherheitshinweis unterstützt die folgenden Proxyoptionen:

  • Kein Proxy: Der Standardwert, wenn Sie nicht die Konfiguration von Vertrauensspeicher und Proxy für die Integration eines Proxys beim Einrichten des HDS-Knotens verwenden. Es ist keine Zertifikatsaktualisierung erforderlich.

  • Transparenter Proxy ohne Prüfung – Die Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert und sollten keine Änderungen erfordern, um mit einem Proxy ohne Prüfung zu arbeiten. Es ist keine Zertifikatsaktualisierung erforderlich.

  • Transparentes Tunneln oder Proxyprüfen: Die Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert. Es sind keine Änderungen bei der Konfigurationänderung von http oder HTTPS Allerdings benötigen die Knoten eine Stammzertifikat, sodass Sie dem Proxy Vertrauen. Die Inspektion von Proxys wird in der Regel von ihm verwendet, um Strategien durchzusetzen, welche Websites besichtigt werden können und welche Arten von Inhalten nicht zulässig sind. Diese Art von Proxy entschlüsselt den gesamten Datenverkehr (auch HTTPS).

  • Expliziter Proxy: Mit explizitem Proxy teilen Sie den HDS-Knoten mit, welcher Proxyserver und welches Authentifizierungsschema verwendet werden sollen. Um einen expliziten Proxy zu konfigurieren, müssen Sie die folgenden Informationen zu den einzelnen Knoten eingeben:

    1. Proxy-IP/FQDN: Adresse, die verwendet werden kann, um die Proxy-Maschine zu erreichen.

    2. Proxy-Port: Eine Portnummer, die der Proxy verwendet, um nach proxyem Datenverkehr zu suchen.

    3. Proxy-Protokoll: Wählen Sie je nachdem, was Ihr Proxy-Server unterstützt, zwischen den folgenden Protokollen aus:

      • – Und steuert alle Anfragen, die der Client sendet.

      • HTTPS – stellt einen Kanal zum Server bereit. Der Client erhält und prüft das Zertifikat des Servers.

    4. Authentifizierungstyp: Wählen Sie aus den folgenden Authentifizierungstypen aus:

      • Keine: Es ist keine weitere Authentifizierung erforderlich.

        Verfügbar, wenn Sie entweder http oder HTTPS als Proxyprotokoll auswählen.

      • Basic – wird für einen HTTP-Benutzeragenten verwendet, um bei einer Anfrage einen Benutzernamen und ein Kennwort anzugeben. Zertifikatsformat verwendet.

        Verfügbar, wenn Sie entweder http oder HTTPS als Proxyprotokoll auswählen.

        Hiermit müssen Sie die Benutzername und das Passwort eines jeden Knotens eingeben.

      • Digest – wird verwendet, um das Konto vor dem Senden sensibler Informationen zu bestätigen. Gibt eine Hashfunktion auf die Benutzername und das Passwort ein, bevor Sie über das Netzwerk senden.

        Nur verfügbar, wenn Sie HTTPS als Proxyprotokoll auswählen.

        Hiermit müssen Sie die Benutzername und das Passwort eines jeden Knotens eingeben.

Beispiel für hybride Datensicherheitsknoten und Proxy

Dieses Diagramm zeigt eine Beispielverbindung zwischen der Hybriddatensicherheit, dem Netzwerk und einem Proxy. Für die transparente Inspektion und HTTPS explizite Überprüfung der Proxyoptionen müssen dieselben Stammzertifikat auf dem Proxy und auf den Hybriden Datensicherheitsknoten installiert sein.

Externer DNS Auflösungsmodus blockiert (explizite Proxykonfigurationen)

Wenn Sie einen Knoten registrieren oder die Proxykonfiguration des Knotens überprüfen, testet das Verfahren die DNS und die Konnektivität der Cisco WebEx. Bei Bereitstellungen mit expliziten Proxykonfigurationen, die keine externe DNS für interne Clients zulassen, wenn der Knoten die DNS-Server nicht Abfragen kann, geht er automatisch in den gesperrten externen DNS-Server. In diesem Modus können Knotenregistrierungen und andere Proxyverbindungstests fortgeführt werden.

Umgebung vorbereiten

Anforderungen für die Multi-Tenant-Hybrid-Datensicherheit

Cisco Webex-Lizenzanforderungen

So stellen Sie Multi-Tenant Hybrid Data Security bereit:

  • Partnerorganisationen: Wenden Sie sich an Ihren Cisco-Partner oder Account Manager und stellen Sie sicher, dass die Multi-Tenant-Funktion aktiviert ist.

  • Mandantenorganisationen: Sie benötigen Pro Pack für Cisco Webex Control Hub. (Siehe https://www.cisco.com/go/pro-pack.)

Docker Desktop-Anforderungen

Bevor Sie Ihre HDS-Knoten installieren, benötigen Sie Docker Desktop, um ein Setup-Programm auszuführen. Docker hat kürzlich sein Lizenzierungsmodell aktualisiert. Ihre Organisation benötigt möglicherweise ein kostenpflichtiges Abonnement für Docker Desktop. Weitere Informationen finden Sie im Docker-Blog-Post: " Docker aktualisiert und erweitert unsere Produktabonnements".

Anforderungen an das X.509-Zertifikat

Diese Zertifikatskette muss die folgenden Anforderungen erfüllen:

Tabelle 1: X.509-Zertifikatsanforderungen für die Hybrid-Datensicherheitsbereitstellung

Anforderung

Details

  • Von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert

Standardmäßig vertrauen wir den Zertifizierungsstellen in der Mozilla-Liste (mit Ausnahme von WoSign und StartCom) unter https://wiki.mozilla.org/CA:IncludedCAs.

  • Trägt einen CN-Domänennamen (Common Name), der Ihre Hybrid-Datensicherheitsbereitstellung identifiziert

  • Ist kein Platzhalterzertifikat

Der CN muss nicht erreichbar und kein Live-Host sein. Wir empfehlen die Verwendung eines Namens, der Ihre Organisation widerspiegelt, z. B. hds.unternehmen.com.

Der CN darf kein * (Platzhalter) enthalten.

Der CN wird verwendet, um die Hybrid-Datensicherheitsknoten für Webex-App-Clients zu verifizieren. Alle Hybrid-Datensicherheitsknoten in Ihrem Cluster verwenden das gleiche Zertifikat. Ihr KMS identifiziert sich selbst unter Verwendung der CN-Domäne, nicht einer beliebigen Domäne, die in den x.509v3-SAN-Feldern definiert ist.

Nachdem Sie einen Knoten mit diesem Zertifikat registriert haben, kann der CN-Domänenname nicht mehr geändert werden.

  • Keine SHA1-Signatur

Die KMS-Software unterstützt keine SHA1-Signaturen zum Validieren von Verbindungen zu KMS anderer Organisationen.

  • Als passwortgeschützte PKCS #12-Datei formatiert

  • Verwenden Sie den Anzeigenamen kms-private-key zum Kennzeichnen des Zertifikats, des privaten Schlüssels und aller Zwischenzertifikate, die hochgeladen werden sollen.

Sie können das Format Ihres Zertifikats mithilfe einer Konvertierungssoftware wie OpenSSL ändern.

Sie müssen das Passwort eingeben, wenn Sie das HDS-Setuptool ausführen.

Die KMS-Software erzwingt keine Schlüsselnutzung und beschränkt erweiterte Schlüsselnutzung nicht. Einige Zertifizierungsstellen erfordern Beschränkungen einer erweiterten Schlüsselnutzung für jedes Zertifikat, wie z. B. Server-Authentifizierung. Die Server-Authentifizierung oder andere Einstellungen zu verwenden, ist zulässig.

Anforderungen für virtuelle Gastgeber

Die virtuellen Hosts, die Sie als Hybrid-Datensicherheitsknoten in Ihrem Cluster einrichten, haben die folgenden Anforderungen:

  • Mindestens zwei separate Hosts (3 empfohlen) befinden sich im gleichen sicheren Rechenzentrum

  • VMware ESXi 7.0 (oder höher) installiert und ausgeführt.

    Sie müssen ein Upgrade durchführen, wenn Sie über eine frühere Version von ESXi verfügen.

  • Mindestens 4 vCPUs, 8 GB Hauptspeicher, 30 GB lokaler Festplattenspeicher pro Server

Datenbankserveranforderungen

Erstellen Sie eine neue Datenbank für die Schlüsselspeicherung. Verwenden Sie nicht die Standarddatenbank. Die HDS-Anwendungen erstellen bei Installation das Datenbankschema.

Für den Datenbankserver gibt es zwei Optionen. Die Anforderungen für jede dieser Komponenten lauten wie folgt:

Tabelle 2. Anforderungen für Datenbankserver nach Datenbanktyp

PostgreSQL

Microsoft SQL-Server

  • PostgreSQL 14, 15 oder 16, installiert und ausgeführt.

  • SQL Server 2016, 2017 oder 2019 (Enterprise oder Standard) installiert.

    SQL Server 2016 erfordert Service Pack 2 und kumulatives Update 2 oder höher.

Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichend Festplattenkapazität und Überwachung zur Sicherstellung, dass dieser nicht überschritten wird (2 TB empfohlen, falls die Datenbank über längere Zeit ohne Erweiterung der Festplattenkapazität ausgeführt werden soll)

Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichend Festplattenkapazität und Überwachung zur Sicherstellung, dass dieser nicht überschritten wird (2 TB empfohlen, falls die Datenbank über längere Zeit ohne Erweiterung der Festplattenkapazität ausgeführt werden soll)

Die HDS-Software installiert derzeit die folgenden Treiberversionen für die Kommunikation mit dem Datenbankserver:

PostgreSQL

Microsoft SQL-Server

Der Treiber Postgres JDBC 42.2.5

SQL Server JDBC-Treiber 4.6

Diese Treiberversion unterstützt SQL Server Always On (Always On Failover Cluster Instances und Always On-Verfügbarkeitsgruppen).

Zusätzliche Anforderungen für die Windows-Authentifizierung gegen Microsoft SQL Server

Wenn Sie möchten, dass HDS-Knoten die Windows-Authentifizierung verwenden, um Zugriff auf Ihre Keystore-Datenbank auf Microsoft SQL Server zu erhalten, benötigen Sie die folgende Konfiguration in Ihrer Umgebung:

  • Die HDS-Knoten, die Active Directory-Infrastruktur und der MS SQL Server müssen alle mit dem NTP synchronisiert werden.

  • Das Windows-Konto, das Sie auf HDS-Knoten bereitstellen, muss Lese-/Schreibzugriff auf die Datenbank haben.

  • Die DNS-Server, die Sie für HDS-Knoten bereitstellen, müssen in der Lage sein, Ihr Key Distribution Center (KDC) aufzulösen.

  • Sie können die HDS-Datenbankinstanz auf Ihrem Microsoft SQL Server als Service Principal Name (SPN) in Ihrem Active Directory registrieren. Siehe Registrieren eines Dienstprinzipalnamens für Kerberos-Verbindungen.

    Das HDS-Setup-Tool, der HDS-Launcher und das lokale KMS müssen für den Zugriff auf die Keystore-Datenbank die Windows-Authentifizierung verwenden. Sie verwenden die Details aus Ihrer ISO-Konfiguration, um die SPN zu konstruieren, wenn sie den Zugriff mit der Kerberos-Authentifizierung anfordern.

Anforderungen an externe Konnektivität

Konfigurieren Sie Ihre Firewall so, dass die folgende Konnektivität für die HDS-Anwendungen zugelassen ist:

Anwendung

Protokoll

Port

Richtung von der App

Ziel

Hybrid-Datensicherheitsknoten

TCP

443

Ausgehend HTTPS und WSS

  • Webex-Server:

    • *.wbx2.com

    • *.ciscospark.com

  • Alle Common Identity-Hosts

  • Weitere URLs, die für die Hybrid-Datensicherheit in der Tabelle Zusätzliche URLs für Webex-Hybriddienste unter Netzwerkanforderungen für Webex-Dienste aufgeführt sind

HDS-Einrichtungstool

TCP

443

Ausgehendes HTTPS

  • *.wbx2.com

  • Alle Common Identity-Hosts

  • hub.docker.com

Die Hybrid-Datensicherheitsknoten funktionieren mit NAT (Network Access Translation) oder hinter einer Firewall, solange NAT oder Firewall die erforderlichen ausgehenden Verbindungen zu den in der vorangehenden Tabelle aufgeführten Domänenzielen zulässt. Für eingehende Verbindungen zu den Hybrid-Datensicherheitsknoten sollten keine Ports aus dem Internet sichtbar sein. In Ihrem Rechenzentrum benötigen Clients aus administrativen Gründen Zugriff auf die Hybrid-Datensicherheitsknoten auf den TCP-Ports 443 und 22.

Die URLs für die CI-Hosts (Common Identity) sind regionsspezifisch. Dies sind die aktuellen CI-Hosts:

Region

Host-URLs der allgemeinen Identität

Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Europäische Union

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Vereinigte Arabische Emirate

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Vorgaben für Proxy-Server

  • Wir unterstützen offiziell die folgenden Proxylösungen, die in ihre Hybriden Sicherheitsknoten integriert werden können.

    • Transparenter Proxy – Cisco Web Sicherheitsgerät (WSA).

    • Explizite –.

      Squid-Proxys, die den HTTPS-Datenverkehr untersuchen, können die Einrichtung von Websocket-Verbindungen (wss:) beeinträchtigen. Informationen zur Behebung dieses Problems finden Sie unter Konfigurieren von Squid-Proxys für Hybrid-Datensicherheit.

  • Wir unterstützen die folgenden Authentifizierungskombinationen für explizite Proxys:

    • Keine Authentifizierung mit http oder HTTPS

    • Grundlegende Authentifizierung mit http oder HTTPS

    • Verdauungsauthentifizierung nur mit HTTPS

  • Um einen transparenten Proxy oder einen HTTPS expliziten Proxy zu erhalten, müssen Sie eine Kopie des Stammzertifikat des Stellvertreters besitzen. Die Bereitstellungsanweisungen in diesem Handbuch zeigen Ihnen, wie Sie die Kopie in die Vertrauensspeicher der Hybriden Datensicherheitsknoten hochladen können.

  • Das Netzwerk, das die HDS Nodes hostet, muss so konfiguriert sein, dass es den ausgehenden TCP Traffic auf Port 443 durch den Proxy zwingt

  • Proxys, die den Webverkehr inspizieren, können die Websteckverbindung beeinträchtigen. Wenn dieses Problem auftritt, wird das Problem durch Umgehung des Datenverkehrs zu wbx2.com und ciscospark.com gelöst.

Erfüllen der Voraussetzungen für die Hybrid-Datensicherheit

Stellen Sie mit dieser Checkliste sicher, dass Sie bereit für die Installation und Konfiguration Ihres Hybrid-Datensicherheitsclusters sind.
1

Stellen Sie sicher, dass Ihre Partnerorganisation die Multi-Tenant-HDS-Funktion aktiviert hat, und sichern Sie sich die Anmeldeinformationen für ein Konto mit vollen Partneradministratorrechten und vollen Administratorrechten. Stellen Sie sicher, dass Ihre Webex-Kundenorganisation für Pro Pack für Cisco Webex Control Hub aktiviert ist. Wenden Sie sich an Ihren Cisco-Partner oder an Ihren Account Manager, falls Sie Hilfe bei diesem Verfahren benötigen.

Kundenorganisationen sollten keine vorhandene HDS-Bereitstellung haben.

2

Wählen Sie einen Domänennamen für Ihre HDS-Bereitstellung (z. B. hds.company.com) aus und rufen Sie eine Zertifikatskette ab, die ein X.509-Zertifikat, einen privaten Schlüssel und alle Zwischenzertifikate enthält. Die Zertifikatskette muss die Anforderungen in X.509-Zertifikatsanforderungen erfüllen.

3

Bereiten Sie identische virtuelle Hosts vor, die Sie als Hybrid-Datensicherheitsknoten in Ihrem Cluster einrichten werden. Sie benötigen mindestens zwei separate Hosts (3 empfohlen), die sich im selben sicheren Rechenzentrum befinden und die Anforderungen unter Anforderungen für virtuelle Hosts erfüllen.

4

Bereiten Sie den Datenbankserver vor, der als Schlüsseldatenspeicher für den Cluster dient, gemäß den Anforderungen für den Datenbankserver. Der Datenbankserver muss sich im sicheren Rechenzentrum mit den virtuellen Hosts befinden.

  1. Erstellen Sie eine Datenbank für die Schlüsselspeicherung. (Sie müssen diese Datenbank erstellen. Verwenden Sie nicht die Standarddatenbank. Die HDS-Anwendungen erstellen bei Installation das Datenbankschema.)

  2. Sammeln Sie die Informationen, die die Knoten zur Kommunikation mit dem Datenbankserver benötigen:

    • Der Hostname oder die IP-Adresse (Host) und der Port

    • Der Name der Datenbank (dbname) zur Schlüsselspeicherung

    • Der Benutzername und das Kennwort eines Benutzers mit allen Rechten in der Schlüsseldatenbank

5

Richten Sie für eine schnelle Notfallwiederherstellung eine Backup-Umgebung in einem anderen Rechenzentrum ein. Die Backup-Umgebung spiegelt die Produktionsumgebung von VMs und eines Backup-Datenbankservers wider. Wenn beispielsweise in der Produktion 3 VMs HDS-Knoten ausführen, sollte die Backup-Umgebung 3 VMs haben.

6

Richten Sie einen syslog-Host ein, um Protokolle aus den Knoten im Cluster zu sammeln. Dokumentieren Sie dessen Netzwerkadresse und syslog-Port (Standard ist UDP 514).

7

Erstellen Sie eine sichere Backup-Richtlinie für die Hybrid-Datensicherheitsknoten, den Datenbankserver und den Syslog-Host. Um einen nicht behebbaren Datenverlust zu vermeiden, müssen Sie mindestens die Datenbank und die für die Hybrid-Datensicherheitsknoten generierte Konfigurations-ISO-Datei sichern.

Da auf den Hybrid-Datensicherheitsknoten die für die Ver- und Entschlüsselung von Inhalten verwendeten Schlüssel gespeichert werden, führt das Versäumnis, eine betriebliche Bereitstellung aufrechtzuerhalten, zum NICHT BEHEBBAREN VERLUST dieser Inhalte.

Webex-App-Clients speichern ihre Schlüssel im Zwischenspeicher, sodass ein Ausfall möglicherweise nicht sofort spürbar ist, aber mit der Zeit offensichtlich wird. Vorübergehende Ausfälle sind unvermeidlich, aber behebbar. Bei einem vollständigen Verlust (keine Backups verfügbar) entweder der Datenbank oder der ISO-Konfigurationsdatei gehen jedoch Kundendaten unwiederbringlich verloren. Von den Betreibern der Hybrid-Datensicherheitsknoten wird erwartet, dass sie häufige Sicherungen der Datenbank und der Konfigurations-ISO-Datei erstellen und im Falle eines katastrophalen Ausfalls das Rechenzentrum für die Hybrid-Datensicherheit neu erstellen.

8

Stellen Sie sicher, dass Ihre Firewall-Konfiguration eine Verbindung für Ihre Hybrid-Datensicherheitsknoten ermöglicht, wie unter Externe Verbindungsanforderungen beschrieben.

9

Installieren Sie Docker ( https://www.docker.com) auf jedem lokalen Computer, auf dem ein unterstütztes Betriebssystem ausgeführt wird (Microsoft Windows 10 Professional, Enterprise 64-Bit oder Mac OSX Yosemite 10.10.3 oder höher) und ein Webbrowser, der unter http://127.0.0.1:8080. darauf zugreifen kann.

Mit der Docker-Instanz können Sie das HDS Setup Tool herunterladen und ausführen, das die lokalen Konfigurationsinformationen für alle Hybrid-Datensicherheitsknoten erstellt. Möglicherweise benötigen Sie eine Docker Desktop-Lizenz. Weitere Informationen finden Sie unter Anforderungen für Docker Desktop .

Um das HDS Setup Tool zu installieren und auszuführen, muss der lokale Computer über die unter Anforderungen an externe Konnektivität beschriebenen Konnektivität verfügen.

10

Wenn Sie einen Proxy mit Hybrid Data Security integrieren, stellen Sie sicher, dass er die Anforderungen für den Proxy-Server erfüllt.

Hybrid-Datensicherheitscluster einrichten

Ablauf der Bereitstellungsaufgabe für die Hybrid-Datensicherheit

Vorbereitungen

1

Erste Einrichtung durchführen und Installationsdateien herunterladen

Laden Sie die OVA-Datei für eine spätere Verwendung auf Ihren lokalen Computer herunter.

2

Erstellen einer ISO-Konfigurationsdatei für die HDS-Hosts

Erstellen Sie mit dem HDS Setup Tool eine ISO-Konfigurationsdatei für die Hybrid-Datensicherheitsknoten.

3

Installieren des HDS Host OVA

Erstellen Sie eine virtuelle Maschine aus der OVA-Datei und führen Sie eine erste Konfiguration durch, z. B. Netzwerkeinstellungen.

Die Option zum Konfigurieren der Netzwerkeinstellungen während der OVA-Bereitstellung wurde mit ESXi 7.0 getestet. In früheren Versionen ist diese Option möglicherweise nicht verfügbar.

4

Einrichten der Hybrid-Datensicherheits-VM

Melden Sie sich bei der VM-Konsole an und legen Sie die Anmeldeinformationen fest. Konfigurieren Sie die Netzwerkeinstellungen für den Knoten, falls Sie diese bei der OVA-Bereitstellung nicht konfiguriert haben.

5

Hochladen und Mounten der HDS-Konfigurations-ISO

Konfigurieren Sie die VM aus der ISO-Konfigurationsdatei, die Sie mit dem HDS Setup Tool erstellt haben.

6

Konfigurieren des HDS Knotens für Proxyintegration

Wenn für die Netzwerkumgebung eine Proxy-Konfiguration erforderlich ist, geben Sie den Proxy-Typ an, den Sie für den Knoten verwenden möchten, und fügen Sie das Proxy-Zertifikat ggf. zum Vertrauensspeicher hinzu.

7

Ersten Knoten im Cluster registrieren

Registrieren Sie die VM in der Cisco Webex Cloud als Hybrid-Datensicherheitsknoten.

8

Weitere Knoten erstellen und registrieren

Schließen Sie die Cluster-Einrichtung ab.

9

Aktivieren Sie Multi-Tenant-HDS in Partner Hub.

Aktivieren Sie HDS und verwalten Sie Mandantenorganisationen in Partner Hub.

Erste Einrichtung durchführen und Installationsdateien herunterladen

Bei dieser Aufgabe laden Sie eine OVA-Datei auf Ihren Computer herunter (nicht auf die Server, die Sie als Hybrid-Datensicherheitsknoten eingerichtet haben). Sie können diese Datei zu einem späteren Zeitpunkt im Installationsprozess verwenden.

1

Melden Sie sich bei Partner Hub an und klicken Sie auf Dienste.

2

Suchen Sie im Abschnitt „Cloud-Dienste“ nach der Hybrid-Datensicherheitskarte und klicken Sie auf Einrichten.

Das Klicken auf Einrichten in Partner Hub ist entscheidend für den Bereitstellungsprozess. Fahren Sie mit der Installation nicht fort, ohne diesen Schritt abzuschließen.

3

Klicken Sie auf Ressource hinzufügen und dann auf OVA-Datei herunterladen auf der Karte Software installieren und konfigurieren .

Ältere Versionen des Softwarepakets (OVA) sind mit den neuesten Upgrades für die Hybrid-Datensicherheit nicht kompatibel. Dies kann zu Problemen beim Upgrade der Anwendung führen. Stellen Sie sicher, dass Sie die neueste Version der OVA-Datei herunterladen.

Sie können die OVA auch jederzeit im Abschnitt Hilfe herunterladen. Klicken Sie auf Einstellungen > Hilfe > Hybrid-Datensicherheitssoftware herunterladen.

Der Download der OVA-Datei beginnt automatisch. Speichern Sie die Datei auf Ihrem Computer.
4

Klicken Sie optional auf Bereitstellungsleitfaden zur Hybrid-Datensicherheit anzeigen , um zu überprüfen, ob eine spätere Version dieses Leitfadens verfügbar ist.

Erstellen einer ISO-Konfigurationsdatei für die HDS-Hosts

Beim Einrichtungsprozess für die Hybrid-Datensicherheit wird eine ISO-Datei erstellt. Anschließend verwenden Sie die ISO, um Ihren Hybrid-Datensicherheitshost zu konfigurieren.

Vorbereitungen
1

Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

In regulären Umgebungen:

docker rmi ciscocitg/hds-setup:stabil

In FedRAMP-Umgebungen:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

2

Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

Docker Anmeldung -u hdscustomersro
3

Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

In regulären Umgebungen:

docker pull ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

  • In regulären Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In FedRAMP-Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express-Server hören auf Port 8080) sehen.

6

Das Setup-Tool unterstützt die Verbindung zu localhost über http://localhost:8080 nicht. Verwenden Sie http://127.0.0.1:8080 , um eine Verbindung zum Localhost herzustellen.

Navigieren Sie in einem Webbrowser zum Localhost, http://127.0.0.1:8080, und geben Sie bei Aufforderung den Admin-Benutzernamen für Partner Hub ein.

Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto festzulegen. Das Tool zeigt dann die Standard-Anmeldeaufforderung an.

7

Wenn Sie dazu aufgefordert werden, geben Sie Ihre Partner Hub-Administratoranmeldeinformationen ein und klicken Sie dann auf Anmelden , um den Zugriff auf die für die Hybrid-Datensicherheit erforderlichen Dienste zu erlauben.

8

Klicken Sie auf der Übersichtsseite des Setup Tool auf Get Started (Erste Schritte).

9

Auf der Seite ISO-Import stehen Ihnen folgende Optionen zur Verfügung:

  • Nein – Wenn Sie Ihren ersten HDS-Knoten erstellen, müssen Sie keine ISO-Datei hochladen.
  • Ja: Wenn Sie bereits HDS-Knoten erstellt haben, wählen Sie Ihre ISO-Datei im Browse aus und laden Sie sie hoch.
10

Überprüfen Sie, ob Ihr X.509-Zertifikat die Anforderungen in X.509-Zertifikatsanforderungen erfüllt.

  • Wenn Sie noch nie ein Zertifikat hochgeladen haben, laden Sie das X.509-Zertifikat hoch, geben Sie das Passwort ein und klicken Sie auf Weiter.
  • Wenn Ihr Zertifikat in Ordnung ist, klicken Sie auf Weiter.
  • Wenn Ihr Zertifikat abgelaufen ist oder Sie es ersetzen möchten, wählen Sie Nein für Weiterhin HDS-Zertifikatskette und privaten Schlüssel aus vorheriger ISO verwenden? aus. Laden Sie ein neues X.509-Zertifikat hoch, geben Sie das Passwort ein und klicken Sie auf Weiter.
11

Geben Sie die Datenbankadresse und das Konto für HDS ein, um auf Ihren Schlüsseldatenspeicher zuzugreifen:

  1. Wählen Sie Ihren Datenbanktyp (PostgreSQL oder Microsoft SQL Server) aus.

    Wenn Sie Microsoft SQL Server auswählen, wird das Feld „Authentifizierungstyp“ angezeigt.

  2. (Nur Microsoft SQL Server ) Wählen Sie Ihren Authentifizierungstyp aus:

    • Basisauthentifizierung: Sie benötigen einen lokalen SQL-Server-Kontonamen im Feld Benutzername .

    • Windows-Authentifizierung: Sie benötigen ein Windows-Konto im Format Benutzername@DOMÄNE im Feld Benutzername .

  3. Geben Sie die Adresse des Datenbankservers im Format : oder : ein.

    Beispiel
    dbhost.example.org:1433 oder 198.51.100.17:1433

    Sie können eine IP-Adresse für die Basisauthentifizierung verwenden, wenn die Knoten nicht DNS zur Auflösung des Hostnamens verwenden können.

    Wenn Sie die Windows-Authentifizierung verwenden, müssen Sie einen vollständig qualifizierten Domänennamen im Format dbhost.example.org:1433 eingeben.

  4. Geben Sie den Datenbanknamen ein.

  5. Geben Sie den Benutzernamen und das Kennwort eines Benutzers mit allen Berechtigungen in der Schlüsselspeicherdatenbank ein.

12

Wählen Sie einen TLS-Datenbankverbindungsmodus aus:

Modus

Beschreibung

TLS bevorzugen (Standardoption)

HDS-Knoten benötigen kein TLS, um eine Verbindung zum Datenbankserver herzustellen. Wenn Sie TLS auf dem Datenbankserver aktivieren, versuchen die Knoten eine verschlüsselte Verbindung.

TLS erforderlich

HDS-Knoten verbinden sich nur, wenn der Datenbankserver TLS aushandeln kann.

TLS erforderlich und Zertifikat signer überprüfen

Dieser Modus gilt nicht für SQL Server-Datenbanken.

  • HDS-Knoten verbinden sich nur, wenn der Datenbankserver TLS aushandeln kann.

  • Nach dem Herstellen einer TLS-Verbindung vergleicht der Knoten den Unterzeichner des Zertifikats vom Datenbankserver mit der Zertifizierungsstelle im Datenbank-Stammzertifikat. Wenn sie nicht übereinstimmen, wird die Verbindung durch den Knoten hergestellt.

Verwenden Sie die Stammzertifikat-Steuerung unterhalb des Dropdown-Dropdowns, um den Stammzertifikat Option hochzuladen.

TLS erforderlich und Zertifikats signer und Hostname überprüfen

  • HDS-Knoten verbinden sich nur, wenn der Datenbankserver TLS aushandeln kann.

  • Nach dem Herstellen einer TLS-Verbindung vergleicht der Knoten den Unterzeichner des Zertifikats vom Datenbankserver mit der Zertifizierungsstelle im Datenbank-Stammzertifikat. Wenn sie nicht übereinstimmen, wird die Verbindung durch den Knoten hergestellt.

  • Die Knoten überprüfen außerdem, ob der Host-Name im Serverzertifikat mit dem Host-Namen im Feld Datenbank-Host und Port übereinstimmt. Die Namen müssen genau mit den Namen übereinstimmen, oder der Knoten unterfällt die Verbindung.

Verwenden Sie die Stammzertifikat-Steuerung unterhalb des Dropdown-Dropdowns, um den Stammzertifikat Option hochzuladen.

Wenn Sie das Stammzertifikat hochladen (falls erforderlich) und auf Weiter klicken, testet das HDS Setup Tool die TLS-Verbindung zum Datenbankserver. Das Tool überprüft auch den Zertifikat signer und den Hostnamen, falls vorhanden. Wenn ein Test fehlschlägt, zeigt das Tool eine Fehlermeldung an, in der das Problem beschrieben wird. Sie können auswählen, ob Sie den Fehler ignorieren und mit der Einrichtung fortfahren möchten. (Aufgrund von Verbindungsunterschieden können die HDS-Knoten möglicherweise eine TLS-Verbindung herstellen, auch wenn das HDS Setup Tool diese nicht erfolgreich testen kann.)

13

Konfigurieren Sie auf der Seite Systemprotokolle Ihren Syslogd-Server:

  1. Geben Sie die URL des Syslog-Servers ein.

    Wenn der Server nicht über die Knoten für Ihr HDS-Cluster DNS-aufgelöst werden kann, verwenden Sie eine IP-Adresse in der URL.

    Beispiel
    udp://10.92.43.23:514 zeigt die Protokollierung auf dem Syslogd-Host 10.92.43.23 auf UDP-Port 514 an.

  2. Wenn Sie Ihren Server für die Verwendung der TLS-Verschlüsselung einrichten, aktivieren Sie das Kontrollkästchen Ist Ihr Syslog-Server für die SSL-Verschlüsselung konfiguriert?.

    Wenn Sie dieses Kontrollkästchen aktivieren, stellen Sie sicher, dass Sie eine TCP-URL eingeben, z. B. tcp://10.92.43.23:514.

  3. Wählen Sie in der Dropdown-Liste Syslog-Aufzeichnungsbeendigung auswählen die entsprechende Einstellung für Ihre ISO-Datei aus: Choose or NewLine wird für Graylog und Rsyslog TCP verwendet

    • Null-Byte -- \x00

    • Neue Zeile -- \n– Wählen Sie diese Auswahl für Graylog und Rsyslog TCP.

  4. Klicken Sie auf Weiter.

14

(Optional) Sie können den Standardwert für einige Datenbankverbindungsparameter unter Erweiterte Einstellungen ändern. Im Allgemeinen ist dieser Parameter der einzige, den Sie ändern möchten:

app_datasource_connection_pool_maxGröße: 10
15

Klicken Sie im Bildschirm Kennwort für Dienstkonten zurücksetzen auf Weiter .

Passwörter für Dienstkonten haben eine Lebensdauer von neun Monaten. Verwenden Sie diesen Bildschirm, wenn Ihre Passwörter bald ablaufen oder Sie sie zurücksetzen möchten, um frühere ISO-Dateien ungültig zu machen.

16

Klicken Sie auf Download ISO File (ISO-Datei herunterladen). Speichern Sie die Datei an einem leicht auffindbaren Speicherort.

17

Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System.

Sichern Sie die Sicherungskopie sicher. Die Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff auf Administratoren für Hybrid-Datensicherheit, die Konfigurationsänderungen vornehmen sollten.

18

Um das Setup Tool herunterzufahren, tippen Sie STRG+C ein.

Nächste Schritte

Sichern Sie die ISO-Konfigurationsdatei. Sie benötigen sie, um weitere Knoten für die Wiederherstellung zu erstellen oder Konfigurationsänderungen vorzunehmen. Wenn Sie alle Kopien der ISO-Datei verlieren, haben Sie auch den Hauptschlüssel verloren. Die Schlüssel aus Ihrer PostgreSQL- oder Microsoft SQL Server-Datenbank können nicht wiederhergestellt werden.

Wir haben nie eine Kopie dieses Schlüssels und können nicht helfen, wenn Sie ihn verlieren.

Installieren des HDS Host OVA

Verwenden Sie dieses Verfahren, um eine virtuelle Maschine aus der OVA-Datei zu erstellen.
1

Melden Sie sich über den VMware vSphere-Client auf Ihrem Computer bei dem ESXi virtuellen Host an.

2

Wählen Sie Datei > OVF-Vorlage bereitstellen aus.

3

Geben Sie im Assistenten den Speicherort der OVA-Datei an, die Sie zuvor heruntergeladen haben, und klicken Sie auf Weiter.

4

Geben Sie auf der Seite Name und Ordner auswählen einen Namen der virtuellen Maschine für den Knoten ein (z. B. „HDS_Node_1“), wählen Sie einen Ort aus, an dem sich die Knotenbereitstellung der virtuellen Maschine befinden kann, und klicken Sie auf Weiter.

5

Wählen Sie auf der Seite Berechnungsressource auswählen die Ziel-Berechnungsressource aus, und klicken Sie auf Weiter.

Eine Validierungsprüfung wird ausgeführt. Nach Abschluss werden die Vorlagendetails angezeigt.

6

Überprüfen Sie die Vorlagendetails, und klicken Sie dann auf Weiter.

7

Wenn Sie aufgefordert werden, die Ressourcenkonfiguration auf der Seite Konfiguration auszuwählen, klicken Sie auf 4 CPU und dann auf Weiter.

8

Klicken Sie auf der Seite Speicher auswählen auf Weiter , um das standardmäßige Festplattenformat und die VM-Speicherrichtlinie zu akzeptieren.

9

Wählen Sie auf der Seite Netzwerke auswählen die Netzwerkoption aus der Liste der Einträge aus, um die gewünschte Konnektivität für die VM bereitzustellen.

10

Konfigurieren Sie auf der Seite Vorlage anpassen die folgenden Netzwerkeinstellungen:

  • Host-Name: Geben Sie den FQDN (Host-Name und Domäne) oder ein Wort des Host-Namens für den Knoten ein.

    • Sie müssen die Domäne nicht auf die Domäne ändern, über die Sie das X.509-Zertifikat erhalten haben.

    • Um eine erfolgreiche Registrierung in der Cloud sicherzustellen, verwenden Sie im FQDN oder dem Hostnamen, den Sie für den Knoten festgelegt haben, nur Kleinbuchstaben. Großbuchstaben werden derzeit nicht unterstützt.

    • Der FQDN darf insgesamt nicht länger als 64 Zeichen sein.

  • IP-Adresse: Geben Sie die IP-Adresse für die interne Schnittstelle des Knotens ein.

    Ihr Knoten hat jetzt eine interne IP-Adresse und einen DNS-Namen. DHCP wird nicht unterstützt.

  • Maske: Geben Sie die Adresse der Subnetzmaske in Punkt-Dezimalschrift ein. Beispiel: 255.255.255.0.
  • Gateway: Geben Sie die Gateway-IP-Adresse ein. Ein Gateway ist ein Netzwerkknoten, der als Zugangspunkt zu einem anderen Netzwerk dient.
  • DNS-Server: Geben Sie eine durch Kommas getrennte Liste von DNS-Servern ein, die die Übersetzung von Domänennamen in numerische IP-Adressen verarbeiten. (Es sind bis zu 4 DNS-Einträge zulässig.)
  • NTP-Server – Geben Sie den NTP-Server Ihrer Organisation oder einen anderen externen NTP-Server ein, der in Ihrer Organisation verwendet werden kann. Die Standard-NTP-Server funktionieren möglicherweise nicht für alle Unternehmen. Sie können auch eine durch Kommas getrennte Liste verwenden, um mehrere NTP-Server einzugeben.

  • Stellen Sie alle Knoten im selben Subnetz oder VLAN bereit, damit alle Knoten in einem Cluster zu Verwaltungszwecken von Clients in Ihrem Netzwerk aus erreichbar sind.

Wenn Sie dies vorziehen, können Sie die Konfiguration der Netzwerkeinstellungen überspringen und die Schritte unter Einrichten der Hybrid-Datensicherheit-VM befolgen, um die Einstellungen über die Knotenkonsole zu konfigurieren.

Die Option zum Konfigurieren der Netzwerkeinstellungen während der OVA-Bereitstellung wurde mit ESXi 7.0 getestet. In früheren Versionen ist diese Option möglicherweise nicht verfügbar.

11

Klicken Sie mit der rechten Maustaste auf die Knoten-VM, und wählen Sie Ein/Aus > Einschalten.

Die Hybrid-Datensicherheitssoftware wird als Gast auf dem VM-Host installiert. Sie können sich jetzt bei der Konsole anmelden und den Knoten konfigurieren.

Leitfaden zur Fehlerbehebung

Es kann zu einer Verzögerung von einigen Minuten kommen, bis die Knotencontainer angezeigt werden. Beim erstmaligen Start wird eine Bridge-Firewall-Nachricht angezeigt, während der Sie sich anmelden können.

Einrichten der Hybrid-Datensicherheits-VM

Mit diesem Verfahren können Sie sich zum ersten Mal bei der VM-Konsole des Hybrid-Datensicherheitsknotens anmelden und die Anmeldeinformationen festlegen. Sie können auch die Konsole verwenden, um die Netzwerkeinstellungen für den Knoten zu konfigurieren, falls Sie diese bei der OVA-Bereitstellung nicht konfiguriert haben.

1

Wählen Sie im VMware vSphere-Client, Ihre Hybrid-Datensicherheitsknoten-VM und daraufhin die Registerkarte Console (Konsole) aus.

Die VM fährt hoch und ein Anmeldebildschirm erscheint. Drücken Sie die Eingabetaste, falls der Anmeldebildschirm nicht angezeigt wird.
2

Verwenden Sie den folgenden Standard-Anmeldenamen und das Standardkennwort, um sich anzumelden und die Anmeldedaten zu ändern:

  1. Benutzername: admin

  2. Passwort: Cisco

Da Sie sich zum ersten Mal bei der VM anmelden, müssen Sie das Administratorkennwort ändern.

3

Wenn Sie die Netzwerkeinstellungen bereits unter Installieren der HDS-Host-OVA konfiguriert haben, überspringen Sie den Rest dieses Verfahrens. Wählen Sie andernfalls im Hauptmenü die Option Konfiguration bearbeiten aus.

4

Richten Sie eine statische Konfiguration ein und geben Sie die Daten für IP-Adresse, Maske, Gateway und DNS ein. Ihr Knoten hat jetzt eine interne IP-Adresse und einen DNS-Namen. DHCP wird nicht unterstützt.

5

(Optional) Ändern Sie die Werte für Hostname, Domäne oder NTP-Server, wenn dies gemäß Ihren Netzwerkrichtlinien erforderlich ist.

Sie müssen die Domäne nicht auf die Domäne ändern, über die Sie das X.509-Zertifikat erhalten haben.

6

Speichern Sie die Netzwerkkonfiguration und starten Sie die VM neu, damit die Änderungen in Kraft treten.

Hochladen und Mounten der HDS-Konfigurations-ISO

Verwenden Sie dieses Verfahren, um die virtuelle Maschine über die ISO-Datei, die Sie mit dem HDS Setup Tool erstellt haben, zu konfigurieren.

Vorbereitungen

Da die ISO-Datei den Hauptschlüssel enthält, sollte sie nur auf Basis eines "Need-to-Know"-Basis zugänglich gemacht werden, für den Zugriff durch die Hybrid Data Security-VMs und alle Administratoren, die möglicherweise Änderungen vornehmen müssen. Stellen Sie sicher, dass nur diese Administratoren Zugriff auf den Datenspeicher haben.

1

Laden Sie die ISO-Datei von Ihrem Computer hoch:

  1. Klicken Sie im linken Navigationsbereich des VMware vSphere Client auf den ESXi-Server.

  2. Klicken Sie in der Hardwareliste der Registerkarte „Configuration“ (Konfiguration) auf Storage (Speicher).

  3. Rechtsklicken Sie in der Datenspeicher-Liste auf den Datenspeicher Ihrer VMs. Klicken Sie daraufhin auf Browse Datastore (Datenspeicher durchsuchen).

  4. Klicken Sie auf das Symbol „Upload Files“ (Dateien hochladen) und daraufhin auf Upload File (Datei hochladen).

  5. Navigieren Sie zum Speicherort der ISO-Datei auf Ihrem Computer und klicken Sie auf Open (Öffnen).

  6. Klicken Sie auf Yes (Ja), um die Upload/Download-Warnung zu bestätigen und schließen Sie den Datenspeicherdialog.

2

Mounten Sie die ISO-Datei:

  1. Rechtsklicken Sie im linken Navigationsbereich des VMware vSphere Client auf die VM. Klicken Sie daraufhin auf Edit Settings (Einstellungen bearbeiten).

  2. Klicken Sie auf OK, um die Warnung zu eingeschränkten Optionen zu bestätigen.

  3. Klicken Sie auf CD/DVD-Laufwerk 1, wählen Sie die Option zum Mounten einer Datenspeicher-ISO-Datei aus und navigieren Sie zu dem Speicherort, zu dem Sie die ISO-Konfigurationsdatei hochgeladen haben.

  4. Aktivieren Sie die Kontrollkästchen Connected (Verbunden) und Connect at power on (Beim Einschalten verbinden).

  5. Speichern Sie Ihre Änderungen und starten Sie die virtuelle Maschine neu.

Nächste Schritte

Wenn Ihre IT-Richtlinie dies erfordert, können Sie optional die ISO-Datei unmounten, nachdem alle Knoten die Konfigurationsänderungen übernommen haben. Weitere Informationen finden Sie unter (Optional) ISO nach HDS-Konfiguration unmounten .

Konfigurieren des HDS Knotens für Proxyintegration

Wenn die Netzwerkumgebung einen Proxy erfordert, geben Sie mit diesem Vorgang den Typ des Proxy an, den Sie in die Hybriddatensicherheit integrieren möchten. Wenn Sie einen transparenten Anrufproxy oder einen HTTPS expliziten Proxy wählen, können Sie die Stammzertifikat über die Schnittstelle des Knotens hochladen und installiert werden. Sie können auch die Proxyverbindung über die Schnittstelle überprüfen und mögliche Probleme beheben.

Vorbereitungen

1

Geben Sie den HDS Knoten Setup URL https://[HDS Node IP oder FQDN]/Setup in einem Webbrowser ein, geben Sie die Administrationsdaten ein, die Sie für den Knoten eingerichtet haben, und klicken Sie dann auf Anmelden.

2

Gehen Sie zu Trust Store & Proxyund wählen Sie dann eine Option:

  • Kein Proxy – Die Standardoption, bevor Sie einen Proxy integrieren. Es ist keine Zertifikatsaktualisierung erforderlich.
  • Transparenter Proxy ohne Prüfung: Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert und sollten keine Änderungen erfordern, um mit einem Proxy ohne Prüfung zu arbeiten. Es ist keine Zertifikatsaktualisierung erforderlich.
  • Transparentes Prüfen des Proxys: Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert. Bei der Bereitstellung der Hybriden Datensicherheit sind keine HTTPS-Konfigurationshinstellungsänderungen erforderlich, allerdings benötigen die Hägg-Knoten eine Stammzertifikat, damit Sie dem Proxy Vertrauen. Die Inspektion von Proxys wird in der Regel von ihm verwendet, um Strategien durchzusetzen, welche Websites besichtigt werden können und welche Arten von Inhalten nicht zulässig sind. Diese Art von Proxy entschlüsselt den gesamten Datenverkehr (auch HTTPS).
  • Expliziter Proxy – Mit explizitem Proxy können Sie dem Client (HDS-Knoten) mitteilen, welcher Proxyserver verwendet werden soll. Diese Option unterstützt mehrere Authentifizierungstypen. Nachdem Sie diese Option aktiviert haben, müssen Sie folgende Informationen eingeben:

    1. Proxy-IP/FQDN: Adresse, die verwendet werden kann, um die Proxy-Maschine zu erreichen.

    2. Proxy-Port: Eine Portnummer, die der Proxy verwendet, um nach proxyem Datenverkehr zu suchen.

    3. Proxy-Protokoll – Wählen Sie http (zeigt alle Anforderungen an und steuert sie, die vom Client empfangen werden) oder https (stellt einen Kanal zum Server bereit, und der Client empfängt und validiert das Serverzertifikat). Wählen Sie eine Option, basierend auf Ihren Proxy-Server unterstützt.

    4. Authentifizierungstyp: Wählen Sie aus den folgenden Authentifizierungstypen aus:

      • Keine: Es ist keine weitere Authentifizierung erforderlich.

        Verfügbar für http oder HTTPS.

      • Basic – wird für einen HTTP-Benutzeragenten verwendet, um bei einer Anfrage einen Benutzernamen und ein Kennwort anzugeben. Zertifikatsformat verwendet.

        Verfügbar für http oder HTTPS.

        Wenn Sie diese Option auswählen, müssen Sie auch die Benutzername und das Passwort eingeben.

      • Digest – wird verwendet, um das Konto vor dem Senden sensibler Informationen zu bestätigen. Gibt eine Hashfunktion auf die Benutzername und das Passwort ein, bevor Sie über das Netzwerk senden.

        Nur für HTTPS Proxies verfügbar.

        Wenn Sie diese Option auswählen, müssen Sie auch die Benutzername und das Passwort eingeben.

Befolgen Sie die nächsten Schritte für einen transparenten Inspektionsproxy, einen HTTP expliziten Proxy mit Basisauthentifizierung oder einen HTTPS expliziten Proxy

3

Klicken Sie auf ein Zertifikat für das Stammzertifikat oder Endnutzerzertifikat hochladen, und navigieren Sie dann zu einer Stammzertifikat für den Proxy.

Das Zertifikat ist hochgeladen, aber noch nicht installiert, da Sie den Knoten neu starten müssen, um das Zertifikat zu installieren. Klicken Sie auf den Chevron Pfeil unter dem Namen des Zertifikats, um weitere Details zu erhalten, oder klicken Sie auf löschen, Wenn Sie Fehler gemacht haben und die Datei erneut hochladen möchten.

4

Klicken Sie auf Stellvertreterverbindung prüfen , um die Netzwerkverbindung zwischen dem Knoten und dem Proxy zu testen.

Wenn der Verbindungstest ausfällt, wird eine Fehlermeldung angezeigt, die den Grund und die Frage, wie Sie das Problem beheben können, anzeigt.

Wenn Sie eine Meldung sehen, dass eine externe DNS nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen. Diese Bedingung wird in vielen expliziten Proxykonfigurationen erwartet. Sie können mit dem Setup fortfahren, und der Knoten wird im gesperrten externen DNS-Server funktionieren. Wenn Sie glauben, dass es sich um einen Fehler handelt, führen Sie die folgenden Schritte aus. Siehe Modus für blockierte externe DNS-Auflösung deaktivieren.

5

Nach dem Durchführen des Verbindungstests, für expliziten Proxy, der nur auf HTTPS gesetzt ist, aktivieren Sie die Option so schalten Sie alle Port 443/444 https Anfragen aus diesem Knoten durch den expliziten Proxy Diese Einstellung benötigt 15 Sekunden, um wirksam zu werden.

6

Klicken Sie auf alle-Zertifizierungsstellen in den Trust Store installieren (erscheint für einen HTTPS expliziten Proxy oder einen transparenten Inspektionskrimi) oder Neustart (erscheint für einen HTTP expliziten Proxy), lesen Sie die Aufforderung, und klicken Sie dann auf in

Der Knoten startet innerhalb weniger Minuten.

7

Nachdem der Knoten erneut gestartet wurde, melden Sie sich bei Bedarf erneut an, und öffnen Sie dann die Übersichtsseite, um die Verbindungsüberprüfungen zu überprüfen, um sicherzustellen, dass Sie alle im grünen Status sind.

Die Proxyverbindung prüft nur eine Unterdomäne von WebEx.com. Wenn es Verbindungsprobleme gibt, ist ein häufiges Problem, dass einige der in den instructions aufgeführten-C-Domänen beim Proxy gesperrt werden.

Ersten Knoten im Cluster registrieren

Diese Aufgabe übernimmt den generischen Knoten, den Sie unter Einrichten der Hybrid Data Security-VM erstellt haben, registriert den Knoten bei der Webex Cloud und wandelt ihn in einen Hybrid Data Security-Knoten um.

Bei der Registrierung Ihres ersten Knotens erstellen Sie ein Cluster, zu dem der Knoten zugewiesen wird. Ein Cluster umfasst einen oder mehrere Knoten, die aus Redundanzgründen bereitgestellt werden.

Vorbereitungen

  • Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.

  • Stellen Sie sicher, dass alle Popupblocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.

1

Melden Sie sich bei https://admin.webex.com an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach der Karte „Hybrid-Datensicherheit“, und klicken Sie auf Einrichten.

4

Klicken Sie auf der sich öffnenden Seite auf Ressource hinzufügen.

5

Geben Sie im ersten Feld der Karte Knoten hinzufügen einen Namen für das Cluster ein, dem Sie Ihren Hybrid-Datensicherheitsknoten zuweisen möchten.

Benennen Sie Ihre Cluster nach Möglichkeit nach dem geografischen Standort der Clusterknoten. Beispiele: „San Francisco“ oder „New York“ oder „Dallas“

6

Geben Sie im zweiten Feld die interne IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) Ihres Knotens ein und klicken Sie unten auf dem Bildschirm auf Hinzufügen .

Diese IP-Adresse oder FQDN sollte mit der IP-Adresse oder dem Hostnamen und der Domäne übereinstimmen, die Sie beim Einrichten der Hybrid-Datensicherheit-VM verwendet haben.

Es wird eine Meldung angezeigt, dass Sie Ihren Knoten in Webex registrieren können.
7

Klicken Sie auf Go to Node (Zum Knoten wechseln).

Nach einigen Augenblicken werden Sie zu den Knoten-Konnektivitätstests für Webex-Dienste umgeleitet. Sind alle Tests erfolgreich, wird die Seite „Allow Access to Hybrid Data Security Node“ (Zugriff zu Hybrid-Datensicherheits-Knoten gewähren) angezeigt. Bestätigen Sie dort, dass Sie Ihrer Webex-Organisation die Zugriffsberechtigungen für Ihren Knoten erteilen möchten.

8

Aktivieren Sie das Kontrollkästchen Allow Access to Your Hybrid Data Security Node (Zugriff zu Ihrem Hybrid-Datensicherheits-Knoten gewähren) und klicken Sie anschließend auf Continue (Weiter).

Ihr Konto wird validiert, und die Meldung „Registrierung abgeschlossen“ zeigt an, dass Ihr Knoten jetzt in der Webex Cloud registriert ist.
9

Klicken Sie auf den Link oder schließen Sie die Registerkarte, um zur Partner Hub-Hybrid-Datensicherheitsseite zurückzukehren.

Auf der Seite Hybrid-Datensicherheit wird das neue Cluster mit dem registrierten Knoten auf der Registerkarte Ressourcen angezeigt. Der Knoten lädt die aktuelle Software automatisch aus der Cloud herunter.

Weitere Knoten erstellen und registrieren

Um Ihrem Cluster weitere Knoten hinzuzufügen, erstellen Sie einfach weitere VMs, mounten die ISO-Konfigurationsdatei und registrieren daraufhin den Knoten. Wir empfehlen, mindestens 3 Knoten zu betreiben.

Vorbereitungen

  • Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.

  • Stellen Sie sicher, dass alle Popupblocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.

1

Erstellen Sie eine neue virtuelle Maschine über die OVA und wiederholen Sie die Schritte unter Installieren der HDS-Host-OVA.

2

Richten Sie die Erstkonfiguration für die neue VM ein. Wiederholen Sie die Schritte unter Einrichten der Hybrid-Datensicherheit-VM.

3

Wiederholen Sie auf der neuen VM die Schritte unter HDS-Konfigurations-ISO hochladen und mounten.

4

Wenn Sie einen Proxy für Ihre Bereitstellung einrichten, wiederholen Sie die Schritte unter Konfigurieren des HDS-Knotens für die Proxy-Integration nach Bedarf für den neuen Knoten.

5

Registrieren Sie den Knoten.

  1. Wählen Sie unter https://admin.webex.com Services (Dienste) aus dem Menü auf der linken Bildschirmseite aus.

  2. Suchen Sie im Abschnitt „Cloud-Dienste“ nach der Hybrid-Datensicherheitskarte und klicken Sie auf Alle anzeigen.

    Die Seite „Hybrid-Datensicherheitsressourcen“ wird angezeigt.

  3. Der neu erstellte Cluster wird auf der Seite Ressourcen angezeigt.

  4. Klicken Sie auf den Cluster, um die dem Cluster zugewiesenen Knoten anzuzeigen.

  5. Klicken Sie rechts auf dem Bildschirm auf Knoten hinzufügen .

  6. Geben Sie die interne IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) Ihres Knotens ein und klicken Sie auf Hinzufügen.

    Es wird eine Seite mit einer Meldung geöffnet, die angibt, dass Sie Ihren Knoten in der Webex-Cloud registrieren können. Nach einigen Augenblicken werden Sie zu den Knoten-Konnektivitätstests für Webex-Dienste umgeleitet. Sind alle Tests erfolgreich, wird die Seite „Allow Access to Hybrid Data Security Node“ (Zugriff zu Hybrid-Datensicherheits-Knoten gewähren) angezeigt. Bestätigen Sie dort, dass Sie Ihrer Organisation die Zugriffsberechtigungen für Ihren Knoten erteilen möchten.

  7. Aktivieren Sie das Kontrollkästchen Allow Access to Your Hybrid Data Security Node (Zugriff zu Ihrem Hybrid-Datensicherheits-Knoten gewähren) und klicken Sie anschließend auf Continue (Weiter).

    Ihr Konto wird validiert, und die Meldung „Registrierung abgeschlossen“ zeigt an, dass Ihr Knoten jetzt in der Webex Cloud registriert ist.

  8. Klicken Sie auf den Link oder schließen Sie die Registerkarte, um zur Partner Hub-Hybrid-Datensicherheitsseite zurückzukehren.

    Die Popup-Meldung Knoten hinzugefügt wird auch unten auf dem Bildschirm in Partner Hub angezeigt.

    Ihr Knoten ist registriert.

Mandantenorganisationen für Multi-Tenant-Hybrid-Datensicherheit verwalten

Multi-Tenant HDS in Partner Hub aktivieren

Diese Aufgabe stellt sicher, dass alle Benutzer der Kundenorganisationen HDS für lokale Verschlüsselungsschlüssel und andere Sicherheitsdienste nutzen können.

Vorbereitungen

Stellen Sie sicher, dass Sie die Einrichtung Ihres Multi-Tenant-HDS-Clusters mit der erforderlichen Anzahl an Knoten abgeschlossen haben.

1

Melden Sie sich bei https://admin.webex.com an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach „Hybrid-Datensicherheit“ und klicken Sie auf Einstellungen bearbeiten.

4

Klicken Sie auf der Karte HDS-Status auf HDS-Aktivierung .

Mandantenorganisationen in Partner Hub hinzufügen

Weisen Sie bei dieser Aufgabe Kundenorganisationen Ihrem Hybrid-Datensicherheitscluster zu.

1

Melden Sie sich bei https://admin.webex.com an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach Hybrid-Datensicherheit und klicken Sie auf Alle anzeigen.

4

Klicken Sie auf den Cluster, dem ein Kunde zugewiesen werden soll.

5

Wechseln Sie zur Registerkarte Zugewiesene Kunden .

6

Klicken Sie auf Kunden hinzufügen.

7

Wählen Sie im Dropdown-Menü den Kunden aus, den Sie hinzufügen möchten.

8

Klicken Sie auf Hinzufügen. Der Kunde wird dem Cluster hinzugefügt.

9

Wiederholen Sie die Schritte 6 bis 8, um mehrere Kunden zu Ihrem Cluster hinzuzufügen.

10

Klicken Sie auf Fertig am unteren Bildschirmrand, nachdem Sie die Kunden hinzugefügt haben.

Nächste Schritte

Führen Sie das HDS-Einrichtungstool wie unter Erstellen von Kundenhauptschlüsseln (Customer Main Keys, CMKs) mit dem HDS-Einrichtungstool beschrieben aus, um die Einrichtung abzuschließen.

Kundenhauptschlüssel (Customer Main Keys, CMKs) mit dem HDS Setup-Tool erstellen

Vorbereitungen

Weisen Sie Kunden dem entsprechenden Cluster zu, wie unter Mandantenorganisationen in Partner Hub hinzufügen beschrieben. Führen Sie das HDS Setup-Tool aus, um den Einrichtungsprozess für die neu hinzugefügten Kundenorganisationen abzuschließen.

  • Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zu zugreifen, führen Sie Docker auf diesem Computer aus. Der Einrichtungsprozess erfordert die Anmeldeinformationen eines Partner Hub-Kontos mit vollen Administratorrechten für Ihre Organisation.

    Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxy-Einstellungen (Server, Port, Anmeldeinformationen) über die Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in Schritt 5 aufrufen. Diese Tabelle enthält einige mögliche Umgebungsvariablen:

    Beschreibung

    Variable

    HTTP-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

  • Die von Ihnen generierte ISO-Konfigurationsdatei enthält den Hauptschlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die neueste Kopie dieser Datei, wenn Sie Konfigurationsänderungen wie die folgenden vornehmen:

    • Datenbank-Anmeldeinformationen

    • Zertifikats-Aktualisierungen

    • Änderungen an der Autorisierungsrichtlinie

  • Wenn Sie Datenbankverbindungen verschlüsseln möchten, richten Sie Ihre PostgreSQL- oder SQL Server-Bereitstellung für TLS ein.

Beim Einrichtungsprozess für die Hybrid-Datensicherheit wird eine ISO-Datei erstellt. Anschließend verwenden Sie die ISO, um Ihren Hybrid-Datensicherheitshost zu konfigurieren.

1

Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

In regulären Umgebungen:

docker rmi ciscocitg/hds-setup:stabil

In FedRAMP-Umgebungen:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

2

Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

Docker Anmeldung -u hdscustomersro
3

Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

In regulären Umgebungen:

docker pull ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

  • In regulären Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In FedRAMP-Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express-Server hören auf Port 8080) sehen.

6

Das Setup-Tool unterstützt die Verbindung zu localhost über http://localhost:8080 nicht. Verwenden Sie http://127.0.0.1:8080 , um eine Verbindung zum Localhost herzustellen.

Navigieren Sie in einem Webbrowser zum Localhost, http://127.0.0.1:8080, und geben Sie bei Aufforderung den Admin-Benutzernamen für Partner Hub ein.

Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto festzulegen. Das Tool zeigt dann die Standard-Anmeldeaufforderung an.

7

Wenn Sie dazu aufgefordert werden, geben Sie Ihre Partner Hub-Administratoranmeldeinformationen ein und klicken Sie dann auf Anmelden , um den Zugriff auf die für die Hybrid-Datensicherheit erforderlichen Dienste zu erlauben.

8

Klicken Sie auf der Übersichtsseite des Setup Tool auf Get Started (Erste Schritte).

9

Klicken Sie auf der Seite ISO-Import auf Ja.

10

Wählen Sie Ihre ISO-Datei im Browser aus und laden Sie sie hoch.

Stellen Sie sicher, dass die Verbindung zu Ihrer Datenbank hergestellt wird, um eine CMK-Verwaltung durchzuführen.
11

Gehen Sie zur Registerkarte Mandanten-CMK-Verwaltung , auf der Sie die folgenden drei Möglichkeiten zur Verwaltung von Mandanten-CMKs finden.

  • CMK für alle ORGs erstellen oder CMK erstellen – Klicken Sie auf diese Schaltfläche im Banner am oberen Rand des Bildschirms, um CMKs für alle neu hinzugefügten Organisationen zu erstellen.
  • Klicken Sie auf die Schaltfläche CMKs verwalten auf der rechten Seite des Bildschirms und klicken Sie auf CMKs erstellen , um CMKs für alle neu hinzugefügten Organisationen zu erstellen.
  • Klicken Sie in der Tabelle neben dem Status der ausstehenden CMK-Verwaltung einer bestimmten Organisation, und klicken Sie auf CMK erstellen , um CMK für diese Organisation zu erstellen.
12

Sobald die CMK-Erstellung erfolgreich war, ändert sich der Status in der Tabelle von CMK-Verwaltung ausstehend zu CMK-Verwaltung.

13

Wenn die CMK-Erstellung nicht erfolgreich war, wird ein Fehler angezeigt.

Mandantenorganisationen entfernen

Vorbereitungen

Nach dem Entfernen können Benutzer von Kundenorganisationen HDS nicht mehr für ihre Verschlüsselungsanforderungen nutzen und verlieren alle vorhandenen Bereiche. Wenden Sie sich an Ihren Cisco-Partner oder Ihren Account Manager, bevor Sie Kundenorganisationen entfernen.

1

Melden Sie sich bei https://admin.webex.com an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach Hybrid-Datensicherheit und klicken Sie auf Alle anzeigen.

4

Klicken Sie auf der Registerkarte Ressourcen auf den Cluster, aus dem Sie Kundenorganisationen entfernen möchten.

5

Klicken Sie auf der sich öffnenden Seite auf Zugewiesene Kunden.

6

Klicken Sie in der angezeigten Liste der Kundenorganisationen auf ... auf der rechten Seite der Kundenorganisation, die Sie entfernen möchten, und klicken Sie auf Aus Cluster entfernen.

Nächste Schritte

Schließen Sie den Löschvorgang ab, indem Sie die CMKs der Kundenorganisationen sperren, wie unter CMKs von Tenants, die aus HDS entfernt wurden, beschrieben.

Widerrufen Sie die CMKs von Mandanten, die aus HDS entfernt wurden.

Vorbereitungen

Entfernen Sie Kunden aus dem entsprechenden Cluster, wie unter Mandantenorganisationen entfernen beschrieben. Führen Sie das HDS Setup-Tool aus, um den Entfernungsprozess für die Kundenorganisationen abzuschließen, die entfernt wurden.

  • Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zu zugreifen, führen Sie Docker auf diesem Computer aus. Der Einrichtungsprozess erfordert die Anmeldeinformationen eines Partner Hub-Kontos mit vollen Administratorrechten für Ihre Organisation.

    Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxy-Einstellungen (Server, Port, Anmeldeinformationen) über die Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in Schritt 5 aufrufen. Diese Tabelle enthält einige mögliche Umgebungsvariablen:

    Beschreibung

    Variable

    HTTP-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

  • Die von Ihnen generierte ISO-Konfigurationsdatei enthält den Hauptschlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die neueste Kopie dieser Datei, wenn Sie Konfigurationsänderungen wie die folgenden vornehmen:

    • Datenbank-Anmeldeinformationen

    • Zertifikats-Aktualisierungen

    • Änderungen an der Autorisierungsrichtlinie

  • Wenn Sie Datenbankverbindungen verschlüsseln möchten, richten Sie Ihre PostgreSQL- oder SQL Server-Bereitstellung für TLS ein.

Beim Einrichtungsprozess für die Hybrid-Datensicherheit wird eine ISO-Datei erstellt. Anschließend verwenden Sie die ISO, um Ihren Hybrid-Datensicherheitshost zu konfigurieren.

1

Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

In regulären Umgebungen:

docker rmi ciscocitg/hds-setup:stabil

In FedRAMP-Umgebungen:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

2

Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

Docker Anmeldung -u hdscustomersro
3

Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

In regulären Umgebungen:

docker pull ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

  • In regulären Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In FedRAMP-Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express-Server hören auf Port 8080) sehen.

6

Das Setup-Tool unterstützt die Verbindung zu localhost über http://localhost:8080 nicht. Verwenden Sie http://127.0.0.1:8080 , um eine Verbindung zum Localhost herzustellen.

Navigieren Sie in einem Webbrowser zum Localhost, http://127.0.0.1:8080, und geben Sie bei Aufforderung den Admin-Benutzernamen für Partner Hub ein.

Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto festzulegen. Das Tool zeigt dann die Standard-Anmeldeaufforderung an.

7

Wenn Sie dazu aufgefordert werden, geben Sie Ihre Partner Hub-Administratoranmeldeinformationen ein und klicken Sie dann auf Anmelden , um den Zugriff auf die für die Hybrid-Datensicherheit erforderlichen Dienste zu erlauben.

8

Klicken Sie auf der Übersichtsseite des Setup Tool auf Get Started (Erste Schritte).

9

Klicken Sie auf der Seite ISO-Import auf Ja.

10

Wählen Sie Ihre ISO-Datei im Browser aus und laden Sie sie hoch.

11

Gehen Sie zur Registerkarte Mandanten-CMK-Verwaltung , auf der Sie die folgenden drei Möglichkeiten zur Verwaltung von Mandanten-CMKs finden.

  • CMK für alle ORGs sperren oder CMK sperren – Klicken Sie auf diese Schaltfläche im Banner am oberen Bildschirmrand, um die CMKs aller Organisationen zu sperren, die entfernt wurden.
  • Klicken Sie auf die Schaltfläche CMKs verwalten auf der rechten Seite des Bildschirms und klicken Sie auf CMKs sperren , um die CMKs aller Organisationen zu sperren, die entfernt wurden.
  • Klicken in der Nähe der CMK wird widerrufen Status einer bestimmten Organisation in der Tabelle und klicken Sie auf CMK widerrufen um CMK für diese bestimmte Organisation zu widerrufen.
12

Sobald die CMK-Sperrung erfolgreich ist, wird die Kundenorganisation nicht mehr in der Tabelle angezeigt.

13

Wenn die CMK-Sperrung nicht erfolgreich ist, wird ein Fehler angezeigt.

Testen Ihrer Hybrid-Datensicherheitsbereitstellung

Testen Ihrer Bereitstellung für die Hybrid-Datensicherheit

Mit diesem Verfahren können Sie Verschlüsselungsszenarien für die Multi-Tenant-Hybrid-Datensicherheit testen.

Vorbereitungen

  • Richten Sie die Multi-Tenant-Hybrid-Datensicherheitsbereitstellung ein.

  • Stellen Sie sicher, dass Sie auf das Syslog zugreifen können, um zu überprüfen, ob wichtige Anforderungen an Ihre Multi-Tenant-Hybrid-Datensicherheitsbereitstellung weitergeleitet werden.

1

Schlüssel für einen bestimmten Bereich werden vom Ersteller des Bereichs festgelegt. Melden Sie sich bei der Webex-App als einer der Benutzer der Kundenorganisation an und erstellen Sie einen Bereich.

Wenn Sie die Hybrid-Datensicherheitsbereitstellung deaktivieren, sind Inhalte in von Benutzern erstellten Bereichen nicht mehr verfügbar, nachdem die im Client zwischengespeicherten Kopien der Verschlüsselungscodes ersetzt wurden.

2

Senden Sie Nachrichten an den neuen Bereich.

3

Überprüfen Sie die Syslog-Ausgabe, um sicherzustellen, dass die Schlüsselanforderungen an Ihre Hybrid-Datensicherheitsbereitstellung weitergeleitet werden.

  1. Um zu prüfen, ob ein Benutzer zuerst einen sicheren Kanal zum KMS eingerichtet hat, filtern Sie nach kms.data.method=create und kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Sie sollten einen Eintrag wie den folgenden finden (IDs wurden zur besseren Lesbarkeit gekürzt):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:ANFRAGE] empfangen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Um zu überprüfen, ob ein Benutzer einen vorhandenen Schlüssel im KMS anfordert, filtern Sie nach kms.data.method=retrieve und kms.data.type=KEY:

    Sie sollten einen Eintrag wie den folgenden finden:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:ANFRAGE] empfangen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Um zu überprüfen, ob ein Benutzer die Erstellung eines neuen KMS-Schlüssels anfordert, filtern Sie nach kms.data.method=create und kms.data.type=KEY_COLLECTION:

    Sie sollten einen Eintrag wie den folgenden finden:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:ANFRAGE] empfangen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Um zu überprüfen, ob ein Benutzer die Erstellung eines neuen KMS-Ressourcenobjekts (KRO) anfordert, wenn ein Bereich oder eine andere geschützte Ressource erstellt wird, filtern Sie kms.data.method=create und kms.data.type=RESOURCE_COLLECTION:

    Sie sollten einen Eintrag wie den folgenden finden: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:ANFRAGE] empfangen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Überwachen des Status der Hybrid-Datensicherheit

Eine Statusanzeige in Partner Hub zeigt Ihnen an, ob die Multi-Tenant-Hybrid-Datensicherheitsbereitstellung gut funktioniert. Für stärker proaktive Warnungen können Sie sich für E-Mail-Benachrichtigungen anmelden. Sie werden benachrichtigt, wenn Alarme oder Software-Upgrades den Dienst beeinträchtigen.
1

Wählen Sie in Partner Hub im Menü auf der linken Seite des Bildschirms die Option Dienste aus.

2

Suchen Sie im Abschnitt „Cloud-Dienste“ nach „Hybrid-Datensicherheit“ und klicken Sie auf Einstellungen bearbeiten.

Die Seite „Hybrid Data Security Settings“ (Einstellungen für Hybrid-Datensicherheit) wird angezeigt.
3

Geben Sie im Abschnitt zu E-Mail-Benachrichtigungen eine oder mehrere Adressen durch Komma getrennt ein und drücken Sie Enter.

HDS-Bereitstellung verwalten

Verwalten der HDS-Bereitstellung

Verwenden Sie die hier beschriebenen Aufgaben, um Ihre Hybrid-Datensicherheitsbereitstellung zu verwalten.

Festlegen des Upgrade-Zeitplans für Cluster

Software-Upgrades für Hybrid Data Security werden automatisch auf Cluster-Ebene ausgeführt, um sicherzustellen, dass auf allen Knoten immer die gleiche Software-Version ausgeführt wird. Die Upgrades werden gemäß des Upgrade-Zeitplans für den Cluster ausgeführt. Sie können neue verfügbare Software-Upgrades optional auch vor dem geplanten Upgrade-Zeitpunkt manuell installieren. Sie können einen eigenen Upgrade-Zeitplan festlegen oder den Standardzeitplan um 3:00 Uhr morgens täglich für USA: Amerika/Los Angeles verwenden. Bei Bedarf können Sie anstehende Upgrades auch verzögern.

So legen Sie den Upgrade-Zeitplan fest:

1

Melden Sie sich bei Partner Hub an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach „Hybrid-Datensicherheit“ und klicken Sie auf Einrichten.

4

Wählen Sie auf der Seite „Hybrid-Datensicherheitsressourcen“ den Cluster aus.

5

Klicken Sie auf die Registerkarte Cluster-Einstellungen .

6

Wählen Sie auf der Seite „Cluster-Einstellungen“ unter „Upgrade-Zeitplan“ die Uhrzeit und die Zeitzone für den Upgrade-Zeitplan aus.

Hinweis: Unter der Zeitzone wird der nächste verfügbare Zeitpunkt für ein Upgrade angezeigt. Sie können das Upgrade bei Bedarf auf den folgenden Tag verschieben, indem Sie auf Um 24 Stunden verschieben klicken.

Ändern der Knotenkonfiguration

Gelegentlich kann es erforderlich sein, die Konfiguration Ihres Hybrid-Datensicherheitsknotens zu ändern, z. B.:

  • Änderung der x.509-Zertifikate aufgrund Ablaufs oder anderer Gründe.

    Wir unterstützen keine Änderung des CN-Domänennamens eines Zertifikats. Die Domäne muss mit der Originaldomäne übereinstimmen, die zur Registrierung des Clusters verwendet wurde.

  • Datenbankeinstellungen werden aktualisiert, um auf eine Replik der PostgreSQL- oder Microsoft SQL Server-Datenbank zu wechseln.

    Wir unterstützen keine Migration von Daten von PostgreSQL zu Microsoft SQL Server oder auf den entgegengesetzten Weg. Um die Datenbankumgebung zu wechseln, starten Sie eine neue Bereitstellung von Hybrid Data Security.

  • Erstellen einer neuen Konfiguration, um ein neues Datenzentrum vorzubereiten.

Aus Sicherheitsgründen verwendet Hybrid Data Security Dienstkonto-Passwörter mit einer Laufzeit von neun Monaten. Nachdem das HDS Setup Tool diese Passwörter generiert hat, stellen Sie sie für jeden Ihrer HDS-Knoten in der ISO-Konfigurationsdatei bereit. Wenn die Kennwörter Ihrer Organisation fast ablaufen, erhalten Sie eine Benachrichtigung vom Webex-Team, mit der Sie das Passwort für Ihr Computerkonto zurücksetzen können. (Die E-Mail enthält den Text "Verwenden Sie die Maschinenkonto-API, um das Passwort zu aktualisieren"). Wenn Ihre Passwörter noch nicht abgelaufen sind, bietet Ihnen das Tool zwei Optionen:

  • Weiches Zurücksetzen – Das alte und das neue Kennwort können beide bis zu 10 Tage lang verwendet werden. Verwenden Sie diesen Zeitraum, um die ISO-Datei der Knoten schrittweise zu ersetzen.

  • Harte Zurücksetzung: Die alten Passwörter funktionieren sofort nicht mehr.

Wenn Ihre Passwörter ohne Zurücksetzen ablaufen, wirkt sich dies auf Ihren HDS-Dienst aus, was ein sofortiges Zurücksetzen und Ersetzen der ISO-Datei auf allen Knoten erfordert.

Verwenden Sie dieses Verfahren, um eine neue ISO-Konfigurationsdatei zu generieren und auf Ihren Cluster anzuwenden.

Vorbereitungen

  • Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zu zugreifen, führen Sie Docker auf diesem Computer aus. Der Einrichtungsprozess erfordert die Anmeldeinformationen eines Partner Hub-Kontos mit vollen Partneradministratorrechten.

    Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxy-Einstellungen (Server, Port, Anmeldeinformationen) über die Docker-Umgebungsvariablen an, wenn Sie den Docker Container in 1.e aufrufen. Diese Tabelle enthält einige mögliche Umgebungsvariablen:

    Beschreibung

    Variable

    HTTP-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

  • Um eine neue Konfiguration zu erstellen, benötigen Sie eine Kopie der aktuellen ISO-Konfigurationsdatei. Die ISO enthält den Masterschlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die ISO-Datei, wenn Sie Konfigurationsänderungen vornehmen, wie z. B. Datenbank-Anmeldeinformationen, Zertifikataktualisierungen oder Änderungen an der Autorisierungsrichtlinie.

1

Führen Sie auf einem lokalen Computer, auf dem Docker läuft, das HDS Setup Tool aus.

  1. Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

    In regulären Umgebungen:

    docker rmi ciscocitg/hds-setup:stabil

    In FedRAMP-Umgebungen:

    docker rmi ciscocitg/hds-setup-fedramp:stabil

    Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

  2. Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

    Docker Anmeldung -u hdscustomersro

  3. Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

    In regulären Umgebungen:

    docker pull ciscocitg/hds-setup:stable

    In FedRAMP-Umgebungen:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Stellen Sie sicher, dass Sie für hierfür per Pull das neueste Setup-Tool aufrufen. Versionen des Tools, die vor dem 22. Februar 2018 erstellt wurden, verfügen nicht über die Bildschirme zum Zurücksetzen des Passworts.

  5. Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

    • In regulären Umgebungen ohne Proxy:

      Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • In regulären Umgebungen mit einem HTTP-Proxy:

      Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • In regulären Umgebungen mit einem HTTPSproxy:

      Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • In FedRAMP-Umgebungen ohne Proxy:

      Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

      Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

      Docker run -p 8080:8080 --rm -it -e GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express server listening on port 8080) sehen.

  6. Verwenden Sie einen Browser, um sich mit dem Localhost zu http://127.0.0.1:8080verbinden.

    Das Setup-Tool unterstützt die Verbindung zu localhost über http://localhost:8080 nicht. Verwenden Sie http://127.0.0.1:8080 , um eine Verbindung zum Localhost herzustellen.

  7. Wenn Sie dazu aufgefordert werden, geben Sie Ihre Partner Hub-Kundenanmeldeinformationen ein und klicken Sie dann auf Akzeptieren , um fortzufahren.

  8. Importieren Sie die aktuelle ISO-Konfigurationsdatei.

  9. Befolgen Sie die Anweisungen, um das Tool abzuschließen und die aktualisierte Datei herunterzuladen.

    Um das Setup Tool herunterzufahren, tippen Sie STRG+C ein.

  10. Erstellen Sie eine Backup-Kopie der aktualisierten Datei in einem anderen Datenzentrum.

2

Wenn Sie nur einen HDS-Knoten ausführen, erstellen Sie eine neue VM für den Hybrid-Datensicherheitsknoten und registrieren Sie sie mithilfe der neuen ISO-Konfigurationsdatei. Detaillierte Anweisungen finden Sie unter Weitere Knoten erstellen und registrieren.

  1. Installieren des HDS Host OVA

  2. Richten Sie die HDS-VM ein.

  3. Mounten Sie die aktualisierte Konfigurationsdatei.

  4. Registrieren Sie den neuen Knoten im Partner Hub.

3

Mounten Sie bei vorhandenen HDS-Knoten, auf denen die ältere Konfigurationsdatei ausgeführt wird, die ISO-Datei. Führen Sie für jeden Knoten des Knotens folgende Schritte durch, indem Sie jeden Knoten aktualisieren, bevor Sie den nächsten Knoten deaktivieren:

  1. Deaktivieren Sie die Virtuelle Maschine.

  2. Rechtsklicken Sie im linken Navigationsbereich des VMware vSphere Client auf die VM. Klicken Sie daraufhin auf Edit Settings (Einstellungen bearbeiten).

  3. Klicken Sie auf CD/DVD-Laufwerk 1, wählen Sie die Option zum Bereitstellen einer ISO-Datei und navigieren Sie zu dem Speicherort, unter dem der Download der neuen ISO-Konfigurationsdatei abliegt.

  4. Aktivieren Sie das Kontrollkästchen Verbinden beim Einschalten.

  5. Speichern Sie Ihre Änderungen und starten Sie Sie die virtuelle Maschine.

4

Wiederholen Sie Schritt 3, um bei jedem weiteren Knoten zu ersetzen, auf dem noch die alte Konfiguration ausgeführt wird, die Konfiguration zu ersetzen.

Blockierte externe DNS Auflösungsmodus deaktivieren

Wenn Sie einen Knoten registrieren oder die Proxykonfiguration des Knotens überprüfen, testet das Verfahren die DNS und die Konnektivität der Cisco WebEx. Wenn der DNS-Server des Knotens öffentliche DNS nicht auflösen kann, geht der Knoten automatisch in den gesperrten externen DNS-Server.

Wenn Ihre Knoten öffentliche DNS über interne DNS-Server auflösen können, aktivieren Sie diesen Modus, indem Sie den Proxyverbindungstest für jeden Knoten deaktivieren.

Vorbereitungen

Stellen Sie sicher, dass Ihre internen DNS-Server öffentliche DNS und ihre Knoten mit Ihnen kommunizieren können.
1

Öffnen Sie in einem Webbrowser die Schnittstelle für den Hybrid-Datensicherheitsknoten (IP-Adresse/Einrichtung, https://192.0.2.0/setup), geben Sie beispielsweise die für den Knoten eingerichteten Admin-Anmeldeinformationen ein, und klicken Sie dann auf Anmelden.

2

Gehen Sie zu Übersicht (Standardseite).

Wenn diese Option aktiviert ist, wird die externe DNS auf "Ja" gesetzt .

3

Gehen Sie zur Seite Vertrauensspeicher und Proxy .

4

Klicken Sie auf Stellvertreterverbindung prüfen.

Wenn Sie eine Meldung sehen, dass eine externe DNS nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen und wird in diesem Modus verbleiben. Andernfalls sollte nach dem Neustart des Knotens und der Rückfahrt zur Übersichtsseite die gesperrte externe DNS auf "Nein" gesetzt werden.

Nächste Schritte

Wiederholen Sie den Proxy Verbindungstest für jeden Knoten in Ihrem Cisco Data SicherheitCluster.

Entfernen eines Knotens

Mit diesem Verfahren können Sie einen Hybrid-Datensicherheitsknoten aus der Webex-Cloud entfernen. Löschen Sie nach dem Entfernen des Knotens aus dem Cluster die virtuelle Maschine, um den weiteren Zugriff auf Ihre Sicherheitsdaten zu verhindern.
1

Melden Sie sich über den VMware vSphere-Client auf Ihrem Computer bei dem ESXi virtuellen Host an und schalten Sie die virtuelle Maschine aus.

2

Entfernen des Knotens:

  1. Melden Sie sich bei Partner Hub an und wählen Sie Dienste aus.

  2. Klicken Sie auf der Hybrid-Datensicherheitskarte auf Alle anzeigen , um die Seite „Hybrid-Datensicherheitsressourcen“ anzuzeigen.

  3. Wählen Sie Ihr Cluster aus, um den Bereich „Übersicht“ anzuzeigen.

  4. Klicken Sie auf den Knoten, den Sie entfernen möchten.

  5. Klicken Sie in dem rechts angezeigten Bereich auf Registrierung dieses Knotens aufheben .

  6. Sie können die Registrierung des Knotens auch aufheben, indem Sie auf der rechten Seite des Knotens auf Diesen Knoten entfernen klicken.

3

Löschen Sie die VM im vSphere-Client. (Klicken Sie im linken Navigationsbereich mit der rechten Maustaste auf die VM, und klicken Sie auf Löschen.)

Wenn Sie die VM nicht löschen, denken Sie daran, die Konfigurations-ISO-Datei zu deinstallieren. Ohne die ISO-Datei können Sie die VM nicht verwenden, um auf Ihre Sicherheitsdaten zuzugreifen.

Notfallwiederherstellung mit Standby-Rechenzentrum

Der wichtigste Dienst, den Ihr Hybrid-Datensicherheitscluster bietet, ist die Erstellung und Speicherung von Schlüsseln, mit denen Nachrichten und andere in der Webex-Cloud gespeicherte Inhalte verschlüsselt werden. Für jeden Benutzer innerhalb der Organisation, der der Hybrid-Datensicherheit zugewiesen ist, werden neue Anforderungen zur Schlüsselerstellung an das Cluster weitergeleitet. Der Cluster ist zudem dafür verantwortlich, die erstellten Schlüssel an Benutzer zurückzusenden, die zum Abrufen von Schlüsseln berechtigt sind. Hierzu gehören beispielsweise Mitglieder eines Gesprächsraums.

Da der Cluster die wichtige Funktion erfüllt, diese Schlüssel bereitzustellen, ist es höchst wichtig, dass der Cluster in Betrieb bleibt und korrekte Backups erstellt werden. Der Verlust der Hybrid-Datensicherheitsdatenbank oder der für das Schema verwendeten Konfigurations-ISO führt zu einem NICHT BEHEBBAREN VERLUST von Kundeninhalten. Die folgenden Praktiken sind zwingend erforderlich, um einem derartigen Verlust vorzubeugen:

Wenn eine Katastrophe dazu führt, dass die HDS-Bereitstellung im primären Rechenzentrum nicht mehr verfügbar ist, führen Sie dieses Verfahren aus, um ein manuelles Failover auf das Standby-Rechenzentrum durchzuführen.

Vorbereitungen

Heben Sie die Registrierung aller Knoten aus Partner Hub auf, wie unter Knoten entfernen erwähnt. Verwenden Sie die neueste ISO-Datei, die für die Knoten des zuvor aktiven Clusters konfiguriert wurde, um das unten genannte Failover-Verfahren durchzuführen.
1

Starten Sie das HDS-Setup-Tool und führen Sie die unter Erstellen einer Konfigurations-ISO für die HDS-Hosts beschriebenen Schritte aus.

2

Schließen Sie den Konfigurationsprozess ab und speichern Sie die ISO-Datei an einem leicht auffindbaren Speicherort.

3

Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Sichern Sie die Sicherungskopie sicher. Die Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff auf Administratoren für Hybrid-Datensicherheit, die Konfigurationsänderungen vornehmen sollten.

4

Rechtsklicken Sie im linken Navigationsbereich des VMware vSphere Client auf die VM. Klicken Sie daraufhin auf Edit Settings (Einstellungen bearbeiten).

5

Klicken Sie auf Einstellungen bearbeiten >CD/DVD-Laufwerk 1 und wählen Sie Datenspeicher-ISO-Datei.

Stellen Sie sicher, dass Verbunden und Verbinden beim Einschalten aktiviert sind, damit aktualisierte Konfigurationsänderungen nach dem Starten der Knoten wirksam werden können.

6

Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 15 Minuten lang keine Alarme vorhanden sind.

7

Registrieren Sie den Knoten im Partner Hub. Weitere Informationen finden Sie unter Ersten Knoten im Cluster registrieren.

8

Wiederholen Sie den Vorgang für jeden Knoten im Standby-Rechenzentrum.

Nächste Schritte

Wenn das primäre Rechenzentrum nach dem Failover wieder aktiv wird, die Registrierung der Knoten des Standby-Rechenzentrums aufheben und den oben genannten Prozess der ISO-Konfiguration und der Registrierung der Knoten des primären Rechenzentrums wiederholen.

(Optional) ISO nach HDS-Konfiguration aushängen

Die Standard-HDS-Konfiguration wird mit eingebauter ISO ausgeführt. Einige Kunden ziehen es jedoch vor, die ISO-Dateien nicht kontinuierlich eingebunden zu lassen. Sie können die ISO-Datei unmounten, nachdem alle HDS-Knoten die neue Konfiguration übernommen haben.

Sie verwenden weiterhin die ISO-Dateien, um Konfigurationsänderungen vorzunehmen. Wenn Sie eine neue ISO erstellen oder eine ISO über das Setup-Tool aktualisieren, müssen Sie die aktualisierte ISO auf allen HDS-Knoten mounten. Wenn alle Knoten die Konfigurationsänderungen übernommen haben, können Sie die ISO mit diesem Verfahren erneut deinstallieren.

Vorbereitungen

Aktualisieren Sie alle Ihre HDS-Knoten auf Version 2021.01.22.4720 oder höher.

1

Fahren Sie einen Ihrer HDS-Knoten herunter.

2

Wählen Sie in der vCenter Server-Appliance den HDS-Knoten aus.

3

Wählen Sie Einstellungen bearbeiten > CD/DVD-Laufwerk und deaktivieren Sie ISO-Datei für Datenspeicher.

4

Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 20 Minuten lang keine Alarme angezeigt werden.

5

Wiederholen Sie dies für jeden HDS-Knoten der Reihe nach.

Problembehandlung der Hybrid-Datensicherheit

Anzeigen von Warnungen und Beheben von Fehlern

Eine Hybrid-Datensicherheitsbereitstellung gilt als nicht verfügbar, wenn alle Knoten im Cluster nicht erreichbar sind oder der Cluster so langsam arbeitet, dass eine Zeitüberschreitung erforderlich ist. Wenn Benutzer Ihr Hybrid-Datensicherheitscluster nicht erreichen können, treten folgende Symptome auf:

  • Neue Bereiche können nicht erstellt werden (es konnten keine neuen Schlüssel erstellt werden)

  • Nachrichten- und Bereichstitel konnten für folgende Benutzer nicht entschlüsselt werden:

    • Neue zu einem Bereich hinzugefügte Benutzer (Schlüssel konnten nicht abgerufen werden)

    • Vorhandene Benutzer in einem Bereich, der einen neuen Client verwendet (Schlüssel konnten nicht abgerufen werden)

  • Vorhandene Benutzer in einem Bereich werden weiterhin erfolgreich ausgeführt, sofern ihre Clients über einen Cache für Verschlüsselungsschlüssel verfügen

Es ist wichtig, dass Sie Ihren Hybrid-Datensicherheitscluster ordnungsgemäß überwachen und alle Warnungen umgehend adressieren, um Dienstunterbrechungen zu vermeiden.

Warnungen

Wenn es ein Problem mit der Einrichtung der Hybrid-Datensicherheit gibt, zeigt Partner Hub Warnungen an den Administrator der Organisation an und sendet E-Mails an die konfigurierte E-Mail-Adresse. Die Warnungen betreffen viele gängige Szenarien.

Tabelle 1: Häufig auftretende Probleme und Schritte zur Problembehebung

Alarm

Vorgang

Fehler beim Zugriff auf die lokale Datenbank.

Überprüfen Sie das System auf Datenbankfehler oder lokale Netzwerkprobleme.

Fehler beim Herstellen einer Verbindung zur lokalen Datenbank.

Vergewissern Sie sich, dass der Datenbankserver verfügbar ist und die richtigen Dienstkonto-Anmeldeinformationen in der Knotenkonfiguration verwendet wurden.

Fehler beim Zugriff auf den Clouddienst.

Überprüfen Sie, ob die Knoten auf die Webex-Server zugreifen können, wie unter Externe Verbindungsanforderungen angegeben.

Registrierung des Clouddiensts wird erneuert.

Registrierung von Clouddiensten wurde verworfen. Erneuerung der Registrierung wird durchgeführt.

Registrierung des Clouddiensts wurde verworfen.

Registrierung von Clouddiensten wurde beendet. Dienst wird beendet.

Dienst noch nicht aktiviert.

Aktivieren Sie HDS in Partner Hub.

Konfigurierte Domäne stimmt nicht mit dem Serverzertifikat überein.

Vergewissern Sie sich, dass das Serverzertifikat mit der konfigurierten Dienstaktivierungsdomäne übereinstimmt.

Die wahrscheinlichste Ursache lautet, dass die Zertifikat-CN vor kurzem geändert wurde und nun von der CN abweicht, die während der ursprünglichen Einrichtung verwendet wurde.

Clouddienste konnten nicht authentifiziert werden.

Prüfen Sie die Daten auf korrekte Eingabe und einen möglichen Ablauf der Dienstkonto-Anmeldeinformationen.

Lokale Schlüsselspeicherdatei konnte nicht geöffnet werden.

Überprüfen Sie die lokale Schlüsselspeicherdatei auf Integrität und Kennwortgenauigkeit.

Lokales Serverzertifikat ist ungültig.

Überprüfen Sie das Ablaufdatum des Serverzertifikats und vergewissern Sie sich, dass es von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.

Metriken konnten nicht gepostet werden.

Überprüfen Sie den Zugriff des lokalen Netzwerks auf externe Clouddienste.

Das Verzeichnis /media/configdrive/hds ist nicht vorhanden.

Überprüfen Sie die ISO-Mountkonfiguration auf dem virtuellen Host. Vergewissern Sie sich, dass die ISO-Datei vorhanden ist, die beim Neustart für das Mounten konfiguriert ist und das Mounten erfolgreich ausgeführt wird.

Die Einrichtung der Mandanten-Organisation ist für die hinzugefügten Organisationen nicht abgeschlossen

Schließen Sie die Einrichtung ab, indem Sie mit dem HDS Setup Tool CMKs für neu hinzugefügte Mandantenorganisationen erstellen.

Die Einrichtung der Mandantenorganisation ist für die entfernten Organisationen nicht abgeschlossen

Schließen Sie die Einrichtung ab, indem Sie die CMKs der Mandantenorganisationen, die mit dem HDS Setup Tool entfernt wurden, widerrufen.

Problembehandlung der Hybrid-Datensicherheit

Beachten Sie bei der Behebung von Problemen mit Hybrid Data Security die folgenden allgemeinen Richtlinien.
1

Prüfen Sie Partner Hub auf Warnungen und beheben Sie alle Elemente, die Sie dort finden. Weitere Informationen finden Sie im Bild unten.

2

Überprüfen Sie die Syslog-Serverausgabe auf Aktivität aus der Hybrid-Datensicherheitsbereitstellung. Filtern Sie nach Wörtern wie „Warnung“ und „Fehler“, um bei der Fehlerbehebung zu helfen.

3

Kontaktieren Sie den Cisco-Support.

Sonstige Hinweise

Bekannte Probleme mit Hybrid-Datensicherheit

  • Wenn Sie Ihren Hybrid-Datensicherheitscluster herunterfahren (indem Sie ihn im Partner Hub löschen oder alle Knoten herunterfahren), Ihre Konfigurations-ISO-Datei verlieren oder den Zugriff auf die Keystore-Datenbank verlieren, können Webex-App-Benutzer von Kundenorganisationen keine Bereiche in ihrer Personenliste mehr verwenden, die mit Schlüsseln von Ihrem KMS erstellt wurden. Wir haben aktuell keine Problemumgehung oder Lösung für dieses Problem und empfehlen Ihnen dringend, Ihre HDS-Dienste nicht herunterzufahren, sobald sie aktive Benutzerkonten verarbeiten.

  • Ein Client, der über eine bestehende ECDH-Verbindung zu einem KMS verfügt, hält die Verbindung für einen Zeitraum aufrecht (ca. eine Stunde).

Generieren einer PKCS12-Datei mit OpenSSL

Vorbereitungen

  • OpenSSL ist eines der Tools, mit denen die PKCS12-Datei im richtigen Format für das Laden in das HDS-Setuptool erstellt werden kann. Es gibt auch andere Verfahren, keines davon wird von uns bevorzugt.

  • Wenn Sie sich für die Verwendung von OpenSSL entscheiden, stellen wir Ihnen dieses Verfahren als Richtlinie zur Verfügung, um eine Datei zu erstellen, die die X.509-Zertifikatsanforderungen in X.509-Zertifikatsanforderungen erfüllt. Machen Sie sich mit diesen Anforderungen vertraut, bevor Sie fortfahren.

  • Installieren Sie OpenSSL in einer unterstützten Umgebung. Software und Dokumentation finden Sie auf https://www.openssl.org.

  • Erstellen Sie einen privaten Schlüssel.

  • Beginnen Sie mit diesem Verfahren, wenn Sie das Serverzertifikat von Ihrer Zertifizierungsstelle (CA, Certificate Authority) erhalten.

1

Wenn Sie das Zertifikat von der CA erhalten, speichern Sie es als hdsnode.pem.

2

Zeigen Sie das Zertifikat als Text an, und überprüfen Sie die Details.

openssl x509 -text -noout -in hdsnode.pem

3

Erstellen Sie in einem Text-Editor eine Zertifikatpaketdatei namens hdsnode-bundle.pem. Die Paketdatei muss das Serverzertifikat, alle CA-Zwischenzertifikate sowie die CA-Stammzertifikate im unten angegebenen Format enthalten:

-----BEGIN CERTIFICATE------ ### Serverzertifikat. ### -----END CERTIFICATE------- BEGIN CERTIFICATE----- ### Zwischenzertifikat. ### -----END CERTIFICATE-------BEGIN CERTIFICATE----- ### Stamm-CA-Zertifikat. ### -----END CERTIFICATE-----

4

Erstellen Sie die P12-Datei mit dem Anzeigenamen kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Überprüfen Sie die Zertifikatdetails.

  1. openssl pkcs12 -in hdsnode.p12

  2. Geben Sie ein Passwort an der Eingabeaufforderung ein, um den privaten Schlüssel zu verschlüsseln, sodass er in der Ausgabe aufgeführt wird. Überprüfen Sie dann, ob der private Schlüssel und das erste Zertifikat die folgenden Zeilen enthalten: friendlyName: kms-private-key.

    Beispiel:

    bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Schlüsselattribute:  PEM-Passphrase eingeben: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY-----  -----END ENCRYPTED PRIVATE KEY----- Bag Attribute friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE-----

Nächste Schritte

Kehren Sie zurück zu Voraussetzungen für Hybrid-Datensicherheit erfüllen. Sie verwenden die Datei hdsnode.p12 und das Passwort, das Sie dafür festgelegt haben, unter Erstellen einer Konfigurations-ISO für die HDS-Hosts.

Sie können diese Dateien wiederverwenden, um ein neues Zertifikat anzufordern, wenn das ursprüngliche Zertifikat abläuft.

Datenverkehr zwischen den HDS-Knoten und der Cloud

Metriksammlung von ausgehendem Datenverkehr

Die Hybrid-Datensicherheitsknoten senden bestimmte Metriken an die Webex-Cloud. Dazu gehören Systemmetriken für max. Heap, verbrauchter Heap, CPU-Auslastung und Threadanzahl; Metriken zu synchronen und asynchronen Threads; Metriken zu Warnungen, darunter auch ein Schwellenwert der verschlüsselten Verbindungen, Latenz oder eine Anforderungswarteschlangenlänge; Metriken zum Datenspeicher; und Metriken zu verschlüsselten Verbindungen. Die Knoten senden verschlüsseltes Schlüsselmaterial über einen Out-of-Band-Kanal (separat von der Anforderung).

Eingehender Datenverkehr

Die Hybrid-Datensicherheitsknoten erhalten die folgenden Arten von eingehendem Datenverkehr von der Webex-Cloud:

  • Verschlüsselungsanforderungen von Clients, die vom Verschlüsselungsdienst umgeleitet werden

  • Upgrades für die Knoten-Software

Konfigurieren von Tintenfisch für die Hybriddatensicherheit

WebSocket kann nicht über SquID Proxy verbunden werden

Squid-Proxys, die den HTTPS-Datenverkehr prüfen, können die Einrichtung von Websocket-Verbindungen (wss:) beeinträchtigen, die für Hybrid Data Security erforderlich ist. Diese Abschnitte geben Anweisungen, wie Sie verschiedene Versionen von Squid konfigurieren, um WSS zu ignorieren: Datenverkehr für den ordnungsgemäßen Ablauf der Services.

Squid 4 und 5

Fügen Sie die on_unsupported_protocol Richtlinie zu squid.conf hinzu:

on_unsupported_protocol Alle tunnel

Squid 3.5.27

Wir haben die Hybriddatensicherheit erfolgreich mit den folgenden Regeln getestet, die zu squid .conf hinzugefügt wurden. Diese Regeln können sich geändert werden, da wir Funktionen entwickeln und die WebEx Cisco aktualisieren.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 alle ssl_bump stare step2 alle ssl_bump bump step3 alle

Neue und geänderte Informationen

Neue und geänderte Informationen

In dieser Tabelle werden neue Funktionen, Änderungen an vorhandenen Inhalten und alle wichtigen Fehler beschrieben, die im Bereitstellungsleitfaden für Multi-Tenant-Hybrid-Datensicherheit behoben wurden.

Datum

Vorgenommenen Änderungen

08. Januar 2025

In Erste Einrichtung durchführen und Installationsdateien herunterladen wurde ein Hinweis hinzugefügt, dass das Klicken auf Einrichten auf der HDS-Karte in Partner Hub ein wichtiger Schritt des Installationsprozesses ist.

07. Januar 2025

Aktualisierte Anforderungen für virtuelle Gastgeber, Bereitstellungsaufgaben für Hybrid-Datensicherheit und Installieren der HDS-Host-OVA , um neue Anforderungen von ESXi 7.0 anzuzeigen.

13. Dezember 2024

Erste Veröffentlichung.

Multi-Tenant Hybrid-Datensicherheit deaktivieren

Multi-Tenant-HDS-Deaktivierungsaufgabenablauf

Führen Sie diese Schritte aus, um Multi-Tenant-HDS vollständig zu deaktivieren.

Vorbereitungen

Diese Aufgabe sollte nur von einem Partnervolladministrator ausgeführt werden.
1

Entfernen Sie alle Kunden aus allen Ihren Clustern, wie unter Mandantenorganisationen entfernen erwähnt.

2

Widerrufen Sie die CMKs aller Kunden, wie unter CMKs von Tenants, die aus HDS entfernt wurden erwähnt.

3

Entfernen Sie alle Knoten aus all Ihren Clustern, wie unter Einen Knoten entfernen erwähnt.

4

Löschen Sie alle Ihre Cluster aus Partner Hub mithilfe einer der folgenden beiden Methoden.

  • Klicken Sie auf den Cluster, den Sie löschen möchten, und wählen Sie Diesen Cluster löschen in der oberen rechten Ecke der Übersichtsseite.
  • Klicken Sie auf der Seite „Ressourcen“ auf der rechten Seite eines Clusters auf ... und wählen Sie Cluster entfernen aus.
5

Klicken Sie auf der Übersichtsseite zur Hybrid-Datensicherheit auf die Registerkarte Einstellungen und klicken Sie auf der HDS-Statuskarte auf HDS deaktivieren .

Erste Schritte mit der Multi-Tenant-Hybrid-Datensicherheit

Multi-Tenant Hybrid-Datensicherheit – Übersicht

Vom ersten Tag an stand die Datensicherheit im Mittelpunkt der Entwicklung der Webex-App. Der Eckpfeiler dieser Sicherheit ist die durchgängige Verschlüsselung von Inhalten, die durch die Interaktion der Webex-App-Clients mit dem Schlüsselverwaltungsdienst (Key Management Service, KMS) ermöglicht wird. Der KMS erstellt und verwaltet die Kryptografieschlüssel, mit denen die Clients ihre Nachrichten und Dateien dynamisch ver- und entschlüsseln.

Standardmäßig erhalten alle Webex-App-Kunden eine durchgängige Verschlüsselung mit dynamischen Schlüsseln, die im Cloud-KMS im Sicherheitsbereich von Cisco gespeichert werden. Mit Hybrid Data Security werden KMS und andere Sicherheitsfunktionen in das Rechenzentrum Ihres Unternehmens verschoben, damit die Schlüssel zu ihren verschlüsselten Inhalten ausschließlich bei Ihnen liegen.

Multi-Tenant Hybrid Data Security ermöglicht es Unternehmen, HDS über einen vertrauenswürdigen lokalen Partner zu nutzen, der als Dienstleister fungieren und lokale Verschlüsselungs- und andere Sicherheitsdienste verwalten kann. Diese Einrichtung ermöglicht der Partnerorganisation die vollständige Kontrolle über die Bereitstellung und Verwaltung von Verschlüsselungscodes und stellt sicher, dass die Benutzerdaten von Kundenorganisationen vor externem Zugriff geschützt sind. Partnerorganisationen richten HDS-Instanzen ein und erstellen nach Bedarf HDS-Cluster. Im Gegensatz zu einer normalen HDS-Bereitstellung, die auf eine einzelne Organisation beschränkt ist, kann jede Instanz mehrere Kundenorganisationen unterstützen.

Partnerorganisationen haben zwar die Kontrolle über die Bereitstellung und Verwaltung, sie haben jedoch keinen Zugriff auf von Kunden generierte Daten und Inhalte. Dieser Zugriff ist auf Kundenorganisationen und ihre Benutzer beschränkt.

Dadurch können kleinere Organisationen auch HDS nutzen, da Schlüsselverwaltungsdienst und Sicherheitsinfrastruktur wie Rechenzentren im Besitz des vertrauenswürdigen lokalen Partners sind.

So bietet Multi-Tenant Hybrid Data Security Datensouveränität und Datenkontrolle

  • Benutzergenerierte Inhalte sind wie Cloud-Dienstanbieter vor externem Zugriff geschützt.
  • Vertrauenswürdige Partner vor Ort verwalten die Verschlüsselungscodes von Kunden, mit denen sie bereits eine bestehende Beziehung haben.
  • Option für lokalen technischen Support, falls vom Partner bereitgestellt.
  • Unterstützt Meeting-, Messaging- und Calling-Inhalte.

Dieses Dokument soll Partnerorganisationen bei der Einrichtung und Verwaltung von Kunden in einem Multi-Tenant-Hybrid-Datensicherheitssystem unterstützen.

Rollen in der Multi-Tenant-Hybrid-Datensicherheit

  • Partner-Volladministrator – Kann Einstellungen für alle Kunden verwalten, die der Partner verwaltet. Außerdem können Sie bereits vorhandenen Benutzern in der Organisation Administratorrollen zuweisen und bestimmte Kunden für die Verwaltung durch Partneradministratoren zuweisen.
  • Partneradministrator – Kann Einstellungen für Kunden verwalten, die der Administrator bereitgestellt hat oder die dem Benutzer zugewiesen wurden.
  • Volladministrator – Administrator der Partnerorganisation, der berechtigt ist, Aufgaben auszuführen, z. B. die Änderung von Organisationseinstellungen, die Verwaltung von Lizenzen und das Zuweisen von Rollen.
  • Durchgängige Multi-Tenant-HDS-Einrichtung und -Verwaltung aller Kundenorganisationen – Partner-Volladministrator und Volle Administratorrechte erforderlich.
  • Verwaltung zugewiesener Mandanten-Organisationen – Partneradministrator und volle Administratorrechte erforderlich.

Sicherheitsbereichsarchitektur

Die Webex-Cloud-Architektur unterteilt verschiedene Arten von Diensten in separate Bereiche oder Vertrauensdomänen, wie unten dargestellt.

Bereiche der Trennung (ohne Hybrid-Datensicherheit)

Um die Hybrid-Datensicherheit besser zu verstehen, schauen wir uns zunächst diesen reinen Cloud-Fall an, bei dem Cisco alle Funktionen in seinen Cloud-Bereichen bereitstellt. Der Identitätsdienst, der einzige Ort, an dem Benutzer direkt mit ihren persönlichen Informationen in Verbindung gebracht werden können, wie z. B. die E-Mail-Adresse, ist logisch und physisch vom Sicherheitsbereich in Rechenzentrum B getrennt. Er ist wiederum von dem Bereich getrennt, in dem verschlüsselte Inhalte letztendlich gespeichert werden, in Rechenzentrum C.

In diesem Diagramm ist der Client die Webex-App, die auf dem Laptop eines Benutzers ausgeführt wird und sich mit dem Identitätsdienst authentifiziert hat. Wenn der Benutzer eine Nachricht verfasst, die er an einen Bereich senden möchte, finden folgende Schritte statt:

  1. Der Client stellt eine sichere Verbindung zum Schlüsselverwaltungsdienst her, und fordert anschließend einen Schlüssel zum Verschlüsseln der Nachricht an. Die sichere Verbindung verwendet ECDH und der Schlüsselverwaltungsdienst verschlüsselt den Schlüssel mit einem AES-256-Hauptschlüssel.

  2. Die Nachricht wird verschlüsselt, bevor sie den Client verlässt. Der Client sendet sie an den Indexdienst, der verschlüsselte Suchindizes erstellt, um zukünftige Suchvorgänge nach Inhalten zu unterstützen.

  3. Die verschlüsselte Nachricht wird an den Compliancedienst gesendet, damit Complianceprüfungen vorgenommen werden können.

  4. Die verschlüsselte Nachricht wird im Speicherbereich abgelegt.

Wenn Sie die Hybrid-Datensicherheit bereitstellen, verschieben Sie die Sicherheitsbereichsfunktionen (KMS, Indexierung und Compliance) in Ihr lokales Rechenzentrum. Die anderen Cloud-Dienste, aus denen Webex besteht (einschließlich Identitätsspeicher und Inhaltsspeicher), verbleiben in den Bereichen von Cisco.

Zusammenarbeit mit anderen Organisationen

Benutzer in Ihrer Organisation können die Webex-App regelmäßig verwenden, um mit externen Teilnehmern in anderen Organisationen zusammenzuarbeiten. Wenn einer Ihrer Benutzer einen Schlüssel für einen Bereich anfordert, der Ihrer Organisation gehört (da er von einem Ihrer Benutzer erstellt wurde) sendet Ihr Schlüsselverwaltungsdienst den Schlüssel über einen mit ECDH gesicherten Kanal an den Client. Wenn eine andere Organisation jedoch den Schlüssel für den Bereich besitzt, leitet Ihr KMS die Anforderung über einen separaten ECDH-Kanal an die Webex-Cloud weiter, um den Schlüssel vom entsprechenden KMS zu erhalten, und gibt den Schlüssel dann an Ihren Benutzer im ursprünglichen Kanal zurück.

Der KMS-Dienst, der unter Organisation A ausgeführt wird, überprüft die Verbindungen zu KMSs in anderen Organisationen mit x.509-PKI-Zertifikaten. Weitere Informationen zur Erzeugung eines x.509-Zertifikats für die Verwendung mit Ihrer Multi-Tenant-Hybrid-Datensicherheitsbereitstellung finden Sie unter Vorbereiten Ihrer Umgebung .

Erwartungen an die Bereitstellung der Hybrid-Datensicherheit

Eine Bereitstellung der Hybrid-Datensicherheit erfordert ein erhebliches Engagement und ein Bewusstsein für die Risiken, die mit dem Besitz von Verschlüsselungscodes einhergehen.

Zur Bereitstellung der Hybrid-Datensicherheit müssen Sie Folgendes bereitstellen:

Der vollständige Verlust der Konfigurations-ISO, die Sie für Hybrid Data Security erstellen, oder der von Ihnen bereitgestellten Datenbank führt zum Verlust der Schlüssel. Der Schlüsselverlust verhindert, dass Benutzer Bereichsinhalte und andere verschlüsselte Daten in der Webex-App entschlüsseln. Falls dies geschieht, können Sie eine neue Bereitstellung erstellen, es werden dabei jedoch nur neue Inhalte angezeigt. Gehen Sie folgendermaßen vor, damit Sie nicht den Zugriff auf die Daten verlieren:

  • Verwalten Sie die Sicherung und Wiederherstellung der Datenbank und die ISO-Konfigurationsdatei.

  • Bereiten Sie sich darauf vor, eine schnelle Notfallwiederherstellung durchzuführen, wenn eine Katastrophe eintritt, z. B. ein Fehler der Datenbank oder ein Absturz des Rechenzentrums.

Es gibt keinen Mechanismus, um Schlüssel nach einer HDS-Bereitstellung zurück in die Cloud zu verschieben.

Übergeordneter Einrichtungsprozess

Dieses Dokument behandelt die Einrichtung und Verwaltung einer Multi-Tenant-Hybrid-Datensicherheitsbereitstellung:

  • Hybrid-Datensicherheit einrichten – Dazu gehört die Vorbereitung der erforderlichen Infrastruktur und die Installation der Hybrid-Datensicherheitssoftware, der Aufbau eines HDS-Clusters, das Hinzufügen von Tenant-Organisationen zum Cluster und die Verwaltung ihrer Customer Main Keys (CMKs). Damit können alle Benutzer Ihrer Kundenorganisationen Ihr Hybrid-Datensicherheitscluster für Sicherheitsfunktionen verwenden.

    Die Einrichtungs-, Aktivierungs- und Verwaltungsphase werden in den nächsten drei Kapiteln ausführlich behandelt.

  • Aufrechterhaltung Ihrer Hybrid-Datensicherheitsbereitstellung – Die Webex-Cloud stellt automatisch laufende Upgrades bereit. Ihre IT-Abteilung kann Ebene-1-Support anbieten und bei Bedarf den Cisco-Support hinzuziehen. Sie können Benachrichtigungen auf dem Bildschirm verwenden und E-Mail-basierte Warnungen in Partner Hub einrichten.

  • Allgemeine Warnungen, Schritte zur Fehlerbehebung und bekannte Probleme verstehen: Wenn bei der Bereitstellung oder Verwendung von Hybrid-Datensicherheit Probleme auftreten, können Sie das letzte Kapitel dieses Leitfadens und der Anhang „Bekannte Probleme“ bei der Ermittlung und Behebung des Problems helfen.

Bereitstellungsmodell für die Hybrid-Datensicherheit

Im Rechenzentrum Ihres Unternehmens stellen Sie die hybride Datensicherheit als ein Cluster von Knoten auf separaten virtuellen Hosts bereit. Die Knoten kommunizieren mit der Webex Cloud über sichere Websockets und sicheres HTTP.

Während des Installationsvorgangs stellen wir Ihnen die OVA-Datei bereit, mit der Sie die virtuelle Appliance auf den von Ihnen angegebenen VMs einrichten können. Mit dem HDS-Setuptool erstellen Sie eine benutzerdefinierte ISO-Clusterkonfigurationsdatei, die Sie bei den einzelnen Knoten mounten. Der Hybrid-Datensicherheitscluster verwendet den von Ihnen bereitgestellten Syslogd-Server und die PostgreSQL- oder Microsoft SQL Server-Datenbank. (Sie konfigurieren die Syslogd- und Datenbankverbindungsdetails im HDS Setup Tool.)

Bereitstellungsmodell für die Hybrid-Datensicherheit

Die Mindestanzahl von Knoten in einem Cluster lautet zwei. Wir empfehlen mindestens drei pro Cluster. Die Tatsache, dass mehrere Knoten vorhanden sind, stellt sicher, dass der Dienst während eines Software-Upgrades oder anderer Wartungsaktivitäten auf einem Knoten nicht unterbrochen wird. (Die Webex-Cloud aktualisiert jeweils nur einen Knoten.)

Alle Knoten in einem Cluster greifen auf denselben Schlüsseldatenspeicher zu und sie protokollieren Aktivitäten auf demselben Syslog-Server. Die Knoten selbst besitzen keinen Status und verarbeiten Schlüsselanfragen nach dem Round-Robin-Verfahren, wie von der Cloud vorgegeben.

Knoten werden aktiv, wenn Sie sie in Partner Hub registrieren. Um einen einzelnen Knoten zu deaktivieren, können Sie die Registrierung aufheben und ggf. zu einem späteren Zeitpunkt erneut registrieren.

Standby-Rechenzentrum für die Notfallwiederherstellung

Während der Bereitstellung richten Sie ein sicheres Standby-Rechenzentrum ein. Bei einem Absturz des Rechenzentrums können Sie die Bereitstellung manuell auf das Standby-Rechenzentrum umstellen.

Vor dem Failover verfügt Rechenzentrum A über aktive HDS-Knoten und die primäre PostgreSQL- oder Microsoft SQL Server-Datenbank, während B über eine Kopie der ISO-Datei mit zusätzlichen Konfigurationen, in der Organisation registrierte VMs und eine Standby-Datenbank verfügt. Nach dem Failover verfügt Rechenzentrum B über aktive HDS-Knoten und die primäre Datenbank, während A über nicht registrierte VMs und eine Kopie der ISO-Datei verfügt und sich die Datenbank im Standby-Modus befindet.
Manuelles Failover zum Standby-Rechenzentrum

Die Datenbanken der aktiven und Standby-Rechenzentren sind synchronisiert, wodurch die Zeit für die Durchführung des Failovers minimiert wird.

Die aktiven Hybrid-Datensicherheitsknoten müssen sich immer im selben Rechenzentrum wie der aktive Datenbankserver befinden.

Proxy-Support

Die Hybriddatensicherheit unterstützt explizite, transparente Inspektionen und Nichtinspizierungsproxys. Sie können diese Proxys an Ihre Bereitstellung binden, damit Sie den Datenverkehr aus dem Unternehmen heraus in die-Cisco sichern und überwachen können. Sie können eine Netzwerkverwaltung auf den Knoten für Zertifikats-Management verwenden und den Status der gesamten Konnektivität überprüfen, nachdem Sie den Proxy auf den Knoten eingerichtet haben.

Die Hybrid Data Sicherheitshinweis unterstützt die folgenden Proxyoptionen:

  • Kein Proxy: Der Standardwert, wenn Sie nicht die Konfiguration von Vertrauensspeicher und Proxy für die Integration eines Proxys beim Einrichten des HDS-Knotens verwenden. Es ist keine Zertifikatsaktualisierung erforderlich.

  • Transparenter Proxy ohne Prüfung – Die Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert und sollten keine Änderungen erfordern, um mit einem Proxy ohne Prüfung zu arbeiten. Es ist keine Zertifikatsaktualisierung erforderlich.

  • Transparentes Tunneln oder Proxyprüfen: Die Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert. Es sind keine Änderungen bei der Konfigurationänderung von http oder HTTPS Allerdings benötigen die Knoten eine Stammzertifikat, sodass Sie dem Proxy Vertrauen. Die Inspektion von Proxys wird in der Regel von ihm verwendet, um Strategien durchzusetzen, welche Websites besichtigt werden können und welche Arten von Inhalten nicht zulässig sind. Diese Art von Proxy entschlüsselt den gesamten Datenverkehr (auch HTTPS).

  • Expliziter Proxy: Mit explizitem Proxy teilen Sie den HDS-Knoten mit, welcher Proxyserver und welches Authentifizierungsschema verwendet werden sollen. Um einen expliziten Proxy zu konfigurieren, müssen Sie die folgenden Informationen zu den einzelnen Knoten eingeben:

    1. Proxy-IP/FQDN: Adresse, die verwendet werden kann, um die Proxy-Maschine zu erreichen.

    2. Proxy-Port: Eine Portnummer, die der Proxy verwendet, um nach proxyem Datenverkehr zu suchen.

    3. Proxy-Protokoll: Wählen Sie je nachdem, was Ihr Proxy-Server unterstützt, zwischen den folgenden Protokollen aus:

      • – Und steuert alle Anfragen, die der Client sendet.

      • HTTPS – stellt einen Kanal zum Server bereit. Der Client erhält und prüft das Zertifikat des Servers.

    4. Authentifizierungstyp: Wählen Sie aus den folgenden Authentifizierungstypen aus:

      • Keine: Es ist keine weitere Authentifizierung erforderlich.

        Verfügbar, wenn Sie entweder http oder HTTPS als Proxyprotokoll auswählen.

      • Basic – wird für einen HTTP-Benutzeragenten verwendet, um bei einer Anfrage einen Benutzernamen und ein Kennwort anzugeben. Zertifikatsformat verwendet.

        Verfügbar, wenn Sie entweder http oder HTTPS als Proxyprotokoll auswählen.

        Hiermit müssen Sie die Benutzername und das Passwort eines jeden Knotens eingeben.

      • Digest – wird verwendet, um das Konto vor dem Senden sensibler Informationen zu bestätigen. Gibt eine Hashfunktion auf die Benutzername und das Passwort ein, bevor Sie über das Netzwerk senden.

        Nur verfügbar, wenn Sie HTTPS als Proxyprotokoll auswählen.

        Hiermit müssen Sie die Benutzername und das Passwort eines jeden Knotens eingeben.

Beispiel für hybride Datensicherheitsknoten und Proxy

Dieses Diagramm zeigt eine Beispielverbindung zwischen der Hybriddatensicherheit, dem Netzwerk und einem Proxy. Für die transparente Inspektion und HTTPS explizite Überprüfung der Proxyoptionen müssen dieselben Stammzertifikat auf dem Proxy und auf den Hybriden Datensicherheitsknoten installiert sein.

Externer DNS Auflösungsmodus blockiert (explizite Proxykonfigurationen)

Wenn Sie einen Knoten registrieren oder die Proxykonfiguration des Knotens überprüfen, testet das Verfahren die DNS und die Konnektivität der Cisco WebEx. Bei Bereitstellungen mit expliziten Proxykonfigurationen, die keine externe DNS für interne Clients zulassen, wenn der Knoten die DNS-Server nicht Abfragen kann, geht er automatisch in den gesperrten externen DNS-Server. In diesem Modus können Knotenregistrierungen und andere Proxyverbindungstests fortgeführt werden.

Umgebung vorbereiten

Anforderungen für die Multi-Tenant-Hybrid-Datensicherheit

Cisco Webex-Lizenzanforderungen

So stellen Sie Multi-Tenant Hybrid Data Security bereit:

  • Partnerorganisationen: Wenden Sie sich an Ihren Cisco-Partner oder Account Manager und stellen Sie sicher, dass die Multi-Tenant-Funktion aktiviert ist.

  • Mandantenorganisationen: Sie benötigen Pro Pack für Cisco Webex Control Hub. (Siehe https://www.cisco.com/go/pro-pack.)

Docker Desktop-Anforderungen

Bevor Sie Ihre HDS-Knoten installieren, benötigen Sie Docker Desktop, um ein Setup-Programm auszuführen. Docker hat kürzlich sein Lizenzierungsmodell aktualisiert. Ihre Organisation benötigt möglicherweise ein kostenpflichtiges Abonnement für Docker Desktop. Weitere Informationen finden Sie im Docker-Blog-Post: " Docker aktualisiert und erweitert unsere Produktabonnements".

Anforderungen an das X.509-Zertifikat

Diese Zertifikatskette muss die folgenden Anforderungen erfüllen:

Tabelle 1: X.509-Zertifikatsanforderungen für die Hybrid-Datensicherheitsbereitstellung

Anforderung

Details

  • Von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert

Standardmäßig vertrauen wir den Zertifizierungsstellen in der Mozilla-Liste (mit Ausnahme von WoSign und StartCom) unter https://wiki.mozilla.org/CA:IncludedCAs.

  • Trägt einen CN-Domänennamen (Common Name), der Ihre Hybrid-Datensicherheitsbereitstellung identifiziert

  • Ist kein Platzhalterzertifikat

Der CN muss nicht erreichbar und kein Live-Host sein. Wir empfehlen die Verwendung eines Namens, der Ihre Organisation widerspiegelt, z. B. hds.unternehmen.com.

Der CN darf kein * (Platzhalter) enthalten.

Der CN wird verwendet, um die Hybrid-Datensicherheitsknoten für Webex-App-Clients zu verifizieren. Alle Hybrid-Datensicherheitsknoten in Ihrem Cluster verwenden das gleiche Zertifikat. Ihr KMS identifiziert sich selbst unter Verwendung der CN-Domäne, nicht einer beliebigen Domäne, die in den x.509v3-SAN-Feldern definiert ist.

Nachdem Sie einen Knoten mit diesem Zertifikat registriert haben, kann der CN-Domänenname nicht mehr geändert werden.

  • Keine SHA1-Signatur

Die KMS-Software unterstützt keine SHA1-Signaturen zum Validieren von Verbindungen zu KMS anderer Organisationen.

  • Als passwortgeschützte PKCS #12-Datei formatiert

  • Verwenden Sie den Anzeigenamen kms-private-key zum Kennzeichnen des Zertifikats, des privaten Schlüssels und aller Zwischenzertifikate, die hochgeladen werden sollen.

Sie können das Format Ihres Zertifikats mithilfe einer Konvertierungssoftware wie OpenSSL ändern.

Sie müssen das Passwort eingeben, wenn Sie das HDS-Setuptool ausführen.

Die KMS-Software erzwingt keine Schlüsselnutzung und beschränkt erweiterte Schlüsselnutzung nicht. Einige Zertifizierungsstellen erfordern Beschränkungen einer erweiterten Schlüsselnutzung für jedes Zertifikat, wie z. B. Server-Authentifizierung. Die Server-Authentifizierung oder andere Einstellungen zu verwenden, ist zulässig.

Anforderungen für virtuelle Gastgeber

Die virtuellen Hosts, die Sie als Hybrid-Datensicherheitsknoten in Ihrem Cluster einrichten, haben die folgenden Anforderungen:

  • Mindestens zwei separate Hosts (3 empfohlen) befinden sich im gleichen sicheren Rechenzentrum

  • VMware ESXi 7.0 (oder höher) installiert und ausgeführt.

    Sie müssen ein Upgrade durchführen, wenn Sie über eine frühere Version von ESXi verfügen.

  • Mindestens 4 vCPUs, 8 GB Hauptspeicher, 30 GB lokaler Festplattenspeicher pro Server

Datenbankserveranforderungen

Erstellen Sie eine neue Datenbank für die Schlüsselspeicherung. Verwenden Sie nicht die Standarddatenbank. Die HDS-Anwendungen erstellen bei Installation das Datenbankschema.

Für den Datenbankserver gibt es zwei Optionen. Die Anforderungen für jede dieser Komponenten lauten wie folgt:

Tabelle 2. Anforderungen für Datenbankserver nach Datenbanktyp

PostgreSQL

Microsoft SQL-Server

  • PostgreSQL 14, 15 oder 16, installiert und ausgeführt.

  • SQL Server 2016, 2017 oder 2019 (Enterprise oder Standard) installiert.

    SQL Server 2016 erfordert Service Pack 2 und kumulatives Update 2 oder höher.

Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichend Festplattenkapazität und Überwachung zur Sicherstellung, dass dieser nicht überschritten wird (2 TB empfohlen, falls die Datenbank über längere Zeit ohne Erweiterung der Festplattenkapazität ausgeführt werden soll)

Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichend Festplattenkapazität und Überwachung zur Sicherstellung, dass dieser nicht überschritten wird (2 TB empfohlen, falls die Datenbank über längere Zeit ohne Erweiterung der Festplattenkapazität ausgeführt werden soll)

Die HDS-Software installiert derzeit die folgenden Treiberversionen für die Kommunikation mit dem Datenbankserver:

PostgreSQL

Microsoft SQL-Server

Der Treiber Postgres JDBC 42.2.5

SQL Server JDBC-Treiber 4.6

Diese Treiberversion unterstützt SQL Server Always On (Always On Failover Cluster Instances und Always On-Verfügbarkeitsgruppen).

Zusätzliche Anforderungen für die Windows-Authentifizierung gegen Microsoft SQL Server

Wenn Sie möchten, dass HDS-Knoten die Windows-Authentifizierung verwenden, um Zugriff auf Ihre Keystore-Datenbank auf Microsoft SQL Server zu erhalten, benötigen Sie die folgende Konfiguration in Ihrer Umgebung:

  • Die HDS-Knoten, die Active Directory-Infrastruktur und der MS SQL Server müssen alle mit dem NTP synchronisiert werden.

  • Das Windows-Konto, das Sie auf HDS-Knoten bereitstellen, muss Lese-/Schreibzugriff auf die Datenbank haben.

  • Die DNS-Server, die Sie für HDS-Knoten bereitstellen, müssen in der Lage sein, Ihr Key Distribution Center (KDC) aufzulösen.

  • Sie können die HDS-Datenbankinstanz auf Ihrem Microsoft SQL Server als Service Principal Name (SPN) in Ihrem Active Directory registrieren. Siehe Registrieren eines Dienstprinzipalnamens für Kerberos-Verbindungen.

    Das HDS-Setup-Tool, der HDS-Launcher und das lokale KMS müssen für den Zugriff auf die Keystore-Datenbank die Windows-Authentifizierung verwenden. Sie verwenden die Details aus Ihrer ISO-Konfiguration, um die SPN zu konstruieren, wenn sie den Zugriff mit der Kerberos-Authentifizierung anfordern.

Anforderungen an externe Konnektivität

Konfigurieren Sie Ihre Firewall so, dass die folgende Konnektivität für die HDS-Anwendungen zugelassen ist:

Anwendung

Protokoll

Port

Richtung von der App

Ziel

Hybrid-Datensicherheitsknoten

TCP

443

Ausgehend HTTPS und WSS

  • Webex-Server:

    • *.wbx2.com

    • *.ciscospark.com

  • Alle Common Identity-Hosts

  • Weitere URLs, die für die Hybrid-Datensicherheit in der Tabelle Zusätzliche URLs für Webex-Hybriddienste unter Netzwerkanforderungen für Webex-Dienste aufgeführt sind

HDS-Einrichtungstool

TCP

443

Ausgehendes HTTPS

  • *.wbx2.com

  • Alle Common Identity-Hosts

  • hub.docker.com

Die Hybrid-Datensicherheitsknoten funktionieren mit NAT (Network Access Translation) oder hinter einer Firewall, solange NAT oder Firewall die erforderlichen ausgehenden Verbindungen zu den in der vorangehenden Tabelle aufgeführten Domänenzielen zulässt. Für eingehende Verbindungen zu den Hybrid-Datensicherheitsknoten sollten keine Ports aus dem Internet sichtbar sein. In Ihrem Rechenzentrum benötigen Clients aus administrativen Gründen Zugriff auf die Hybrid-Datensicherheitsknoten auf den TCP-Ports 443 und 22.

Die URLs für die CI-Hosts (Common Identity) sind regionsspezifisch. Dies sind die aktuellen CI-Hosts:

Region

Host-URLs der allgemeinen Identität

Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Europäische Union

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Vereinigte Arabische Emirate

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Vorgaben für Proxy-Server

  • Wir unterstützen offiziell die folgenden Proxylösungen, die in ihre Hybriden Sicherheitsknoten integriert werden können.

    • Transparenter Proxy – Cisco Web Sicherheitsgerät (WSA).

    • Explizite –.

      Squid-Proxys, die den HTTPS-Datenverkehr untersuchen, können die Einrichtung von Websocket-Verbindungen (wss:) beeinträchtigen. Informationen zur Behebung dieses Problems finden Sie unter Konfigurieren von Squid-Proxys für Hybrid-Datensicherheit.

  • Wir unterstützen die folgenden Authentifizierungskombinationen für explizite Proxys:

    • Keine Authentifizierung mit http oder HTTPS

    • Grundlegende Authentifizierung mit http oder HTTPS

    • Verdauungsauthentifizierung nur mit HTTPS

  • Um einen transparenten Proxy oder einen HTTPS expliziten Proxy zu erhalten, müssen Sie eine Kopie des Stammzertifikat des Stellvertreters besitzen. Die Bereitstellungsanweisungen in diesem Handbuch zeigen Ihnen, wie Sie die Kopie in die Vertrauensspeicher der Hybriden Datensicherheitsknoten hochladen können.

  • Das Netzwerk, das die HDS Nodes hostet, muss so konfiguriert sein, dass es den ausgehenden TCP Traffic auf Port 443 durch den Proxy zwingt

  • Proxys, die den Webverkehr inspizieren, können die Websteckverbindung beeinträchtigen. Wenn dieses Problem auftritt, wird das Problem durch Umgehung des Datenverkehrs zu wbx2.com und ciscospark.com gelöst.

Erfüllen der Voraussetzungen für die Hybrid-Datensicherheit

Stellen Sie mit dieser Checkliste sicher, dass Sie bereit für die Installation und Konfiguration Ihres Hybrid-Datensicherheitsclusters sind.
1

Stellen Sie sicher, dass Ihre Partnerorganisation die Multi-Tenant-HDS-Funktion aktiviert hat, und sichern Sie sich die Anmeldeinformationen für ein Konto mit vollen Partneradministratorrechten und vollen Administratorrechten. Stellen Sie sicher, dass Ihre Webex-Kundenorganisation für Pro Pack für Cisco Webex Control Hub aktiviert ist. Wenden Sie sich an Ihren Cisco-Partner oder an Ihren Account Manager, falls Sie Hilfe bei diesem Verfahren benötigen.

Kundenorganisationen sollten keine vorhandene HDS-Bereitstellung haben.

2

Wählen Sie einen Domänennamen für Ihre HDS-Bereitstellung (z. B. hds.company.com) aus und rufen Sie eine Zertifikatskette ab, die ein X.509-Zertifikat, einen privaten Schlüssel und alle Zwischenzertifikate enthält. Die Zertifikatskette muss die Anforderungen in X.509-Zertifikatsanforderungen erfüllen.

3

Bereiten Sie identische virtuelle Hosts vor, die Sie als Hybrid-Datensicherheitsknoten in Ihrem Cluster einrichten werden. Sie benötigen mindestens zwei separate Hosts (3 empfohlen), die sich im selben sicheren Rechenzentrum befinden und die Anforderungen unter Anforderungen für virtuelle Hosts erfüllen.

4

Bereiten Sie den Datenbankserver vor, der als Schlüsseldatenspeicher für den Cluster dient, gemäß den Anforderungen für den Datenbankserver. Der Datenbankserver muss sich im sicheren Rechenzentrum mit den virtuellen Hosts befinden.

  1. Erstellen Sie eine Datenbank für die Schlüsselspeicherung. (Sie müssen diese Datenbank erstellen. Verwenden Sie nicht die Standarddatenbank. Die HDS-Anwendungen erstellen bei Installation das Datenbankschema.)

  2. Sammeln Sie die Informationen, die die Knoten zur Kommunikation mit dem Datenbankserver benötigen:

    • Der Hostname oder die IP-Adresse (Host) und der Port

    • Der Name der Datenbank (dbname) zur Schlüsselspeicherung

    • Der Benutzername und das Kennwort eines Benutzers mit allen Rechten in der Schlüsseldatenbank

5

Richten Sie für eine schnelle Notfallwiederherstellung eine Backup-Umgebung in einem anderen Rechenzentrum ein. Die Backup-Umgebung spiegelt die Produktionsumgebung von VMs und eines Backup-Datenbankservers wider. Wenn beispielsweise in der Produktion 3 VMs HDS-Knoten ausführen, sollte die Backup-Umgebung 3 VMs haben.

6

Richten Sie einen syslog-Host ein, um Protokolle aus den Knoten im Cluster zu sammeln. Dokumentieren Sie dessen Netzwerkadresse und syslog-Port (Standard ist UDP 514).

7

Erstellen Sie eine sichere Backup-Richtlinie für die Hybrid-Datensicherheitsknoten, den Datenbankserver und den Syslog-Host. Um einen nicht behebbaren Datenverlust zu vermeiden, müssen Sie mindestens die Datenbank und die für die Hybrid-Datensicherheitsknoten generierte Konfigurations-ISO-Datei sichern.

Da auf den Hybrid-Datensicherheitsknoten die für die Ver- und Entschlüsselung von Inhalten verwendeten Schlüssel gespeichert werden, führt das Versäumnis, eine betriebliche Bereitstellung aufrechtzuerhalten, zum NICHT BEHEBBAREN VERLUST dieser Inhalte.

Webex-App-Clients speichern ihre Schlüssel im Zwischenspeicher, sodass ein Ausfall möglicherweise nicht sofort spürbar ist, aber mit der Zeit offensichtlich wird. Vorübergehende Ausfälle sind unvermeidlich, aber behebbar. Bei einem vollständigen Verlust (keine Backups verfügbar) entweder der Datenbank oder der ISO-Konfigurationsdatei gehen jedoch Kundendaten unwiederbringlich verloren. Von den Betreibern der Hybrid-Datensicherheitsknoten wird erwartet, dass sie häufige Sicherungen der Datenbank und der Konfigurations-ISO-Datei erstellen und im Falle eines katastrophalen Ausfalls das Rechenzentrum für die Hybrid-Datensicherheit neu erstellen.

8

Stellen Sie sicher, dass Ihre Firewall-Konfiguration eine Verbindung für Ihre Hybrid-Datensicherheitsknoten ermöglicht, wie unter Externe Verbindungsanforderungen beschrieben.

9

Installieren Sie Docker ( https://www.docker.com) auf jedem lokalen Computer, auf dem ein unterstütztes Betriebssystem ausgeführt wird (Microsoft Windows 10 Professional, Enterprise 64-Bit oder Mac OSX Yosemite 10.10.3 oder höher) und ein Webbrowser, der unter http://127.0.0.1:8080. darauf zugreifen kann.

Mit der Docker-Instanz können Sie das HDS Setup Tool herunterladen und ausführen, das die lokalen Konfigurationsinformationen für alle Hybrid-Datensicherheitsknoten erstellt. Möglicherweise benötigen Sie eine Docker Desktop-Lizenz. Weitere Informationen finden Sie unter Anforderungen für Docker Desktop .

Um das HDS Setup Tool zu installieren und auszuführen, muss der lokale Computer über die unter Anforderungen an externe Konnektivität beschriebenen Konnektivität verfügen.

10

Wenn Sie einen Proxy mit Hybrid Data Security integrieren, stellen Sie sicher, dass er die Anforderungen für den Proxy-Server erfüllt.

Hybrid-Datensicherheitscluster einrichten

Ablauf der Bereitstellungsaufgabe für die Hybrid-Datensicherheit

Vorbereitungen

1

Erste Einrichtung durchführen und Installationsdateien herunterladen

Laden Sie die OVA-Datei für eine spätere Verwendung auf Ihren lokalen Computer herunter.

2

Erstellen einer ISO-Konfigurationsdatei für die HDS-Hosts

Erstellen Sie mit dem HDS Setup Tool eine ISO-Konfigurationsdatei für die Hybrid-Datensicherheitsknoten.

3

Installieren des HDS Host OVA

Erstellen Sie eine virtuelle Maschine aus der OVA-Datei und führen Sie eine erste Konfiguration durch, z. B. Netzwerkeinstellungen.

Die Option zum Konfigurieren der Netzwerkeinstellungen während der OVA-Bereitstellung wurde mit ESXi 7.0 getestet. In früheren Versionen ist diese Option möglicherweise nicht verfügbar.

4

Einrichten der Hybrid-Datensicherheits-VM

Melden Sie sich bei der VM-Konsole an und legen Sie die Anmeldeinformationen fest. Konfigurieren Sie die Netzwerkeinstellungen für den Knoten, falls Sie diese bei der OVA-Bereitstellung nicht konfiguriert haben.

5

Hochladen und Mounten der HDS-Konfigurations-ISO

Konfigurieren Sie die VM aus der ISO-Konfigurationsdatei, die Sie mit dem HDS Setup Tool erstellt haben.

6

Konfigurieren des HDS Knotens für Proxyintegration

Wenn für die Netzwerkumgebung eine Proxy-Konfiguration erforderlich ist, geben Sie den Proxy-Typ an, den Sie für den Knoten verwenden möchten, und fügen Sie das Proxy-Zertifikat ggf. zum Vertrauensspeicher hinzu.

7

Ersten Knoten im Cluster registrieren

Registrieren Sie die VM in der Cisco Webex Cloud als Hybrid-Datensicherheitsknoten.

8

Weitere Knoten erstellen und registrieren

Schließen Sie die Cluster-Einrichtung ab.

9

Aktivieren Sie Multi-Tenant-HDS in Partner Hub.

Aktivieren Sie HDS und verwalten Sie Mandantenorganisationen in Partner Hub.

Erste Einrichtung durchführen und Installationsdateien herunterladen

Bei dieser Aufgabe laden Sie eine OVA-Datei auf Ihren Computer herunter (nicht auf die Server, die Sie als Hybrid-Datensicherheitsknoten eingerichtet haben). Sie können diese Datei zu einem späteren Zeitpunkt im Installationsprozess verwenden.

1

Melden Sie sich bei Partner Hub an und klicken Sie auf Dienste.

2

Suchen Sie im Abschnitt „Cloud-Dienste“ nach der Hybrid-Datensicherheitskarte und klicken Sie auf Einrichten.

Das Klicken auf Einrichten in Partner Hub ist entscheidend für den Bereitstellungsprozess. Fahren Sie mit der Installation nicht fort, ohne diesen Schritt abzuschließen.

3

Klicken Sie auf Ressource hinzufügen und dann auf OVA-Datei herunterladen auf der Karte Software installieren und konfigurieren .

Ältere Versionen des Softwarepakets (OVA) sind mit den neuesten Upgrades für die Hybrid-Datensicherheit nicht kompatibel. Dies kann zu Problemen beim Upgrade der Anwendung führen. Stellen Sie sicher, dass Sie die neueste Version der OVA-Datei herunterladen.

Sie können die OVA auch jederzeit im Abschnitt Hilfe herunterladen. Klicken Sie auf Einstellungen > Hilfe > Hybrid-Datensicherheitssoftware herunterladen.

Der Download der OVA-Datei beginnt automatisch. Speichern Sie die Datei auf Ihrem Computer.
4

Klicken Sie optional auf Bereitstellungsleitfaden zur Hybrid-Datensicherheit anzeigen , um zu überprüfen, ob eine spätere Version dieses Leitfadens verfügbar ist.

Erstellen einer ISO-Konfigurationsdatei für die HDS-Hosts

Beim Einrichtungsprozess für die Hybrid-Datensicherheit wird eine ISO-Datei erstellt. Anschließend verwenden Sie die ISO, um Ihren Hybrid-Datensicherheitshost zu konfigurieren.

Vorbereitungen
1

Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

In regulären Umgebungen:

docker rmi ciscocitg/hds-setup:stabil

In FedRAMP-Umgebungen:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

2

Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

Docker Anmeldung -u hdscustomersro
3

Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

In regulären Umgebungen:

docker pull ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

  • In regulären Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In FedRAMP-Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express-Server hören auf Port 8080) sehen.

6

Das Setup-Tool unterstützt die Verbindung zu localhost über http://localhost:8080 nicht. Verwenden Sie http://127.0.0.1:8080 , um eine Verbindung zum Localhost herzustellen.

Navigieren Sie in einem Webbrowser zum Localhost, http://127.0.0.1:8080, und geben Sie bei Aufforderung den Admin-Benutzernamen für Partner Hub ein.

Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto festzulegen. Das Tool zeigt dann die Standard-Anmeldeaufforderung an.

7

Wenn Sie dazu aufgefordert werden, geben Sie Ihre Partner Hub-Administratoranmeldeinformationen ein und klicken Sie dann auf Anmelden , um den Zugriff auf die für die Hybrid-Datensicherheit erforderlichen Dienste zu erlauben.

8

Klicken Sie auf der Übersichtsseite des Setup Tool auf Get Started (Erste Schritte).

9

Auf der Seite ISO-Import stehen Ihnen folgende Optionen zur Verfügung:

  • Nein – Wenn Sie Ihren ersten HDS-Knoten erstellen, müssen Sie keine ISO-Datei hochladen.
  • Ja: Wenn Sie bereits HDS-Knoten erstellt haben, wählen Sie Ihre ISO-Datei im Browse aus und laden Sie sie hoch.
10

Überprüfen Sie, ob Ihr X.509-Zertifikat die Anforderungen in X.509-Zertifikatsanforderungen erfüllt.

  • Wenn Sie noch nie ein Zertifikat hochgeladen haben, laden Sie das X.509-Zertifikat hoch, geben Sie das Passwort ein und klicken Sie auf Weiter.
  • Wenn Ihr Zertifikat in Ordnung ist, klicken Sie auf Weiter.
  • Wenn Ihr Zertifikat abgelaufen ist oder Sie es ersetzen möchten, wählen Sie Nein für Weiterhin HDS-Zertifikatskette und privaten Schlüssel aus vorheriger ISO verwenden? aus. Laden Sie ein neues X.509-Zertifikat hoch, geben Sie das Passwort ein und klicken Sie auf Weiter.
11

Geben Sie die Datenbankadresse und das Konto für HDS ein, um auf Ihren Schlüsseldatenspeicher zuzugreifen:

  1. Wählen Sie Ihren Datenbanktyp (PostgreSQL oder Microsoft SQL Server) aus.

    Wenn Sie Microsoft SQL Server auswählen, wird das Feld „Authentifizierungstyp“ angezeigt.

  2. (Nur Microsoft SQL Server ) Wählen Sie Ihren Authentifizierungstyp aus:

    • Basisauthentifizierung: Sie benötigen einen lokalen SQL-Server-Kontonamen im Feld Benutzername .

    • Windows-Authentifizierung: Sie benötigen ein Windows-Konto im Format Benutzername@DOMÄNE im Feld Benutzername .

  3. Geben Sie die Adresse des Datenbankservers im Format : oder : ein.

    Beispiel
    dbhost.example.org:1433 oder 198.51.100.17:1433

    Sie können eine IP-Adresse für die Basisauthentifizierung verwenden, wenn die Knoten nicht DNS zur Auflösung des Hostnamens verwenden können.

    Wenn Sie die Windows-Authentifizierung verwenden, müssen Sie einen vollständig qualifizierten Domänennamen im Format dbhost.example.org:1433 eingeben.

  4. Geben Sie den Datenbanknamen ein.

  5. Geben Sie den Benutzernamen und das Kennwort eines Benutzers mit allen Berechtigungen in der Schlüsselspeicherdatenbank ein.

12

Wählen Sie einen TLS-Datenbankverbindungsmodus aus:

Modus

Beschreibung

TLS bevorzugen (Standardoption)

HDS-Knoten benötigen kein TLS, um eine Verbindung zum Datenbankserver herzustellen. Wenn Sie TLS auf dem Datenbankserver aktivieren, versuchen die Knoten eine verschlüsselte Verbindung.

TLS erforderlich

HDS-Knoten verbinden sich nur, wenn der Datenbankserver TLS aushandeln kann.

TLS erforderlich und Zertifikat signer überprüfen

Dieser Modus gilt nicht für SQL Server-Datenbanken.

  • HDS-Knoten verbinden sich nur, wenn der Datenbankserver TLS aushandeln kann.

  • Nach dem Herstellen einer TLS-Verbindung vergleicht der Knoten den Unterzeichner des Zertifikats vom Datenbankserver mit der Zertifizierungsstelle im Datenbank-Stammzertifikat. Wenn sie nicht übereinstimmen, wird die Verbindung durch den Knoten hergestellt.

Verwenden Sie die Stammzertifikat-Steuerung unterhalb des Dropdown-Dropdowns, um den Stammzertifikat Option hochzuladen.

TLS erforderlich und Zertifikats signer und Hostname überprüfen

  • HDS-Knoten verbinden sich nur, wenn der Datenbankserver TLS aushandeln kann.

  • Nach dem Herstellen einer TLS-Verbindung vergleicht der Knoten den Unterzeichner des Zertifikats vom Datenbankserver mit der Zertifizierungsstelle im Datenbank-Stammzertifikat. Wenn sie nicht übereinstimmen, wird die Verbindung durch den Knoten hergestellt.

  • Die Knoten überprüfen außerdem, ob der Host-Name im Serverzertifikat mit dem Host-Namen im Feld Datenbank-Host und Port übereinstimmt. Die Namen müssen genau mit den Namen übereinstimmen, oder der Knoten unterfällt die Verbindung.

Verwenden Sie die Stammzertifikat-Steuerung unterhalb des Dropdown-Dropdowns, um den Stammzertifikat Option hochzuladen.

Wenn Sie das Stammzertifikat hochladen (falls erforderlich) und auf Weiter klicken, testet das HDS Setup Tool die TLS-Verbindung zum Datenbankserver. Das Tool überprüft auch den Zertifikat signer und den Hostnamen, falls vorhanden. Wenn ein Test fehlschlägt, zeigt das Tool eine Fehlermeldung an, in der das Problem beschrieben wird. Sie können auswählen, ob Sie den Fehler ignorieren und mit der Einrichtung fortfahren möchten. (Aufgrund von Verbindungsunterschieden können die HDS-Knoten möglicherweise eine TLS-Verbindung herstellen, auch wenn das HDS Setup Tool diese nicht erfolgreich testen kann.)

13

Konfigurieren Sie auf der Seite Systemprotokolle Ihren Syslogd-Server:

  1. Geben Sie die URL des Syslog-Servers ein.

    Wenn der Server nicht über die Knoten für Ihr HDS-Cluster DNS-aufgelöst werden kann, verwenden Sie eine IP-Adresse in der URL.

    Beispiel
    udp://10.92.43.23:514 zeigt die Protokollierung auf dem Syslogd-Host 10.92.43.23 auf UDP-Port 514 an.

  2. Wenn Sie Ihren Server für die Verwendung der TLS-Verschlüsselung einrichten, aktivieren Sie das Kontrollkästchen Ist Ihr Syslog-Server für die SSL-Verschlüsselung konfiguriert?.

    Wenn Sie dieses Kontrollkästchen aktivieren, stellen Sie sicher, dass Sie eine TCP-URL eingeben, z. B. tcp://10.92.43.23:514.

  3. Wählen Sie in der Dropdown-Liste Syslog-Aufzeichnungsbeendigung auswählen die entsprechende Einstellung für Ihre ISO-Datei aus: Choose or NewLine wird für Graylog und Rsyslog TCP verwendet

    • Null-Byte -- \x00

    • Neue Zeile -- \n– Wählen Sie diese Auswahl für Graylog und Rsyslog TCP.

  4. Klicken Sie auf Weiter.

14

(Optional) Sie können den Standardwert für einige Datenbankverbindungsparameter unter Erweiterte Einstellungen ändern. Im Allgemeinen ist dieser Parameter der einzige, den Sie ändern möchten:

app_datasource_connection_pool_maxGröße: 10
15

Klicken Sie im Bildschirm Kennwort für Dienstkonten zurücksetzen auf Weiter .

Passwörter für Dienstkonten haben eine Lebensdauer von neun Monaten. Verwenden Sie diesen Bildschirm, wenn Ihre Passwörter bald ablaufen oder Sie sie zurücksetzen möchten, um frühere ISO-Dateien ungültig zu machen.

16

Klicken Sie auf Download ISO File (ISO-Datei herunterladen). Speichern Sie die Datei an einem leicht auffindbaren Speicherort.

17

Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System.

Sichern Sie die Sicherungskopie sicher. Die Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff auf Administratoren für Hybrid-Datensicherheit, die Konfigurationsänderungen vornehmen sollten.

18

Um das Setup Tool herunterzufahren, tippen Sie STRG+C ein.

Nächste Schritte

Sichern Sie die ISO-Konfigurationsdatei. Sie benötigen sie, um weitere Knoten für die Wiederherstellung zu erstellen oder Konfigurationsänderungen vorzunehmen. Wenn Sie alle Kopien der ISO-Datei verlieren, haben Sie auch den Hauptschlüssel verloren. Die Schlüssel aus Ihrer PostgreSQL- oder Microsoft SQL Server-Datenbank können nicht wiederhergestellt werden.

Wir haben nie eine Kopie dieses Schlüssels und können nicht helfen, wenn Sie ihn verlieren.

Installieren des HDS Host OVA

Verwenden Sie dieses Verfahren, um eine virtuelle Maschine aus der OVA-Datei zu erstellen.
1

Melden Sie sich über den VMware vSphere-Client auf Ihrem Computer bei dem ESXi virtuellen Host an.

2

Wählen Sie Datei > OVF-Vorlage bereitstellen aus.

3

Geben Sie im Assistenten den Speicherort der OVA-Datei an, die Sie zuvor heruntergeladen haben, und klicken Sie auf Weiter.

4

Geben Sie auf der Seite Name und Ordner auswählen einen Namen der virtuellen Maschine für den Knoten ein (z. B. „HDS_Node_1“), wählen Sie einen Ort aus, an dem sich die Knotenbereitstellung der virtuellen Maschine befinden kann, und klicken Sie auf Weiter.

5

Wählen Sie auf der Seite Berechnungsressource auswählen die Ziel-Berechnungsressource aus, und klicken Sie auf Weiter.

Eine Validierungsprüfung wird ausgeführt. Nach Abschluss werden die Vorlagendetails angezeigt.

6

Überprüfen Sie die Vorlagendetails, und klicken Sie dann auf Weiter.

7

Wenn Sie aufgefordert werden, die Ressourcenkonfiguration auf der Seite Konfiguration auszuwählen, klicken Sie auf 4 CPU und dann auf Weiter.

8

Klicken Sie auf der Seite Speicher auswählen auf Weiter , um das standardmäßige Festplattenformat und die VM-Speicherrichtlinie zu akzeptieren.

9

Wählen Sie auf der Seite Netzwerke auswählen die Netzwerkoption aus der Liste der Einträge aus, um die gewünschte Konnektivität für die VM bereitzustellen.

10

Konfigurieren Sie auf der Seite Vorlage anpassen die folgenden Netzwerkeinstellungen:

  • Host-Name: Geben Sie den FQDN (Host-Name und Domäne) oder ein Wort des Host-Namens für den Knoten ein.

    • Sie müssen die Domäne nicht auf die Domäne ändern, über die Sie das X.509-Zertifikat erhalten haben.

    • Um eine erfolgreiche Registrierung in der Cloud sicherzustellen, verwenden Sie im FQDN oder dem Hostnamen, den Sie für den Knoten festgelegt haben, nur Kleinbuchstaben. Großbuchstaben werden derzeit nicht unterstützt.

    • Der FQDN darf insgesamt nicht länger als 64 Zeichen sein.

  • IP-Adresse: Geben Sie die IP-Adresse für die interne Schnittstelle des Knotens ein.

    Ihr Knoten hat jetzt eine interne IP-Adresse und einen DNS-Namen. DHCP wird nicht unterstützt.

  • Maske: Geben Sie die Adresse der Subnetzmaske in Punkt-Dezimalschrift ein. Beispiel: 255.255.255.0.
  • Gateway: Geben Sie die Gateway-IP-Adresse ein. Ein Gateway ist ein Netzwerkknoten, der als Zugangspunkt zu einem anderen Netzwerk dient.
  • DNS-Server: Geben Sie eine durch Kommas getrennte Liste von DNS-Servern ein, die die Übersetzung von Domänennamen in numerische IP-Adressen verarbeiten. (Es sind bis zu 4 DNS-Einträge zulässig.)
  • NTP-Server – Geben Sie den NTP-Server Ihrer Organisation oder einen anderen externen NTP-Server ein, der in Ihrer Organisation verwendet werden kann. Die Standard-NTP-Server funktionieren möglicherweise nicht für alle Unternehmen. Sie können auch eine durch Kommas getrennte Liste verwenden, um mehrere NTP-Server einzugeben.

  • Stellen Sie alle Knoten im selben Subnetz oder VLAN bereit, damit alle Knoten in einem Cluster zu Verwaltungszwecken von Clients in Ihrem Netzwerk aus erreichbar sind.

Wenn Sie dies vorziehen, können Sie die Konfiguration der Netzwerkeinstellungen überspringen und die Schritte unter Einrichten der Hybrid-Datensicherheit-VM befolgen, um die Einstellungen über die Knotenkonsole zu konfigurieren.

Die Option zum Konfigurieren der Netzwerkeinstellungen während der OVA-Bereitstellung wurde mit ESXi 7.0 getestet. In früheren Versionen ist diese Option möglicherweise nicht verfügbar.

11

Klicken Sie mit der rechten Maustaste auf die Knoten-VM, und wählen Sie Ein/Aus > Einschalten.

Die Hybrid-Datensicherheitssoftware wird als Gast auf dem VM-Host installiert. Sie können sich jetzt bei der Konsole anmelden und den Knoten konfigurieren.

Leitfaden zur Fehlerbehebung

Es kann zu einer Verzögerung von einigen Minuten kommen, bis die Knotencontainer angezeigt werden. Beim erstmaligen Start wird eine Bridge-Firewall-Nachricht angezeigt, während der Sie sich anmelden können.

Einrichten der Hybrid-Datensicherheits-VM

Mit diesem Verfahren können Sie sich zum ersten Mal bei der VM-Konsole des Hybrid-Datensicherheitsknotens anmelden und die Anmeldeinformationen festlegen. Sie können auch die Konsole verwenden, um die Netzwerkeinstellungen für den Knoten zu konfigurieren, falls Sie diese bei der OVA-Bereitstellung nicht konfiguriert haben.

1

Wählen Sie im VMware vSphere-Client, Ihre Hybrid-Datensicherheitsknoten-VM und daraufhin die Registerkarte Console (Konsole) aus.

Die VM fährt hoch und ein Anmeldebildschirm erscheint. Drücken Sie die Eingabetaste, falls der Anmeldebildschirm nicht angezeigt wird.
2

Verwenden Sie den folgenden Standard-Anmeldenamen und das Standardkennwort, um sich anzumelden und die Anmeldedaten zu ändern:

  1. Benutzername: admin

  2. Passwort: Cisco

Da Sie sich zum ersten Mal bei der VM anmelden, müssen Sie das Administratorkennwort ändern.

3

Wenn Sie die Netzwerkeinstellungen bereits unter Installieren der HDS-Host-OVA konfiguriert haben, überspringen Sie den Rest dieses Verfahrens. Wählen Sie andernfalls im Hauptmenü die Option Konfiguration bearbeiten aus.

4

Richten Sie eine statische Konfiguration ein und geben Sie die Daten für IP-Adresse, Maske, Gateway und DNS ein. Ihr Knoten hat jetzt eine interne IP-Adresse und einen DNS-Namen. DHCP wird nicht unterstützt.

5

(Optional) Ändern Sie die Werte für Hostname, Domäne oder NTP-Server, wenn dies gemäß Ihren Netzwerkrichtlinien erforderlich ist.

Sie müssen die Domäne nicht auf die Domäne ändern, über die Sie das X.509-Zertifikat erhalten haben.

6

Speichern Sie die Netzwerkkonfiguration und starten Sie die VM neu, damit die Änderungen in Kraft treten.

Hochladen und Mounten der HDS-Konfigurations-ISO

Verwenden Sie dieses Verfahren, um die virtuelle Maschine über die ISO-Datei, die Sie mit dem HDS Setup Tool erstellt haben, zu konfigurieren.

Vorbereitungen

Da die ISO-Datei den Hauptschlüssel enthält, sollte sie nur auf Basis eines "Need-to-Know"-Basis zugänglich gemacht werden, für den Zugriff durch die Hybrid Data Security-VMs und alle Administratoren, die möglicherweise Änderungen vornehmen müssen. Stellen Sie sicher, dass nur diese Administratoren Zugriff auf den Datenspeicher haben.

1

Laden Sie die ISO-Datei von Ihrem Computer hoch:

  1. Klicken Sie im linken Navigationsbereich des VMware vSphere Client auf den ESXi-Server.

  2. Klicken Sie in der Hardwareliste der Registerkarte „Configuration“ (Konfiguration) auf Storage (Speicher).

  3. Rechtsklicken Sie in der Datenspeicher-Liste auf den Datenspeicher Ihrer VMs. Klicken Sie daraufhin auf Browse Datastore (Datenspeicher durchsuchen).

  4. Klicken Sie auf das Symbol „Upload Files“ (Dateien hochladen) und daraufhin auf Upload File (Datei hochladen).

  5. Navigieren Sie zum Speicherort der ISO-Datei auf Ihrem Computer und klicken Sie auf Open (Öffnen).

  6. Klicken Sie auf Yes (Ja), um die Upload/Download-Warnung zu bestätigen und schließen Sie den Datenspeicherdialog.

2

Mounten Sie die ISO-Datei:

  1. Rechtsklicken Sie im linken Navigationsbereich des VMware vSphere Client auf die VM. Klicken Sie daraufhin auf Edit Settings (Einstellungen bearbeiten).

  2. Klicken Sie auf OK, um die Warnung zu eingeschränkten Optionen zu bestätigen.

  3. Klicken Sie auf CD/DVD-Laufwerk 1, wählen Sie die Option zum Mounten einer Datenspeicher-ISO-Datei aus und navigieren Sie zu dem Speicherort, zu dem Sie die ISO-Konfigurationsdatei hochgeladen haben.

  4. Aktivieren Sie die Kontrollkästchen Connected (Verbunden) und Connect at power on (Beim Einschalten verbinden).

  5. Speichern Sie Ihre Änderungen und starten Sie die virtuelle Maschine neu.

Nächste Schritte

Wenn Ihre IT-Richtlinie dies erfordert, können Sie optional die ISO-Datei unmounten, nachdem alle Knoten die Konfigurationsänderungen übernommen haben. Weitere Informationen finden Sie unter (Optional) ISO nach HDS-Konfiguration unmounten .

Konfigurieren des HDS Knotens für Proxyintegration

Wenn die Netzwerkumgebung einen Proxy erfordert, geben Sie mit diesem Vorgang den Typ des Proxy an, den Sie in die Hybriddatensicherheit integrieren möchten. Wenn Sie einen transparenten Anrufproxy oder einen HTTPS expliziten Proxy wählen, können Sie die Stammzertifikat über die Schnittstelle des Knotens hochladen und installiert werden. Sie können auch die Proxyverbindung über die Schnittstelle überprüfen und mögliche Probleme beheben.

Vorbereitungen

1

Geben Sie den HDS Knoten Setup URL https://[HDS Node IP oder FQDN]/Setup in einem Webbrowser ein, geben Sie die Administrationsdaten ein, die Sie für den Knoten eingerichtet haben, und klicken Sie dann auf Anmelden.

2

Gehen Sie zu Trust Store & Proxyund wählen Sie dann eine Option:

  • Kein Proxy – Die Standardoption, bevor Sie einen Proxy integrieren. Es ist keine Zertifikatsaktualisierung erforderlich.
  • Transparenter Proxy ohne Prüfung: Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert und sollten keine Änderungen erfordern, um mit einem Proxy ohne Prüfung zu arbeiten. Es ist keine Zertifikatsaktualisierung erforderlich.
  • Transparentes Prüfen des Proxys: Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert. Bei der Bereitstellung der Hybriden Datensicherheit sind keine HTTPS-Konfigurationshinstellungsänderungen erforderlich, allerdings benötigen die Hägg-Knoten eine Stammzertifikat, damit Sie dem Proxy Vertrauen. Die Inspektion von Proxys wird in der Regel von ihm verwendet, um Strategien durchzusetzen, welche Websites besichtigt werden können und welche Arten von Inhalten nicht zulässig sind. Diese Art von Proxy entschlüsselt den gesamten Datenverkehr (auch HTTPS).
  • Expliziter Proxy – Mit explizitem Proxy können Sie dem Client (HDS-Knoten) mitteilen, welcher Proxyserver verwendet werden soll. Diese Option unterstützt mehrere Authentifizierungstypen. Nachdem Sie diese Option aktiviert haben, müssen Sie folgende Informationen eingeben:

    1. Proxy-IP/FQDN: Adresse, die verwendet werden kann, um die Proxy-Maschine zu erreichen.

    2. Proxy-Port: Eine Portnummer, die der Proxy verwendet, um nach proxyem Datenverkehr zu suchen.

    3. Proxy-Protokoll – Wählen Sie http (zeigt alle Anforderungen an und steuert sie, die vom Client empfangen werden) oder https (stellt einen Kanal zum Server bereit, und der Client empfängt und validiert das Serverzertifikat). Wählen Sie eine Option, basierend auf Ihren Proxy-Server unterstützt.

    4. Authentifizierungstyp: Wählen Sie aus den folgenden Authentifizierungstypen aus:

      • Keine: Es ist keine weitere Authentifizierung erforderlich.

        Verfügbar für http oder HTTPS.

      • Basic – wird für einen HTTP-Benutzeragenten verwendet, um bei einer Anfrage einen Benutzernamen und ein Kennwort anzugeben. Zertifikatsformat verwendet.

        Verfügbar für http oder HTTPS.

        Wenn Sie diese Option auswählen, müssen Sie auch die Benutzername und das Passwort eingeben.

      • Digest – wird verwendet, um das Konto vor dem Senden sensibler Informationen zu bestätigen. Gibt eine Hashfunktion auf die Benutzername und das Passwort ein, bevor Sie über das Netzwerk senden.

        Nur für HTTPS Proxies verfügbar.

        Wenn Sie diese Option auswählen, müssen Sie auch die Benutzername und das Passwort eingeben.

Befolgen Sie die nächsten Schritte für einen transparenten Inspektionsproxy, einen HTTP expliziten Proxy mit Basisauthentifizierung oder einen HTTPS expliziten Proxy

3

Klicken Sie auf ein Zertifikat für das Stammzertifikat oder Endnutzerzertifikat hochladen, und navigieren Sie dann zu einer Stammzertifikat für den Proxy.

Das Zertifikat ist hochgeladen, aber noch nicht installiert, da Sie den Knoten neu starten müssen, um das Zertifikat zu installieren. Klicken Sie auf den Chevron Pfeil unter dem Namen des Zertifikats, um weitere Details zu erhalten, oder klicken Sie auf löschen, Wenn Sie Fehler gemacht haben und die Datei erneut hochladen möchten.

4

Klicken Sie auf Stellvertreterverbindung prüfen , um die Netzwerkverbindung zwischen dem Knoten und dem Proxy zu testen.

Wenn der Verbindungstest ausfällt, wird eine Fehlermeldung angezeigt, die den Grund und die Frage, wie Sie das Problem beheben können, anzeigt.

Wenn Sie eine Meldung sehen, dass eine externe DNS nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen. Diese Bedingung wird in vielen expliziten Proxykonfigurationen erwartet. Sie können mit dem Setup fortfahren, und der Knoten wird im gesperrten externen DNS-Server funktionieren. Wenn Sie glauben, dass es sich um einen Fehler handelt, führen Sie die folgenden Schritte aus. Siehe Modus für blockierte externe DNS-Auflösung deaktivieren.

5

Nach dem Durchführen des Verbindungstests, für expliziten Proxy, der nur auf HTTPS gesetzt ist, aktivieren Sie die Option so schalten Sie alle Port 443/444 https Anfragen aus diesem Knoten durch den expliziten Proxy Diese Einstellung benötigt 15 Sekunden, um wirksam zu werden.

6

Klicken Sie auf alle-Zertifizierungsstellen in den Trust Store installieren (erscheint für einen HTTPS expliziten Proxy oder einen transparenten Inspektionskrimi) oder Neustart (erscheint für einen HTTP expliziten Proxy), lesen Sie die Aufforderung, und klicken Sie dann auf in

Der Knoten startet innerhalb weniger Minuten.

7

Nachdem der Knoten erneut gestartet wurde, melden Sie sich bei Bedarf erneut an, und öffnen Sie dann die Übersichtsseite, um die Verbindungsüberprüfungen zu überprüfen, um sicherzustellen, dass Sie alle im grünen Status sind.

Die Proxyverbindung prüft nur eine Unterdomäne von WebEx.com. Wenn es Verbindungsprobleme gibt, ist ein häufiges Problem, dass einige der in den instructions aufgeführten-C-Domänen beim Proxy gesperrt werden.

Ersten Knoten im Cluster registrieren

Diese Aufgabe übernimmt den generischen Knoten, den Sie unter Einrichten der Hybrid Data Security-VM erstellt haben, registriert den Knoten bei der Webex Cloud und wandelt ihn in einen Hybrid Data Security-Knoten um.

Bei der Registrierung Ihres ersten Knotens erstellen Sie ein Cluster, zu dem der Knoten zugewiesen wird. Ein Cluster umfasst einen oder mehrere Knoten, die aus Redundanzgründen bereitgestellt werden.

Vorbereitungen

  • Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.

  • Stellen Sie sicher, dass alle Popupblocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.

1

Melden Sie sich bei https://admin.webex.com an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach der Karte „Hybrid-Datensicherheit“, und klicken Sie auf Einrichten.

4

Klicken Sie auf der sich öffnenden Seite auf Ressource hinzufügen.

5

Geben Sie im ersten Feld der Karte Knoten hinzufügen einen Namen für das Cluster ein, dem Sie Ihren Hybrid-Datensicherheitsknoten zuweisen möchten.

Benennen Sie Ihre Cluster nach Möglichkeit nach dem geografischen Standort der Clusterknoten. Beispiele: „San Francisco“ oder „New York“ oder „Dallas“

6

Geben Sie im zweiten Feld die interne IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) Ihres Knotens ein und klicken Sie unten auf dem Bildschirm auf Hinzufügen .

Diese IP-Adresse oder FQDN sollte mit der IP-Adresse oder dem Hostnamen und der Domäne übereinstimmen, die Sie beim Einrichten der Hybrid-Datensicherheit-VM verwendet haben.

Es wird eine Meldung angezeigt, dass Sie Ihren Knoten in Webex registrieren können.
7

Klicken Sie auf Go to Node (Zum Knoten wechseln).

Nach einigen Augenblicken werden Sie zu den Knoten-Konnektivitätstests für Webex-Dienste umgeleitet. Sind alle Tests erfolgreich, wird die Seite „Allow Access to Hybrid Data Security Node“ (Zugriff zu Hybrid-Datensicherheits-Knoten gewähren) angezeigt. Bestätigen Sie dort, dass Sie Ihrer Webex-Organisation die Zugriffsberechtigungen für Ihren Knoten erteilen möchten.

8

Aktivieren Sie das Kontrollkästchen Allow Access to Your Hybrid Data Security Node (Zugriff zu Ihrem Hybrid-Datensicherheits-Knoten gewähren) und klicken Sie anschließend auf Continue (Weiter).

Ihr Konto wird validiert, und die Meldung „Registrierung abgeschlossen“ zeigt an, dass Ihr Knoten jetzt in der Webex Cloud registriert ist.
9

Klicken Sie auf den Link oder schließen Sie die Registerkarte, um zur Partner Hub-Hybrid-Datensicherheitsseite zurückzukehren.

Auf der Seite Hybrid-Datensicherheit wird das neue Cluster mit dem registrierten Knoten auf der Registerkarte Ressourcen angezeigt. Der Knoten lädt die aktuelle Software automatisch aus der Cloud herunter.

Weitere Knoten erstellen und registrieren

Um Ihrem Cluster weitere Knoten hinzuzufügen, erstellen Sie einfach weitere VMs, mounten die ISO-Konfigurationsdatei und registrieren daraufhin den Knoten. Wir empfehlen, mindestens 3 Knoten zu betreiben.

Vorbereitungen

  • Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.

  • Stellen Sie sicher, dass alle Popupblocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.

1

Erstellen Sie eine neue virtuelle Maschine über die OVA und wiederholen Sie die Schritte unter Installieren der HDS-Host-OVA.

2

Richten Sie die Erstkonfiguration für die neue VM ein. Wiederholen Sie die Schritte unter Einrichten der Hybrid-Datensicherheit-VM.

3

Wiederholen Sie auf der neuen VM die Schritte unter HDS-Konfigurations-ISO hochladen und mounten.

4

Wenn Sie einen Proxy für Ihre Bereitstellung einrichten, wiederholen Sie die Schritte unter Konfigurieren des HDS-Knotens für die Proxy-Integration nach Bedarf für den neuen Knoten.

5

Registrieren Sie den Knoten.

  1. Wählen Sie unter https://admin.webex.com Services (Dienste) aus dem Menü auf der linken Bildschirmseite aus.

  2. Suchen Sie im Abschnitt „Cloud-Dienste“ nach der Hybrid-Datensicherheitskarte und klicken Sie auf Alle anzeigen.

    Die Seite „Hybrid-Datensicherheitsressourcen“ wird angezeigt.

  3. Der neu erstellte Cluster wird auf der Seite Ressourcen angezeigt.

  4. Klicken Sie auf den Cluster, um die dem Cluster zugewiesenen Knoten anzuzeigen.

  5. Klicken Sie rechts auf dem Bildschirm auf Knoten hinzufügen .

  6. Geben Sie die interne IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) Ihres Knotens ein und klicken Sie auf Hinzufügen.

    Es wird eine Seite mit einer Meldung geöffnet, die angibt, dass Sie Ihren Knoten in der Webex-Cloud registrieren können. Nach einigen Augenblicken werden Sie zu den Knoten-Konnektivitätstests für Webex-Dienste umgeleitet. Sind alle Tests erfolgreich, wird die Seite „Allow Access to Hybrid Data Security Node“ (Zugriff zu Hybrid-Datensicherheits-Knoten gewähren) angezeigt. Bestätigen Sie dort, dass Sie Ihrer Organisation die Zugriffsberechtigungen für Ihren Knoten erteilen möchten.

  7. Aktivieren Sie das Kontrollkästchen Allow Access to Your Hybrid Data Security Node (Zugriff zu Ihrem Hybrid-Datensicherheits-Knoten gewähren) und klicken Sie anschließend auf Continue (Weiter).

    Ihr Konto wird validiert, und die Meldung „Registrierung abgeschlossen“ zeigt an, dass Ihr Knoten jetzt in der Webex Cloud registriert ist.

  8. Klicken Sie auf den Link oder schließen Sie die Registerkarte, um zur Partner Hub-Hybrid-Datensicherheitsseite zurückzukehren.

    Die Popup-Meldung Knoten hinzugefügt wird auch unten auf dem Bildschirm in Partner Hub angezeigt.

    Ihr Knoten ist registriert.

Mandantenorganisationen für Multi-Tenant-Hybrid-Datensicherheit verwalten

Multi-Tenant HDS in Partner Hub aktivieren

Diese Aufgabe stellt sicher, dass alle Benutzer der Kundenorganisationen HDS für lokale Verschlüsselungsschlüssel und andere Sicherheitsdienste nutzen können.

Vorbereitungen

Stellen Sie sicher, dass Sie die Einrichtung Ihres Multi-Tenant-HDS-Clusters mit der erforderlichen Anzahl an Knoten abgeschlossen haben.

1

Melden Sie sich bei https://admin.webex.com an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach „Hybrid-Datensicherheit“ und klicken Sie auf Einstellungen bearbeiten.

4

Klicken Sie auf der Karte HDS-Status auf HDS-Aktivierung .

Mandantenorganisationen in Partner Hub hinzufügen

Weisen Sie bei dieser Aufgabe Kundenorganisationen Ihrem Hybrid-Datensicherheitscluster zu.

1

Melden Sie sich bei https://admin.webex.com an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach Hybrid-Datensicherheit und klicken Sie auf Alle anzeigen.

4

Klicken Sie auf den Cluster, dem ein Kunde zugewiesen werden soll.

5

Wechseln Sie zur Registerkarte Zugewiesene Kunden .

6

Klicken Sie auf Kunden hinzufügen.

7

Wählen Sie im Dropdown-Menü den Kunden aus, den Sie hinzufügen möchten.

8

Klicken Sie auf Hinzufügen. Der Kunde wird dem Cluster hinzugefügt.

9

Wiederholen Sie die Schritte 6 bis 8, um mehrere Kunden zu Ihrem Cluster hinzuzufügen.

10

Klicken Sie auf Fertig am unteren Bildschirmrand, nachdem Sie die Kunden hinzugefügt haben.

Nächste Schritte

Führen Sie das HDS-Einrichtungstool wie unter Erstellen von Kundenhauptschlüsseln (Customer Main Keys, CMKs) mit dem HDS-Einrichtungstool beschrieben aus, um die Einrichtung abzuschließen.

Kundenhauptschlüssel (Customer Main Keys, CMKs) mit dem HDS Setup-Tool erstellen

Vorbereitungen

Weisen Sie Kunden dem entsprechenden Cluster zu, wie unter Mandantenorganisationen in Partner Hub hinzufügen beschrieben. Führen Sie das HDS Setup-Tool aus, um den Einrichtungsprozess für die neu hinzugefügten Kundenorganisationen abzuschließen.

  • Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zu zugreifen, führen Sie Docker auf diesem Computer aus. Der Einrichtungsprozess erfordert die Anmeldeinformationen eines Partner Hub-Kontos mit vollen Administratorrechten für Ihre Organisation.

    Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxy-Einstellungen (Server, Port, Anmeldeinformationen) über die Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in Schritt 5 aufrufen. Diese Tabelle enthält einige mögliche Umgebungsvariablen:

    Beschreibung

    Variable

    HTTP-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

  • Die von Ihnen generierte ISO-Konfigurationsdatei enthält den Hauptschlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die neueste Kopie dieser Datei, wenn Sie Konfigurationsänderungen wie die folgenden vornehmen:

    • Datenbank-Anmeldeinformationen

    • Zertifikats-Aktualisierungen

    • Änderungen an der Autorisierungsrichtlinie

  • Wenn Sie Datenbankverbindungen verschlüsseln möchten, richten Sie Ihre PostgreSQL- oder SQL Server-Bereitstellung für TLS ein.

Beim Einrichtungsprozess für die Hybrid-Datensicherheit wird eine ISO-Datei erstellt. Anschließend verwenden Sie die ISO, um Ihren Hybrid-Datensicherheitshost zu konfigurieren.

1

Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

In regulären Umgebungen:

docker rmi ciscocitg/hds-setup:stabil

In FedRAMP-Umgebungen:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

2

Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

Docker Anmeldung -u hdscustomersro
3

Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

In regulären Umgebungen:

docker pull ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

  • In regulären Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In FedRAMP-Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express-Server hören auf Port 8080) sehen.

6

Das Setup-Tool unterstützt die Verbindung zu localhost über http://localhost:8080 nicht. Verwenden Sie http://127.0.0.1:8080 , um eine Verbindung zum Localhost herzustellen.

Navigieren Sie in einem Webbrowser zum Localhost, http://127.0.0.1:8080, und geben Sie bei Aufforderung den Admin-Benutzernamen für Partner Hub ein.

Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto festzulegen. Das Tool zeigt dann die Standard-Anmeldeaufforderung an.

7

Wenn Sie dazu aufgefordert werden, geben Sie Ihre Partner Hub-Administratoranmeldeinformationen ein und klicken Sie dann auf Anmelden , um den Zugriff auf die für die Hybrid-Datensicherheit erforderlichen Dienste zu erlauben.

8

Klicken Sie auf der Übersichtsseite des Setup Tool auf Get Started (Erste Schritte).

9

Klicken Sie auf der Seite ISO-Import auf Ja.

10

Wählen Sie Ihre ISO-Datei im Browser aus und laden Sie sie hoch.

Stellen Sie sicher, dass die Verbindung zu Ihrer Datenbank hergestellt wird, um eine CMK-Verwaltung durchzuführen.
11

Gehen Sie zur Registerkarte Mandanten-CMK-Verwaltung , auf der Sie die folgenden drei Möglichkeiten zur Verwaltung von Mandanten-CMKs finden.

  • CMK für alle ORGs erstellen oder CMK erstellen – Klicken Sie auf diese Schaltfläche im Banner am oberen Rand des Bildschirms, um CMKs für alle neu hinzugefügten Organisationen zu erstellen.
  • Klicken Sie auf die Schaltfläche CMKs verwalten auf der rechten Seite des Bildschirms und klicken Sie auf CMKs erstellen , um CMKs für alle neu hinzugefügten Organisationen zu erstellen.
  • Klicken Sie in der Tabelle neben dem Status der ausstehenden CMK-Verwaltung einer bestimmten Organisation, und klicken Sie auf CMK erstellen , um CMK für diese Organisation zu erstellen.
12

Sobald die CMK-Erstellung erfolgreich war, ändert sich der Status in der Tabelle von CMK-Verwaltung ausstehend zu CMK-Verwaltung.

13

Wenn die CMK-Erstellung nicht erfolgreich war, wird ein Fehler angezeigt.

Mandantenorganisationen entfernen

Vorbereitungen

Nach dem Entfernen können Benutzer von Kundenorganisationen HDS nicht mehr für ihre Verschlüsselungsanforderungen nutzen und verlieren alle vorhandenen Bereiche. Wenden Sie sich an Ihren Cisco-Partner oder Ihren Account Manager, bevor Sie Kundenorganisationen entfernen.

1

Melden Sie sich bei https://admin.webex.com an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach Hybrid-Datensicherheit und klicken Sie auf Alle anzeigen.

4

Klicken Sie auf der Registerkarte Ressourcen auf den Cluster, aus dem Sie Kundenorganisationen entfernen möchten.

5

Klicken Sie auf der sich öffnenden Seite auf Zugewiesene Kunden.

6

Klicken Sie in der angezeigten Liste der Kundenorganisationen auf ... auf der rechten Seite der Kundenorganisation, die Sie entfernen möchten, und klicken Sie auf Aus Cluster entfernen.

Nächste Schritte

Schließen Sie den Löschvorgang ab, indem Sie die CMKs der Kundenorganisationen sperren, wie unter CMKs von Tenants, die aus HDS entfernt wurden, beschrieben.

Widerrufen Sie die CMKs von Mandanten, die aus HDS entfernt wurden.

Vorbereitungen

Entfernen Sie Kunden aus dem entsprechenden Cluster, wie unter Mandantenorganisationen entfernen beschrieben. Führen Sie das HDS Setup-Tool aus, um den Entfernungsprozess für die Kundenorganisationen abzuschließen, die entfernt wurden.

  • Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zu zugreifen, führen Sie Docker auf diesem Computer aus. Der Einrichtungsprozess erfordert die Anmeldeinformationen eines Partner Hub-Kontos mit vollen Administratorrechten für Ihre Organisation.

    Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxy-Einstellungen (Server, Port, Anmeldeinformationen) über die Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in Schritt 5 aufrufen. Diese Tabelle enthält einige mögliche Umgebungsvariablen:

    Beschreibung

    Variable

    HTTP-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

  • Die von Ihnen generierte ISO-Konfigurationsdatei enthält den Hauptschlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die neueste Kopie dieser Datei, wenn Sie Konfigurationsänderungen wie die folgenden vornehmen:

    • Datenbank-Anmeldeinformationen

    • Zertifikats-Aktualisierungen

    • Änderungen an der Autorisierungsrichtlinie

  • Wenn Sie Datenbankverbindungen verschlüsseln möchten, richten Sie Ihre PostgreSQL- oder SQL Server-Bereitstellung für TLS ein.

Beim Einrichtungsprozess für die Hybrid-Datensicherheit wird eine ISO-Datei erstellt. Anschließend verwenden Sie die ISO, um Ihren Hybrid-Datensicherheitshost zu konfigurieren.

1

Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

In regulären Umgebungen:

docker rmi ciscocitg/hds-setup:stabil

In FedRAMP-Umgebungen:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

2

Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

Docker Anmeldung -u hdscustomersro
3

Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

In regulären Umgebungen:

docker pull ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

  • In regulären Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In FedRAMP-Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express-Server hören auf Port 8080) sehen.

6

Das Setup-Tool unterstützt die Verbindung zu localhost über http://localhost:8080 nicht. Verwenden Sie http://127.0.0.1:8080 , um eine Verbindung zum Localhost herzustellen.

Navigieren Sie in einem Webbrowser zum Localhost, http://127.0.0.1:8080, und geben Sie bei Aufforderung den Admin-Benutzernamen für Partner Hub ein.

Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto festzulegen. Das Tool zeigt dann die Standard-Anmeldeaufforderung an.

7

Wenn Sie dazu aufgefordert werden, geben Sie Ihre Partner Hub-Administratoranmeldeinformationen ein und klicken Sie dann auf Anmelden , um den Zugriff auf die für die Hybrid-Datensicherheit erforderlichen Dienste zu erlauben.

8

Klicken Sie auf der Übersichtsseite des Setup Tool auf Get Started (Erste Schritte).

9

Klicken Sie auf der Seite ISO-Import auf Ja.

10

Wählen Sie Ihre ISO-Datei im Browser aus und laden Sie sie hoch.

11

Gehen Sie zur Registerkarte Mandanten-CMK-Verwaltung , auf der Sie die folgenden drei Möglichkeiten zur Verwaltung von Mandanten-CMKs finden.

  • CMK für alle ORGs sperren oder CMK sperren – Klicken Sie auf diese Schaltfläche im Banner am oberen Bildschirmrand, um die CMKs aller Organisationen zu sperren, die entfernt wurden.
  • Klicken Sie auf die Schaltfläche CMKs verwalten auf der rechten Seite des Bildschirms und klicken Sie auf CMKs sperren , um die CMKs aller Organisationen zu sperren, die entfernt wurden.
  • Klicken in der Nähe der CMK wird widerrufen Status einer bestimmten Organisation in der Tabelle und klicken Sie auf CMK widerrufen um CMK für diese bestimmte Organisation zu widerrufen.
12

Sobald die CMK-Sperrung erfolgreich ist, wird die Kundenorganisation nicht mehr in der Tabelle angezeigt.

13

Wenn die CMK-Sperrung nicht erfolgreich ist, wird ein Fehler angezeigt.

Testen Ihrer Hybrid-Datensicherheitsbereitstellung

Testen Ihrer Bereitstellung für die Hybrid-Datensicherheit

Mit diesem Verfahren können Sie Verschlüsselungsszenarien für die Multi-Tenant-Hybrid-Datensicherheit testen.

Vorbereitungen

  • Richten Sie die Multi-Tenant-Hybrid-Datensicherheitsbereitstellung ein.

  • Stellen Sie sicher, dass Sie auf das Syslog zugreifen können, um zu überprüfen, ob wichtige Anforderungen an Ihre Multi-Tenant-Hybrid-Datensicherheitsbereitstellung weitergeleitet werden.

1

Schlüssel für einen bestimmten Bereich werden vom Ersteller des Bereichs festgelegt. Melden Sie sich bei der Webex-App als einer der Benutzer der Kundenorganisation an und erstellen Sie einen Bereich.

Wenn Sie die Hybrid-Datensicherheitsbereitstellung deaktivieren, sind Inhalte in von Benutzern erstellten Bereichen nicht mehr verfügbar, nachdem die im Client zwischengespeicherten Kopien der Verschlüsselungscodes ersetzt wurden.

2

Senden Sie Nachrichten an den neuen Bereich.

3

Überprüfen Sie die Syslog-Ausgabe, um sicherzustellen, dass die Schlüsselanforderungen an Ihre Hybrid-Datensicherheitsbereitstellung weitergeleitet werden.

  1. Um zu prüfen, ob ein Benutzer zuerst einen sicheren Kanal zum KMS eingerichtet hat, filtern Sie nach kms.data.method=create und kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Sie sollten einen Eintrag wie den folgenden finden (IDs wurden zur besseren Lesbarkeit gekürzt):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:ANFRAGE] empfangen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Um zu überprüfen, ob ein Benutzer einen vorhandenen Schlüssel im KMS anfordert, filtern Sie nach kms.data.method=retrieve und kms.data.type=KEY:

    Sie sollten einen Eintrag wie den folgenden finden:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:ANFRAGE] empfangen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Um zu überprüfen, ob ein Benutzer die Erstellung eines neuen KMS-Schlüssels anfordert, filtern Sie nach kms.data.method=create und kms.data.type=KEY_COLLECTION:

    Sie sollten einen Eintrag wie den folgenden finden:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:ANFRAGE] empfangen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Um zu überprüfen, ob ein Benutzer die Erstellung eines neuen KMS-Ressourcenobjekts (KRO) anfordert, wenn ein Bereich oder eine andere geschützte Ressource erstellt wird, filtern Sie kms.data.method=create und kms.data.type=RESOURCE_COLLECTION:

    Sie sollten einen Eintrag wie den folgenden finden: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:ANFRAGE] empfangen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Überwachen des Status der Hybrid-Datensicherheit

Eine Statusanzeige in Partner Hub zeigt Ihnen an, ob die Multi-Tenant-Hybrid-Datensicherheitsbereitstellung gut funktioniert. Für stärker proaktive Warnungen können Sie sich für E-Mail-Benachrichtigungen anmelden. Sie werden benachrichtigt, wenn Alarme oder Software-Upgrades den Dienst beeinträchtigen.
1

Wählen Sie in Partner Hub im Menü auf der linken Seite des Bildschirms die Option Dienste aus.

2

Suchen Sie im Abschnitt „Cloud-Dienste“ nach „Hybrid-Datensicherheit“ und klicken Sie auf Einstellungen bearbeiten.

Die Seite „Hybrid Data Security Settings“ (Einstellungen für Hybrid-Datensicherheit) wird angezeigt.
3

Geben Sie im Abschnitt zu E-Mail-Benachrichtigungen eine oder mehrere Adressen durch Komma getrennt ein und drücken Sie Enter.

HDS-Bereitstellung verwalten

Verwalten der HDS-Bereitstellung

Verwenden Sie die hier beschriebenen Aufgaben, um Ihre Hybrid-Datensicherheitsbereitstellung zu verwalten.

Festlegen des Upgrade-Zeitplans für Cluster

Software-Upgrades für Hybrid Data Security werden automatisch auf Cluster-Ebene ausgeführt, um sicherzustellen, dass auf allen Knoten immer die gleiche Software-Version ausgeführt wird. Die Upgrades werden gemäß des Upgrade-Zeitplans für den Cluster ausgeführt. Sie können neue verfügbare Software-Upgrades optional auch vor dem geplanten Upgrade-Zeitpunkt manuell installieren. Sie können einen eigenen Upgrade-Zeitplan festlegen oder den Standardzeitplan um 3:00 Uhr morgens täglich für USA: Amerika/Los Angeles verwenden. Bei Bedarf können Sie anstehende Upgrades auch verzögern.

So legen Sie den Upgrade-Zeitplan fest:

1

Melden Sie sich bei Partner Hub an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach „Hybrid-Datensicherheit“ und klicken Sie auf Einrichten.

4

Wählen Sie auf der Seite „Hybrid-Datensicherheitsressourcen“ den Cluster aus.

5

Klicken Sie auf die Registerkarte Cluster-Einstellungen .

6

Wählen Sie auf der Seite „Cluster-Einstellungen“ unter „Upgrade-Zeitplan“ die Uhrzeit und die Zeitzone für den Upgrade-Zeitplan aus.

Hinweis: Unter der Zeitzone wird der nächste verfügbare Zeitpunkt für ein Upgrade angezeigt. Sie können das Upgrade bei Bedarf auf den folgenden Tag verschieben, indem Sie auf Um 24 Stunden verschieben klicken.

Ändern der Knotenkonfiguration

Gelegentlich kann es erforderlich sein, die Konfiguration Ihres Hybrid-Datensicherheitsknotens zu ändern, z. B.:

  • Änderung der x.509-Zertifikate aufgrund Ablaufs oder anderer Gründe.

    Wir unterstützen keine Änderung des CN-Domänennamens eines Zertifikats. Die Domäne muss mit der Originaldomäne übereinstimmen, die zur Registrierung des Clusters verwendet wurde.

  • Datenbankeinstellungen werden aktualisiert, um auf eine Replik der PostgreSQL- oder Microsoft SQL Server-Datenbank zu wechseln.

    Wir unterstützen keine Migration von Daten von PostgreSQL zu Microsoft SQL Server oder auf den entgegengesetzten Weg. Um die Datenbankumgebung zu wechseln, starten Sie eine neue Bereitstellung von Hybrid Data Security.

  • Erstellen einer neuen Konfiguration, um ein neues Datenzentrum vorzubereiten.

Aus Sicherheitsgründen verwendet Hybrid Data Security Dienstkonto-Passwörter mit einer Laufzeit von neun Monaten. Nachdem das HDS Setup Tool diese Passwörter generiert hat, stellen Sie sie für jeden Ihrer HDS-Knoten in der ISO-Konfigurationsdatei bereit. Wenn die Kennwörter Ihrer Organisation fast ablaufen, erhalten Sie eine Benachrichtigung vom Webex-Team, mit der Sie das Passwort für Ihr Computerkonto zurücksetzen können. (Die E-Mail enthält den Text "Verwenden Sie die Maschinenkonto-API, um das Passwort zu aktualisieren"). Wenn Ihre Passwörter noch nicht abgelaufen sind, bietet Ihnen das Tool zwei Optionen:

  • Weiches Zurücksetzen – Das alte und das neue Kennwort können beide bis zu 10 Tage lang verwendet werden. Verwenden Sie diesen Zeitraum, um die ISO-Datei der Knoten schrittweise zu ersetzen.

  • Harte Zurücksetzung: Die alten Passwörter funktionieren sofort nicht mehr.

Wenn Ihre Passwörter ohne Zurücksetzen ablaufen, wirkt sich dies auf Ihren HDS-Dienst aus, was ein sofortiges Zurücksetzen und Ersetzen der ISO-Datei auf allen Knoten erfordert.

Verwenden Sie dieses Verfahren, um eine neue ISO-Konfigurationsdatei zu generieren und auf Ihren Cluster anzuwenden.

Vorbereitungen

  • Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zu zugreifen, führen Sie Docker auf diesem Computer aus. Der Einrichtungsprozess erfordert die Anmeldeinformationen eines Partner Hub-Kontos mit vollen Partneradministratorrechten.

    Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxy-Einstellungen (Server, Port, Anmeldeinformationen) über die Docker-Umgebungsvariablen an, wenn Sie den Docker Container in 1.e aufrufen. Diese Tabelle enthält einige mögliche Umgebungsvariablen:

    Beschreibung

    Variable

    HTTP-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

  • Um eine neue Konfiguration zu erstellen, benötigen Sie eine Kopie der aktuellen ISO-Konfigurationsdatei. Die ISO enthält den Masterschlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die ISO-Datei, wenn Sie Konfigurationsänderungen vornehmen, wie z. B. Datenbank-Anmeldeinformationen, Zertifikataktualisierungen oder Änderungen an der Autorisierungsrichtlinie.

1

Führen Sie auf einem lokalen Computer, auf dem Docker läuft, das HDS Setup Tool aus.

  1. Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

    In regulären Umgebungen:

    docker rmi ciscocitg/hds-setup:stabil

    In FedRAMP-Umgebungen:

    docker rmi ciscocitg/hds-setup-fedramp:stabil

    Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

  2. Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

    Docker Anmeldung -u hdscustomersro

  3. Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

    In regulären Umgebungen:

    docker pull ciscocitg/hds-setup:stable

    In FedRAMP-Umgebungen:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Stellen Sie sicher, dass Sie für hierfür per Pull das neueste Setup-Tool aufrufen. Versionen des Tools, die vor dem 22. Februar 2018 erstellt wurden, verfügen nicht über die Bildschirme zum Zurücksetzen des Passworts.

  5. Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

    • In regulären Umgebungen ohne Proxy:

      Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • In regulären Umgebungen mit einem HTTP-Proxy:

      Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • In regulären Umgebungen mit einem HTTPSproxy:

      Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • In FedRAMP-Umgebungen ohne Proxy:

      Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

      Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

      Docker run -p 8080:8080 --rm -it -e GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express server listening on port 8080) sehen.

  6. Verwenden Sie einen Browser, um sich mit dem Localhost zu http://127.0.0.1:8080verbinden.

    Das Setup-Tool unterstützt die Verbindung zu localhost über http://localhost:8080 nicht. Verwenden Sie http://127.0.0.1:8080 , um eine Verbindung zum Localhost herzustellen.

  7. Wenn Sie dazu aufgefordert werden, geben Sie Ihre Partner Hub-Kundenanmeldeinformationen ein und klicken Sie dann auf Akzeptieren , um fortzufahren.

  8. Importieren Sie die aktuelle ISO-Konfigurationsdatei.

  9. Befolgen Sie die Anweisungen, um das Tool abzuschließen und die aktualisierte Datei herunterzuladen.

    Um das Setup Tool herunterzufahren, tippen Sie STRG+C ein.

  10. Erstellen Sie eine Backup-Kopie der aktualisierten Datei in einem anderen Datenzentrum.

2

Wenn Sie nur einen HDS-Knoten ausführen, erstellen Sie eine neue VM für den Hybrid-Datensicherheitsknoten und registrieren Sie sie mithilfe der neuen ISO-Konfigurationsdatei. Detaillierte Anweisungen finden Sie unter Weitere Knoten erstellen und registrieren.

  1. Installieren des HDS Host OVA

  2. Richten Sie die HDS-VM ein.

  3. Mounten Sie die aktualisierte Konfigurationsdatei.

  4. Registrieren Sie den neuen Knoten im Partner Hub.

3

Mounten Sie bei vorhandenen HDS-Knoten, auf denen die ältere Konfigurationsdatei ausgeführt wird, die ISO-Datei. Führen Sie für jeden Knoten des Knotens folgende Schritte durch, indem Sie jeden Knoten aktualisieren, bevor Sie den nächsten Knoten deaktivieren:

  1. Deaktivieren Sie die Virtuelle Maschine.

  2. Rechtsklicken Sie im linken Navigationsbereich des VMware vSphere Client auf die VM. Klicken Sie daraufhin auf Edit Settings (Einstellungen bearbeiten).

  3. Klicken Sie auf CD/DVD-Laufwerk 1, wählen Sie die Option zum Bereitstellen einer ISO-Datei und navigieren Sie zu dem Speicherort, unter dem der Download der neuen ISO-Konfigurationsdatei abliegt.

  4. Aktivieren Sie das Kontrollkästchen Verbinden beim Einschalten.

  5. Speichern Sie Ihre Änderungen und starten Sie Sie die virtuelle Maschine.

4

Wiederholen Sie Schritt 3, um bei jedem weiteren Knoten zu ersetzen, auf dem noch die alte Konfiguration ausgeführt wird, die Konfiguration zu ersetzen.

Blockierte externe DNS Auflösungsmodus deaktivieren

Wenn Sie einen Knoten registrieren oder die Proxykonfiguration des Knotens überprüfen, testet das Verfahren die DNS und die Konnektivität der Cisco WebEx. Wenn der DNS-Server des Knotens öffentliche DNS nicht auflösen kann, geht der Knoten automatisch in den gesperrten externen DNS-Server.

Wenn Ihre Knoten öffentliche DNS über interne DNS-Server auflösen können, aktivieren Sie diesen Modus, indem Sie den Proxyverbindungstest für jeden Knoten deaktivieren.

Vorbereitungen

Stellen Sie sicher, dass Ihre internen DNS-Server öffentliche DNS und ihre Knoten mit Ihnen kommunizieren können.
1

Öffnen Sie in einem Webbrowser die Schnittstelle für den Hybrid-Datensicherheitsknoten (IP-Adresse/Einrichtung, https://192.0.2.0/setup), geben Sie beispielsweise die für den Knoten eingerichteten Admin-Anmeldeinformationen ein, und klicken Sie dann auf Anmelden.

2

Gehen Sie zu Übersicht (Standardseite).

Wenn diese Option aktiviert ist, wird die externe DNS auf "Ja" gesetzt .

3

Gehen Sie zur Seite Vertrauensspeicher und Proxy .

4

Klicken Sie auf Stellvertreterverbindung prüfen.

Wenn Sie eine Meldung sehen, dass eine externe DNS nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen und wird in diesem Modus verbleiben. Andernfalls sollte nach dem Neustart des Knotens und der Rückfahrt zur Übersichtsseite die gesperrte externe DNS auf "Nein" gesetzt werden.

Nächste Schritte

Wiederholen Sie den Proxy Verbindungstest für jeden Knoten in Ihrem Cisco Data SicherheitCluster.

Entfernen eines Knotens

Mit diesem Verfahren können Sie einen Hybrid-Datensicherheitsknoten aus der Webex-Cloud entfernen. Löschen Sie nach dem Entfernen des Knotens aus dem Cluster die virtuelle Maschine, um den weiteren Zugriff auf Ihre Sicherheitsdaten zu verhindern.
1

Melden Sie sich über den VMware vSphere-Client auf Ihrem Computer bei dem ESXi virtuellen Host an und schalten Sie die virtuelle Maschine aus.

2

Entfernen des Knotens:

  1. Melden Sie sich bei Partner Hub an und wählen Sie Dienste aus.

  2. Klicken Sie auf der Hybrid-Datensicherheitskarte auf Alle anzeigen , um die Seite „Hybrid-Datensicherheitsressourcen“ anzuzeigen.

  3. Wählen Sie Ihr Cluster aus, um den Bereich „Übersicht“ anzuzeigen.

  4. Klicken Sie auf den Knoten, den Sie entfernen möchten.

  5. Klicken Sie in dem rechts angezeigten Bereich auf Registrierung dieses Knotens aufheben .

  6. Sie können die Registrierung des Knotens auch aufheben, indem Sie auf der rechten Seite des Knotens auf Diesen Knoten entfernen klicken.

3

Löschen Sie die VM im vSphere-Client. (Klicken Sie im linken Navigationsbereich mit der rechten Maustaste auf die VM, und klicken Sie auf Löschen.)

Wenn Sie die VM nicht löschen, denken Sie daran, die Konfigurations-ISO-Datei zu deinstallieren. Ohne die ISO-Datei können Sie die VM nicht verwenden, um auf Ihre Sicherheitsdaten zuzugreifen.

Notfallwiederherstellung mit Standby-Rechenzentrum

Der wichtigste Dienst, den Ihr Hybrid-Datensicherheitscluster bietet, ist die Erstellung und Speicherung von Schlüsseln, mit denen Nachrichten und andere in der Webex-Cloud gespeicherte Inhalte verschlüsselt werden. Für jeden Benutzer innerhalb der Organisation, der der Hybrid-Datensicherheit zugewiesen ist, werden neue Anforderungen zur Schlüsselerstellung an das Cluster weitergeleitet. Der Cluster ist zudem dafür verantwortlich, die erstellten Schlüssel an Benutzer zurückzusenden, die zum Abrufen von Schlüsseln berechtigt sind. Hierzu gehören beispielsweise Mitglieder eines Gesprächsraums.

Da der Cluster die wichtige Funktion erfüllt, diese Schlüssel bereitzustellen, ist es höchst wichtig, dass der Cluster in Betrieb bleibt und korrekte Backups erstellt werden. Der Verlust der Hybrid-Datensicherheitsdatenbank oder der für das Schema verwendeten Konfigurations-ISO führt zu einem NICHT BEHEBBAREN VERLUST von Kundeninhalten. Die folgenden Praktiken sind zwingend erforderlich, um einem derartigen Verlust vorzubeugen:

Wenn eine Katastrophe dazu führt, dass die HDS-Bereitstellung im primären Rechenzentrum nicht mehr verfügbar ist, führen Sie dieses Verfahren aus, um ein manuelles Failover auf das Standby-Rechenzentrum durchzuführen.

Vorbereitungen

Heben Sie die Registrierung aller Knoten aus Partner Hub auf, wie unter Knoten entfernen erwähnt. Verwenden Sie die neueste ISO-Datei, die für die Knoten des zuvor aktiven Clusters konfiguriert wurde, um das unten genannte Failover-Verfahren durchzuführen.
1

Starten Sie das HDS-Setup-Tool und führen Sie die unter Erstellen einer Konfigurations-ISO für die HDS-Hosts beschriebenen Schritte aus.

2

Schließen Sie den Konfigurationsprozess ab und speichern Sie die ISO-Datei an einem leicht auffindbaren Speicherort.

3

Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Sichern Sie die Sicherungskopie sicher. Die Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff auf Administratoren für Hybrid-Datensicherheit, die Konfigurationsänderungen vornehmen sollten.

4

Rechtsklicken Sie im linken Navigationsbereich des VMware vSphere Client auf die VM. Klicken Sie daraufhin auf Edit Settings (Einstellungen bearbeiten).

5

Klicken Sie auf Einstellungen bearbeiten >CD/DVD-Laufwerk 1 und wählen Sie Datenspeicher-ISO-Datei.

Stellen Sie sicher, dass Verbunden und Verbinden beim Einschalten aktiviert sind, damit aktualisierte Konfigurationsänderungen nach dem Starten der Knoten wirksam werden können.

6

Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 15 Minuten lang keine Alarme vorhanden sind.

7

Registrieren Sie den Knoten im Partner Hub. Weitere Informationen finden Sie unter Ersten Knoten im Cluster registrieren.

8

Wiederholen Sie den Vorgang für jeden Knoten im Standby-Rechenzentrum.

Nächste Schritte

Wenn das primäre Rechenzentrum nach dem Failover wieder aktiv wird, die Registrierung der Knoten des Standby-Rechenzentrums aufheben und den oben genannten Prozess der ISO-Konfiguration und der Registrierung der Knoten des primären Rechenzentrums wiederholen.

(Optional) ISO nach HDS-Konfiguration aushängen

Die Standard-HDS-Konfiguration wird mit eingebauter ISO ausgeführt. Einige Kunden ziehen es jedoch vor, die ISO-Dateien nicht kontinuierlich eingebunden zu lassen. Sie können die ISO-Datei unmounten, nachdem alle HDS-Knoten die neue Konfiguration übernommen haben.

Sie verwenden weiterhin die ISO-Dateien, um Konfigurationsänderungen vorzunehmen. Wenn Sie eine neue ISO erstellen oder eine ISO über das Setup-Tool aktualisieren, müssen Sie die aktualisierte ISO auf allen HDS-Knoten mounten. Wenn alle Knoten die Konfigurationsänderungen übernommen haben, können Sie die ISO mit diesem Verfahren erneut deinstallieren.

Vorbereitungen

Aktualisieren Sie alle Ihre HDS-Knoten auf Version 2021.01.22.4720 oder höher.

1

Fahren Sie einen Ihrer HDS-Knoten herunter.

2

Wählen Sie in der vCenter Server-Appliance den HDS-Knoten aus.

3

Wählen Sie Einstellungen bearbeiten > CD/DVD-Laufwerk und deaktivieren Sie ISO-Datei für Datenspeicher.

4

Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 20 Minuten lang keine Alarme angezeigt werden.

5

Wiederholen Sie dies für jeden HDS-Knoten der Reihe nach.

Problembehandlung der Hybrid-Datensicherheit

Anzeigen von Warnungen und Beheben von Fehlern

Eine Hybrid-Datensicherheitsbereitstellung gilt als nicht verfügbar, wenn alle Knoten im Cluster nicht erreichbar sind oder der Cluster so langsam arbeitet, dass eine Zeitüberschreitung erforderlich ist. Wenn Benutzer Ihr Hybrid-Datensicherheitscluster nicht erreichen können, treten folgende Symptome auf:

  • Neue Bereiche können nicht erstellt werden (es konnten keine neuen Schlüssel erstellt werden)

  • Nachrichten- und Bereichstitel konnten für folgende Benutzer nicht entschlüsselt werden:

    • Neue zu einem Bereich hinzugefügte Benutzer (Schlüssel konnten nicht abgerufen werden)

    • Vorhandene Benutzer in einem Bereich, der einen neuen Client verwendet (Schlüssel konnten nicht abgerufen werden)

  • Vorhandene Benutzer in einem Bereich werden weiterhin erfolgreich ausgeführt, sofern ihre Clients über einen Cache für Verschlüsselungsschlüssel verfügen

Es ist wichtig, dass Sie Ihren Hybrid-Datensicherheitscluster ordnungsgemäß überwachen und alle Warnungen umgehend adressieren, um Dienstunterbrechungen zu vermeiden.

Warnungen

Wenn es ein Problem mit der Einrichtung der Hybrid-Datensicherheit gibt, zeigt Partner Hub Warnungen an den Administrator der Organisation an und sendet E-Mails an die konfigurierte E-Mail-Adresse. Die Warnungen betreffen viele gängige Szenarien.

Tabelle 1: Häufig auftretende Probleme und Schritte zur Problembehebung

Alarm

Vorgang

Fehler beim Zugriff auf die lokale Datenbank.

Überprüfen Sie das System auf Datenbankfehler oder lokale Netzwerkprobleme.

Fehler beim Herstellen einer Verbindung zur lokalen Datenbank.

Vergewissern Sie sich, dass der Datenbankserver verfügbar ist und die richtigen Dienstkonto-Anmeldeinformationen in der Knotenkonfiguration verwendet wurden.

Fehler beim Zugriff auf den Clouddienst.

Überprüfen Sie, ob die Knoten auf die Webex-Server zugreifen können, wie unter Externe Verbindungsanforderungen angegeben.

Registrierung des Clouddiensts wird erneuert.

Registrierung von Clouddiensten wurde verworfen. Erneuerung der Registrierung wird durchgeführt.

Registrierung des Clouddiensts wurde verworfen.

Registrierung von Clouddiensten wurde beendet. Dienst wird beendet.

Dienst noch nicht aktiviert.

Aktivieren Sie HDS in Partner Hub.

Konfigurierte Domäne stimmt nicht mit dem Serverzertifikat überein.

Vergewissern Sie sich, dass das Serverzertifikat mit der konfigurierten Dienstaktivierungsdomäne übereinstimmt.

Die wahrscheinlichste Ursache lautet, dass die Zertifikat-CN vor kurzem geändert wurde und nun von der CN abweicht, die während der ursprünglichen Einrichtung verwendet wurde.

Clouddienste konnten nicht authentifiziert werden.

Prüfen Sie die Daten auf korrekte Eingabe und einen möglichen Ablauf der Dienstkonto-Anmeldeinformationen.

Lokale Schlüsselspeicherdatei konnte nicht geöffnet werden.

Überprüfen Sie die lokale Schlüsselspeicherdatei auf Integrität und Kennwortgenauigkeit.

Lokales Serverzertifikat ist ungültig.

Überprüfen Sie das Ablaufdatum des Serverzertifikats und vergewissern Sie sich, dass es von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.

Metriken konnten nicht gepostet werden.

Überprüfen Sie den Zugriff des lokalen Netzwerks auf externe Clouddienste.

Das Verzeichnis /media/configdrive/hds ist nicht vorhanden.

Überprüfen Sie die ISO-Mountkonfiguration auf dem virtuellen Host. Vergewissern Sie sich, dass die ISO-Datei vorhanden ist, die beim Neustart für das Mounten konfiguriert ist und das Mounten erfolgreich ausgeführt wird.

Die Einrichtung der Mandanten-Organisation ist für die hinzugefügten Organisationen nicht abgeschlossen

Schließen Sie die Einrichtung ab, indem Sie mit dem HDS Setup Tool CMKs für neu hinzugefügte Mandantenorganisationen erstellen.

Die Einrichtung der Mandantenorganisation ist für die entfernten Organisationen nicht abgeschlossen

Schließen Sie die Einrichtung ab, indem Sie die CMKs der Mandantenorganisationen, die mit dem HDS Setup Tool entfernt wurden, widerrufen.

Problembehandlung der Hybrid-Datensicherheit

Beachten Sie bei der Behebung von Problemen mit Hybrid Data Security die folgenden allgemeinen Richtlinien.
1

Prüfen Sie Partner Hub auf Warnungen und beheben Sie alle Elemente, die Sie dort finden. Weitere Informationen finden Sie im Bild unten.

2

Überprüfen Sie die Syslog-Serverausgabe auf Aktivität aus der Hybrid-Datensicherheitsbereitstellung. Filtern Sie nach Wörtern wie „Warnung“ und „Fehler“, um bei der Fehlerbehebung zu helfen.

3

Kontaktieren Sie den Cisco-Support.

Sonstige Hinweise

Bekannte Probleme mit Hybrid-Datensicherheit

  • Wenn Sie Ihren Hybrid-Datensicherheitscluster herunterfahren (indem Sie ihn im Partner Hub löschen oder alle Knoten herunterfahren), Ihre Konfigurations-ISO-Datei verlieren oder den Zugriff auf die Keystore-Datenbank verlieren, können Webex-App-Benutzer von Kundenorganisationen keine Bereiche in ihrer Personenliste mehr verwenden, die mit Schlüsseln von Ihrem KMS erstellt wurden. Wir haben aktuell keine Problemumgehung oder Lösung für dieses Problem und empfehlen Ihnen dringend, Ihre HDS-Dienste nicht herunterzufahren, sobald sie aktive Benutzerkonten verarbeiten.

  • Ein Client, der über eine bestehende ECDH-Verbindung zu einem KMS verfügt, hält die Verbindung für einen Zeitraum aufrecht (ca. eine Stunde).

Generieren einer PKCS12-Datei mit OpenSSL

Vorbereitungen

  • OpenSSL ist eines der Tools, mit denen die PKCS12-Datei im richtigen Format für das Laden in das HDS-Setuptool erstellt werden kann. Es gibt auch andere Verfahren, keines davon wird von uns bevorzugt.

  • Wenn Sie sich für die Verwendung von OpenSSL entscheiden, stellen wir Ihnen dieses Verfahren als Richtlinie zur Verfügung, um eine Datei zu erstellen, die die X.509-Zertifikatsanforderungen in X.509-Zertifikatsanforderungen erfüllt. Machen Sie sich mit diesen Anforderungen vertraut, bevor Sie fortfahren.

  • Installieren Sie OpenSSL in einer unterstützten Umgebung. Software und Dokumentation finden Sie auf https://www.openssl.org.

  • Erstellen Sie einen privaten Schlüssel.

  • Beginnen Sie mit diesem Verfahren, wenn Sie das Serverzertifikat von Ihrer Zertifizierungsstelle (CA, Certificate Authority) erhalten.

1

Wenn Sie das Zertifikat von der CA erhalten, speichern Sie es als hdsnode.pem.

2

Zeigen Sie das Zertifikat als Text an, und überprüfen Sie die Details.

openssl x509 -text -noout -in hdsnode.pem

3

Erstellen Sie in einem Text-Editor eine Zertifikatpaketdatei namens hdsnode-bundle.pem. Die Paketdatei muss das Serverzertifikat, alle CA-Zwischenzertifikate sowie die CA-Stammzertifikate im unten angegebenen Format enthalten:

-----BEGIN CERTIFICATE------ ### Serverzertifikat. ### -----END CERTIFICATE------- BEGIN CERTIFICATE----- ### Zwischenzertifikat. ### -----END CERTIFICATE-------BEGIN CERTIFICATE----- ### Stamm-CA-Zertifikat. ### -----END CERTIFICATE-----

4

Erstellen Sie die P12-Datei mit dem Anzeigenamen kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Überprüfen Sie die Zertifikatdetails.

  1. openssl pkcs12 -in hdsnode.p12

  2. Geben Sie ein Passwort an der Eingabeaufforderung ein, um den privaten Schlüssel zu verschlüsseln, sodass er in der Ausgabe aufgeführt wird. Überprüfen Sie dann, ob der private Schlüssel und das erste Zertifikat die folgenden Zeilen enthalten: friendlyName: kms-private-key.

    Beispiel:

    bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Schlüsselattribute:  PEM-Passphrase eingeben: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY-----  -----END ENCRYPTED PRIVATE KEY----- Bag Attribute friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE-----

Nächste Schritte

Kehren Sie zurück zu Voraussetzungen für Hybrid-Datensicherheit erfüllen. Sie verwenden die Datei hdsnode.p12 und das Passwort, das Sie dafür festgelegt haben, unter Erstellen einer Konfigurations-ISO für die HDS-Hosts.

Sie können diese Dateien wiederverwenden, um ein neues Zertifikat anzufordern, wenn das ursprüngliche Zertifikat abläuft.

Datenverkehr zwischen den HDS-Knoten und der Cloud

Metriksammlung von ausgehendem Datenverkehr

Die Hybrid-Datensicherheitsknoten senden bestimmte Metriken an die Webex-Cloud. Dazu gehören Systemmetriken für max. Heap, verbrauchter Heap, CPU-Auslastung und Threadanzahl; Metriken zu synchronen und asynchronen Threads; Metriken zu Warnungen, darunter auch ein Schwellenwert der verschlüsselten Verbindungen, Latenz oder eine Anforderungswarteschlangenlänge; Metriken zum Datenspeicher; und Metriken zu verschlüsselten Verbindungen. Die Knoten senden verschlüsseltes Schlüsselmaterial über einen Out-of-Band-Kanal (separat von der Anforderung).

Eingehender Datenverkehr

Die Hybrid-Datensicherheitsknoten erhalten die folgenden Arten von eingehendem Datenverkehr von der Webex-Cloud:

  • Verschlüsselungsanforderungen von Clients, die vom Verschlüsselungsdienst umgeleitet werden

  • Upgrades für die Knoten-Software

Konfigurieren von Tintenfisch für die Hybriddatensicherheit

WebSocket kann nicht über SquID Proxy verbunden werden

Squid-Proxys, die den HTTPS-Datenverkehr prüfen, können die Einrichtung von Websocket-Verbindungen (wss:) beeinträchtigen, die für Hybrid Data Security erforderlich ist. Diese Abschnitte geben Anweisungen, wie Sie verschiedene Versionen von Squid konfigurieren, um WSS zu ignorieren: Datenverkehr für den ordnungsgemäßen Ablauf der Services.

Squid 4 und 5

Fügen Sie die on_unsupported_protocol Richtlinie zu squid.conf hinzu:

on_unsupported_protocol Alle tunnel

Squid 3.5.27

Wir haben die Hybriddatensicherheit erfolgreich mit den folgenden Regeln getestet, die zu squid .conf hinzugefügt wurden. Diese Regeln können sich geändert werden, da wir Funktionen entwickeln und die WebEx Cisco aktualisieren.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 alle ssl_bump stare step2 alle ssl_bump bump step3 alle

Neue und geänderte Informationen

Neue und geänderte Informationen

In dieser Tabelle werden neue Funktionen, Änderungen an vorhandenen Inhalten und alle wichtigen Fehler beschrieben, die im Bereitstellungsleitfaden für Multi-Tenant-Hybrid-Datensicherheit behoben wurden.

Datum

Vorgenommenen Änderungen

08. Januar 2025

In Erste Einrichtung durchführen und Installationsdateien herunterladen wurde ein Hinweis hinzugefügt, dass das Klicken auf Einrichten auf der HDS-Karte in Partner Hub ein wichtiger Schritt des Installationsprozesses ist.

07. Januar 2025

Aktualisierte Anforderungen für virtuelle Gastgeber, Bereitstellungsaufgaben für Hybrid-Datensicherheit und Installieren der HDS-Host-OVA , um neue Anforderungen von ESXi 7.0 anzuzeigen.

13. Dezember 2024

Erste Veröffentlichung.

Multi-Tenant Hybrid-Datensicherheit deaktivieren

Multi-Tenant-HDS-Deaktivierungsaufgabenablauf

Führen Sie diese Schritte aus, um Multi-Tenant-HDS vollständig zu deaktivieren.

Vorbereitungen

Diese Aufgabe sollte nur von einem Partnervolladministrator ausgeführt werden.
1

Entfernen Sie alle Kunden aus allen Ihren Clustern, wie unter Mandantenorganisationen entfernen erwähnt.

2

Widerrufen Sie die CMKs aller Kunden, wie unter CMKs von Tenants, die aus HDS entfernt wurden erwähnt.

3

Entfernen Sie alle Knoten aus all Ihren Clustern, wie unter Einen Knoten entfernen erwähnt.

4

Löschen Sie alle Ihre Cluster aus Partner Hub mithilfe einer der folgenden beiden Methoden.

  • Klicken Sie auf den Cluster, den Sie löschen möchten, und wählen Sie Diesen Cluster löschen in der oberen rechten Ecke der Übersichtsseite.
  • Klicken Sie auf der Seite „Ressourcen“ auf der rechten Seite eines Clusters auf ... und wählen Sie Cluster entfernen aus.
5

Klicken Sie auf der Übersichtsseite zur Hybrid-Datensicherheit auf die Registerkarte Einstellungen und klicken Sie auf der HDS-Statuskarte auf HDS deaktivieren .

Erste Schritte mit der Multi-Tenant-Hybrid-Datensicherheit

Multi-Tenant Hybrid-Datensicherheit – Übersicht

Vom ersten Tag an stand die Datensicherheit im Mittelpunkt der Entwicklung der Webex-App. Der Eckpfeiler dieser Sicherheit ist die durchgängige Verschlüsselung von Inhalten, die durch die Interaktion der Webex-App-Clients mit dem Schlüsselverwaltungsdienst (Key Management Service, KMS) ermöglicht wird. Der KMS erstellt und verwaltet die Kryptografieschlüssel, mit denen die Clients ihre Nachrichten und Dateien dynamisch ver- und entschlüsseln.

Standardmäßig erhalten alle Webex-App-Kunden eine durchgängige Verschlüsselung mit dynamischen Schlüsseln, die im Cloud-KMS im Sicherheitsbereich von Cisco gespeichert werden. Mit Hybrid Data Security werden KMS und andere Sicherheitsfunktionen in das Rechenzentrum Ihres Unternehmens verschoben, damit die Schlüssel zu ihren verschlüsselten Inhalten ausschließlich bei Ihnen liegen.

Multi-Tenant Hybrid Data Security ermöglicht es Unternehmen, HDS über einen vertrauenswürdigen lokalen Partner zu nutzen, der als Dienstleister fungieren und lokale Verschlüsselungs- und andere Sicherheitsdienste verwalten kann. Diese Einrichtung ermöglicht der Partnerorganisation die vollständige Kontrolle über die Bereitstellung und Verwaltung von Verschlüsselungscodes und stellt sicher, dass die Benutzerdaten von Kundenorganisationen vor externem Zugriff geschützt sind. Partnerorganisationen richten HDS-Instanzen ein und erstellen nach Bedarf HDS-Cluster. Im Gegensatz zu einer normalen HDS-Bereitstellung, die auf eine einzelne Organisation beschränkt ist, kann jede Instanz mehrere Kundenorganisationen unterstützen.

Partnerorganisationen haben zwar die Kontrolle über die Bereitstellung und Verwaltung, sie haben jedoch keinen Zugriff auf von Kunden generierte Daten und Inhalte. Dieser Zugriff ist auf Kundenorganisationen und ihre Benutzer beschränkt.

Dadurch können kleinere Organisationen auch HDS nutzen, da Schlüsselverwaltungsdienst und Sicherheitsinfrastruktur wie Rechenzentren im Besitz des vertrauenswürdigen lokalen Partners sind.

So bietet Multi-Tenant Hybrid Data Security Datensouveränität und Datenkontrolle

  • Benutzergenerierte Inhalte sind wie Cloud-Dienstanbieter vor externem Zugriff geschützt.
  • Vertrauenswürdige Partner vor Ort verwalten die Verschlüsselungscodes von Kunden, mit denen sie bereits eine bestehende Beziehung haben.
  • Option für lokalen technischen Support, falls vom Partner bereitgestellt.
  • Unterstützt Meeting-, Messaging- und Calling-Inhalte.

Dieses Dokument soll Partnerorganisationen bei der Einrichtung und Verwaltung von Kunden in einem Multi-Tenant-Hybrid-Datensicherheitssystem unterstützen.

Rollen in der Multi-Tenant-Hybrid-Datensicherheit

  • Partner-Volladministrator – Kann Einstellungen für alle Kunden verwalten, die der Partner verwaltet. Außerdem können Sie bereits vorhandenen Benutzern in der Organisation Administratorrollen zuweisen und bestimmte Kunden für die Verwaltung durch Partneradministratoren zuweisen.
  • Partneradministrator – Kann Einstellungen für Kunden verwalten, die der Administrator bereitgestellt hat oder die dem Benutzer zugewiesen wurden.
  • Volladministrator – Administrator der Partnerorganisation, der berechtigt ist, Aufgaben auszuführen, z. B. die Änderung von Organisationseinstellungen, die Verwaltung von Lizenzen und das Zuweisen von Rollen.
  • Durchgängige Multi-Tenant-HDS-Einrichtung und -Verwaltung aller Kundenorganisationen – Partner-Volladministrator und Volle Administratorrechte erforderlich.
  • Verwaltung zugewiesener Mandanten-Organisationen – Partneradministrator und volle Administratorrechte erforderlich.

Sicherheitsbereichsarchitektur

Die Webex-Cloud-Architektur unterteilt verschiedene Arten von Diensten in separate Bereiche oder Vertrauensdomänen, wie unten dargestellt.

Bereiche der Trennung (ohne Hybrid-Datensicherheit)

Um die Hybrid-Datensicherheit besser zu verstehen, schauen wir uns zunächst diesen reinen Cloud-Fall an, bei dem Cisco alle Funktionen in seinen Cloud-Bereichen bereitstellt. Der Identitätsdienst, der einzige Ort, an dem Benutzer direkt mit ihren persönlichen Informationen in Verbindung gebracht werden können, wie z. B. die E-Mail-Adresse, ist logisch und physisch vom Sicherheitsbereich in Rechenzentrum B getrennt. Er ist wiederum von dem Bereich getrennt, in dem verschlüsselte Inhalte letztendlich gespeichert werden, in Rechenzentrum C.

In diesem Diagramm ist der Client die Webex-App, die auf dem Laptop eines Benutzers ausgeführt wird und sich mit dem Identitätsdienst authentifiziert hat. Wenn der Benutzer eine Nachricht verfasst, die er an einen Bereich senden möchte, finden folgende Schritte statt:

  1. Der Client stellt eine sichere Verbindung zum Schlüsselverwaltungsdienst her, und fordert anschließend einen Schlüssel zum Verschlüsseln der Nachricht an. Die sichere Verbindung verwendet ECDH und der Schlüsselverwaltungsdienst verschlüsselt den Schlüssel mit einem AES-256-Hauptschlüssel.

  2. Die Nachricht wird verschlüsselt, bevor sie den Client verlässt. Der Client sendet sie an den Indexdienst, der verschlüsselte Suchindizes erstellt, um zukünftige Suchvorgänge nach Inhalten zu unterstützen.

  3. Die verschlüsselte Nachricht wird an den Compliancedienst gesendet, damit Complianceprüfungen vorgenommen werden können.

  4. Die verschlüsselte Nachricht wird im Speicherbereich abgelegt.

Wenn Sie die Hybrid-Datensicherheit bereitstellen, verschieben Sie die Sicherheitsbereichsfunktionen (KMS, Indexierung und Compliance) in Ihr lokales Rechenzentrum. Die anderen Cloud-Dienste, aus denen Webex besteht (einschließlich Identitätsspeicher und Inhaltsspeicher), verbleiben in den Bereichen von Cisco.

Zusammenarbeit mit anderen Organisationen

Benutzer in Ihrer Organisation können die Webex-App regelmäßig verwenden, um mit externen Teilnehmern in anderen Organisationen zusammenzuarbeiten. Wenn einer Ihrer Benutzer einen Schlüssel für einen Bereich anfordert, der Ihrer Organisation gehört (da er von einem Ihrer Benutzer erstellt wurde) sendet Ihr Schlüsselverwaltungsdienst den Schlüssel über einen mit ECDH gesicherten Kanal an den Client. Wenn eine andere Organisation jedoch den Schlüssel für den Bereich besitzt, leitet Ihr KMS die Anforderung über einen separaten ECDH-Kanal an die Webex-Cloud weiter, um den Schlüssel vom entsprechenden KMS zu erhalten, und gibt den Schlüssel dann an Ihren Benutzer im ursprünglichen Kanal zurück.

Der KMS-Dienst, der unter Organisation A ausgeführt wird, überprüft die Verbindungen zu KMSs in anderen Organisationen mit x.509-PKI-Zertifikaten. Weitere Informationen zur Erzeugung eines x.509-Zertifikats für die Verwendung mit Ihrer Multi-Tenant-Hybrid-Datensicherheitsbereitstellung finden Sie unter Vorbereiten Ihrer Umgebung .

Erwartungen an die Bereitstellung der Hybrid-Datensicherheit

Eine Bereitstellung der Hybrid-Datensicherheit erfordert ein erhebliches Engagement und ein Bewusstsein für die Risiken, die mit dem Besitz von Verschlüsselungscodes einhergehen.

Zur Bereitstellung der Hybrid-Datensicherheit müssen Sie Folgendes bereitstellen:

Der vollständige Verlust der Konfigurations-ISO, die Sie für Hybrid Data Security erstellen, oder der von Ihnen bereitgestellten Datenbank führt zum Verlust der Schlüssel. Der Schlüsselverlust verhindert, dass Benutzer Bereichsinhalte und andere verschlüsselte Daten in der Webex-App entschlüsseln. Falls dies geschieht, können Sie eine neue Bereitstellung erstellen, es werden dabei jedoch nur neue Inhalte angezeigt. Gehen Sie folgendermaßen vor, damit Sie nicht den Zugriff auf die Daten verlieren:

  • Verwalten Sie die Sicherung und Wiederherstellung der Datenbank und die ISO-Konfigurationsdatei.

  • Bereiten Sie sich darauf vor, eine schnelle Notfallwiederherstellung durchzuführen, wenn eine Katastrophe eintritt, z. B. ein Fehler der Datenbank oder ein Absturz des Rechenzentrums.

Es gibt keinen Mechanismus, um Schlüssel nach einer HDS-Bereitstellung zurück in die Cloud zu verschieben.

Übergeordneter Einrichtungsprozess

Dieses Dokument behandelt die Einrichtung und Verwaltung einer Multi-Tenant-Hybrid-Datensicherheitsbereitstellung:

  • Hybrid-Datensicherheit einrichten – Dazu gehört die Vorbereitung der erforderlichen Infrastruktur und die Installation der Hybrid-Datensicherheitssoftware, der Aufbau eines HDS-Clusters, das Hinzufügen von Tenant-Organisationen zum Cluster und die Verwaltung ihrer Customer Main Keys (CMKs). Damit können alle Benutzer Ihrer Kundenorganisationen Ihr Hybrid-Datensicherheitscluster für Sicherheitsfunktionen verwenden.

    Die Einrichtungs-, Aktivierungs- und Verwaltungsphase werden in den nächsten drei Kapiteln ausführlich behandelt.

  • Aufrechterhaltung Ihrer Hybrid-Datensicherheitsbereitstellung – Die Webex-Cloud stellt automatisch laufende Upgrades bereit. Ihre IT-Abteilung kann Ebene-1-Support anbieten und bei Bedarf den Cisco-Support hinzuziehen. Sie können Benachrichtigungen auf dem Bildschirm verwenden und E-Mail-basierte Warnungen in Partner Hub einrichten.

  • Allgemeine Warnungen, Schritte zur Fehlerbehebung und bekannte Probleme verstehen: Wenn bei der Bereitstellung oder Verwendung von Hybrid-Datensicherheit Probleme auftreten, können Sie das letzte Kapitel dieses Leitfadens und der Anhang „Bekannte Probleme“ bei der Ermittlung und Behebung des Problems helfen.

Bereitstellungsmodell für die Hybrid-Datensicherheit

Im Rechenzentrum Ihres Unternehmens stellen Sie die hybride Datensicherheit als ein Cluster von Knoten auf separaten virtuellen Hosts bereit. Die Knoten kommunizieren mit der Webex Cloud über sichere Websockets und sicheres HTTP.

Während des Installationsvorgangs stellen wir Ihnen die OVA-Datei bereit, mit der Sie die virtuelle Appliance auf den von Ihnen angegebenen VMs einrichten können. Mit dem HDS-Setuptool erstellen Sie eine benutzerdefinierte ISO-Clusterkonfigurationsdatei, die Sie bei den einzelnen Knoten mounten. Der Hybrid-Datensicherheitscluster verwendet den von Ihnen bereitgestellten Syslogd-Server und die PostgreSQL- oder Microsoft SQL Server-Datenbank. (Sie konfigurieren die Syslogd- und Datenbankverbindungsdetails im HDS Setup Tool.)

Bereitstellungsmodell für die Hybrid-Datensicherheit

Die Mindestanzahl von Knoten in einem Cluster lautet zwei. Wir empfehlen mindestens drei pro Cluster. Die Tatsache, dass mehrere Knoten vorhanden sind, stellt sicher, dass der Dienst während eines Software-Upgrades oder anderer Wartungsaktivitäten auf einem Knoten nicht unterbrochen wird. (Die Webex-Cloud aktualisiert jeweils nur einen Knoten.)

Alle Knoten in einem Cluster greifen auf denselben Schlüsseldatenspeicher zu und sie protokollieren Aktivitäten auf demselben Syslog-Server. Die Knoten selbst besitzen keinen Status und verarbeiten Schlüsselanfragen nach dem Round-Robin-Verfahren, wie von der Cloud vorgegeben.

Knoten werden aktiv, wenn Sie sie in Partner Hub registrieren. Um einen einzelnen Knoten zu deaktivieren, können Sie die Registrierung aufheben und ggf. zu einem späteren Zeitpunkt erneut registrieren.

Standby-Rechenzentrum für die Notfallwiederherstellung

Während der Bereitstellung richten Sie ein sicheres Standby-Rechenzentrum ein. Bei einem Absturz des Rechenzentrums können Sie die Bereitstellung manuell auf das Standby-Rechenzentrum umstellen.

Vor dem Failover verfügt Rechenzentrum A über aktive HDS-Knoten und die primäre PostgreSQL- oder Microsoft SQL Server-Datenbank, während B über eine Kopie der ISO-Datei mit zusätzlichen Konfigurationen, in der Organisation registrierte VMs und eine Standby-Datenbank verfügt. Nach dem Failover verfügt Rechenzentrum B über aktive HDS-Knoten und die primäre Datenbank, während A über nicht registrierte VMs und eine Kopie der ISO-Datei verfügt und sich die Datenbank im Standby-Modus befindet.
Manuelles Failover zum Standby-Rechenzentrum

Die Datenbanken der aktiven und Standby-Rechenzentren sind synchronisiert, wodurch die Zeit für die Durchführung des Failovers minimiert wird.

Die aktiven Hybrid-Datensicherheitsknoten müssen sich immer im selben Rechenzentrum wie der aktive Datenbankserver befinden.

Proxy-Support

Die Hybriddatensicherheit unterstützt explizite, transparente Inspektionen und Nichtinspizierungsproxys. Sie können diese Proxys an Ihre Bereitstellung binden, damit Sie den Datenverkehr aus dem Unternehmen heraus in die-Cisco sichern und überwachen können. Sie können eine Netzwerkverwaltung auf den Knoten für Zertifikats-Management verwenden und den Status der gesamten Konnektivität überprüfen, nachdem Sie den Proxy auf den Knoten eingerichtet haben.

Die Hybrid Data Sicherheitshinweis unterstützt die folgenden Proxyoptionen:

  • Kein Proxy: Der Standardwert, wenn Sie nicht die Konfiguration von Vertrauensspeicher und Proxy für die Integration eines Proxys beim Einrichten des HDS-Knotens verwenden. Es ist keine Zertifikatsaktualisierung erforderlich.

  • Transparenter Proxy ohne Prüfung – Die Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert und sollten keine Änderungen erfordern, um mit einem Proxy ohne Prüfung zu arbeiten. Es ist keine Zertifikatsaktualisierung erforderlich.

  • Transparentes Tunneln oder Proxyprüfen: Die Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert. Es sind keine Änderungen bei der Konfigurationänderung von http oder HTTPS Allerdings benötigen die Knoten eine Stammzertifikat, sodass Sie dem Proxy Vertrauen. Die Inspektion von Proxys wird in der Regel von ihm verwendet, um Strategien durchzusetzen, welche Websites besichtigt werden können und welche Arten von Inhalten nicht zulässig sind. Diese Art von Proxy entschlüsselt den gesamten Datenverkehr (auch HTTPS).

  • Expliziter Proxy: Mit explizitem Proxy teilen Sie den HDS-Knoten mit, welcher Proxyserver und welches Authentifizierungsschema verwendet werden sollen. Um einen expliziten Proxy zu konfigurieren, müssen Sie die folgenden Informationen zu den einzelnen Knoten eingeben:

    1. Proxy-IP/FQDN: Adresse, die verwendet werden kann, um die Proxy-Maschine zu erreichen.

    2. Proxy-Port: Eine Portnummer, die der Proxy verwendet, um nach proxyem Datenverkehr zu suchen.

    3. Proxy-Protokoll: Wählen Sie je nachdem, was Ihr Proxy-Server unterstützt, zwischen den folgenden Protokollen aus:

      • – Und steuert alle Anfragen, die der Client sendet.

      • HTTPS – stellt einen Kanal zum Server bereit. Der Client erhält und prüft das Zertifikat des Servers.

    4. Authentifizierungstyp: Wählen Sie aus den folgenden Authentifizierungstypen aus:

      • Keine: Es ist keine weitere Authentifizierung erforderlich.

        Verfügbar, wenn Sie entweder http oder HTTPS als Proxyprotokoll auswählen.

      • Basic – wird für einen HTTP-Benutzeragenten verwendet, um bei einer Anfrage einen Benutzernamen und ein Kennwort anzugeben. Zertifikatsformat verwendet.

        Verfügbar, wenn Sie entweder http oder HTTPS als Proxyprotokoll auswählen.

        Hiermit müssen Sie die Benutzername und das Passwort eines jeden Knotens eingeben.

      • Digest – wird verwendet, um das Konto vor dem Senden sensibler Informationen zu bestätigen. Gibt eine Hashfunktion auf die Benutzername und das Passwort ein, bevor Sie über das Netzwerk senden.

        Nur verfügbar, wenn Sie HTTPS als Proxyprotokoll auswählen.

        Hiermit müssen Sie die Benutzername und das Passwort eines jeden Knotens eingeben.

Beispiel für hybride Datensicherheitsknoten und Proxy

Dieses Diagramm zeigt eine Beispielverbindung zwischen der Hybriddatensicherheit, dem Netzwerk und einem Proxy. Für die transparente Inspektion und HTTPS explizite Überprüfung der Proxyoptionen müssen dieselben Stammzertifikat auf dem Proxy und auf den Hybriden Datensicherheitsknoten installiert sein.

Externer DNS Auflösungsmodus blockiert (explizite Proxykonfigurationen)

Wenn Sie einen Knoten registrieren oder die Proxykonfiguration des Knotens überprüfen, testet das Verfahren die DNS und die Konnektivität der Cisco WebEx. Bei Bereitstellungen mit expliziten Proxykonfigurationen, die keine externe DNS für interne Clients zulassen, wenn der Knoten die DNS-Server nicht Abfragen kann, geht er automatisch in den gesperrten externen DNS-Server. In diesem Modus können Knotenregistrierungen und andere Proxyverbindungstests fortgeführt werden.

Umgebung vorbereiten

Anforderungen für die Multi-Tenant-Hybrid-Datensicherheit

Cisco Webex-Lizenzanforderungen

So stellen Sie Multi-Tenant Hybrid Data Security bereit:

  • Partnerorganisationen: Wenden Sie sich an Ihren Cisco-Partner oder Account Manager und stellen Sie sicher, dass die Multi-Tenant-Funktion aktiviert ist.

  • Mandantenorganisationen: Sie benötigen Pro Pack für Cisco Webex Control Hub. (Siehe https://www.cisco.com/go/pro-pack.)

Docker Desktop-Anforderungen

Bevor Sie Ihre HDS-Knoten installieren, benötigen Sie Docker Desktop, um ein Setup-Programm auszuführen. Docker hat kürzlich sein Lizenzierungsmodell aktualisiert. Ihre Organisation benötigt möglicherweise ein kostenpflichtiges Abonnement für Docker Desktop. Weitere Informationen finden Sie im Docker-Blog-Post: " Docker aktualisiert und erweitert unsere Produktabonnements".

Anforderungen an das X.509-Zertifikat

Diese Zertifikatskette muss die folgenden Anforderungen erfüllen:

Tabelle 1: X.509-Zertifikatsanforderungen für die Hybrid-Datensicherheitsbereitstellung

Anforderung

Details

  • Von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert

Standardmäßig vertrauen wir den Zertifizierungsstellen in der Mozilla-Liste (mit Ausnahme von WoSign und StartCom) unter https://wiki.mozilla.org/CA:IncludedCAs.

  • Trägt einen CN-Domänennamen (Common Name), der Ihre Hybrid-Datensicherheitsbereitstellung identifiziert

  • Ist kein Platzhalterzertifikat

Der CN muss nicht erreichbar und kein Live-Host sein. Wir empfehlen die Verwendung eines Namens, der Ihre Organisation widerspiegelt, z. B. hds.unternehmen.com.

Der CN darf kein * (Platzhalter) enthalten.

Der CN wird verwendet, um die Hybrid-Datensicherheitsknoten für Webex-App-Clients zu verifizieren. Alle Hybrid-Datensicherheitsknoten in Ihrem Cluster verwenden das gleiche Zertifikat. Ihr KMS identifiziert sich selbst unter Verwendung der CN-Domäne, nicht einer beliebigen Domäne, die in den x.509v3-SAN-Feldern definiert ist.

Nachdem Sie einen Knoten mit diesem Zertifikat registriert haben, kann der CN-Domänenname nicht mehr geändert werden.

  • Keine SHA1-Signatur

Die KMS-Software unterstützt keine SHA1-Signaturen zum Validieren von Verbindungen zu KMS anderer Organisationen.

  • Als passwortgeschützte PKCS #12-Datei formatiert

  • Verwenden Sie den Anzeigenamen kms-private-key zum Kennzeichnen des Zertifikats, des privaten Schlüssels und aller Zwischenzertifikate, die hochgeladen werden sollen.

Sie können das Format Ihres Zertifikats mithilfe einer Konvertierungssoftware wie OpenSSL ändern.

Sie müssen das Passwort eingeben, wenn Sie das HDS-Setuptool ausführen.

Die KMS-Software erzwingt keine Schlüsselnutzung und beschränkt erweiterte Schlüsselnutzung nicht. Einige Zertifizierungsstellen erfordern Beschränkungen einer erweiterten Schlüsselnutzung für jedes Zertifikat, wie z. B. Server-Authentifizierung. Die Server-Authentifizierung oder andere Einstellungen zu verwenden, ist zulässig.

Anforderungen für virtuelle Gastgeber

Die virtuellen Hosts, die Sie als Hybrid-Datensicherheitsknoten in Ihrem Cluster einrichten, haben die folgenden Anforderungen:

  • Mindestens zwei separate Hosts (3 empfohlen) befinden sich im gleichen sicheren Rechenzentrum

  • VMware ESXi 7.0 (oder höher) installiert und ausgeführt.

    Sie müssen ein Upgrade durchführen, wenn Sie über eine frühere Version von ESXi verfügen.

  • Mindestens 4 vCPUs, 8 GB Hauptspeicher, 30 GB lokaler Festplattenspeicher pro Server

Datenbankserveranforderungen

Erstellen Sie eine neue Datenbank für die Schlüsselspeicherung. Verwenden Sie nicht die Standarddatenbank. Die HDS-Anwendungen erstellen bei Installation das Datenbankschema.

Für den Datenbankserver gibt es zwei Optionen. Die Anforderungen für jede dieser Komponenten lauten wie folgt:

Tabelle 2. Anforderungen für Datenbankserver nach Datenbanktyp

PostgreSQL

Microsoft SQL-Server

  • PostgreSQL 14, 15 oder 16, installiert und ausgeführt.

  • SQL Server 2016, 2017 oder 2019 (Enterprise oder Standard) installiert.

    SQL Server 2016 erfordert Service Pack 2 und kumulatives Update 2 oder höher.

Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichend Festplattenkapazität und Überwachung zur Sicherstellung, dass dieser nicht überschritten wird (2 TB empfohlen, falls die Datenbank über längere Zeit ohne Erweiterung der Festplattenkapazität ausgeführt werden soll)

Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichend Festplattenkapazität und Überwachung zur Sicherstellung, dass dieser nicht überschritten wird (2 TB empfohlen, falls die Datenbank über längere Zeit ohne Erweiterung der Festplattenkapazität ausgeführt werden soll)

Die HDS-Software installiert derzeit die folgenden Treiberversionen für die Kommunikation mit dem Datenbankserver:

PostgreSQL

Microsoft SQL-Server

Der Treiber Postgres JDBC 42.2.5

SQL Server JDBC-Treiber 4.6

Diese Treiberversion unterstützt SQL Server Always On (Always On Failover Cluster Instances und Always On-Verfügbarkeitsgruppen).

Zusätzliche Anforderungen für die Windows-Authentifizierung gegen Microsoft SQL Server

Wenn Sie möchten, dass HDS-Knoten die Windows-Authentifizierung verwenden, um Zugriff auf Ihre Keystore-Datenbank auf Microsoft SQL Server zu erhalten, benötigen Sie die folgende Konfiguration in Ihrer Umgebung:

  • Die HDS-Knoten, die Active Directory-Infrastruktur und der MS SQL Server müssen alle mit dem NTP synchronisiert werden.

  • Das Windows-Konto, das Sie auf HDS-Knoten bereitstellen, muss Lese-/Schreibzugriff auf die Datenbank haben.

  • Die DNS-Server, die Sie für HDS-Knoten bereitstellen, müssen in der Lage sein, Ihr Key Distribution Center (KDC) aufzulösen.

  • Sie können die HDS-Datenbankinstanz auf Ihrem Microsoft SQL Server als Service Principal Name (SPN) in Ihrem Active Directory registrieren. Siehe Registrieren eines Dienstprinzipalnamens für Kerberos-Verbindungen.

    Das HDS-Setup-Tool, der HDS-Launcher und das lokale KMS müssen für den Zugriff auf die Keystore-Datenbank die Windows-Authentifizierung verwenden. Sie verwenden die Details aus Ihrer ISO-Konfiguration, um die SPN zu konstruieren, wenn sie den Zugriff mit der Kerberos-Authentifizierung anfordern.

Anforderungen an externe Konnektivität

Konfigurieren Sie Ihre Firewall so, dass die folgende Konnektivität für die HDS-Anwendungen zugelassen ist:

Anwendung

Protokoll

Port

Richtung von der App

Ziel

Hybrid-Datensicherheitsknoten

TCP

443

Ausgehend HTTPS und WSS

  • Webex-Server:

    • *.wbx2.com

    • *.ciscospark.com

  • Alle Common Identity-Hosts

  • Weitere URLs, die für die Hybrid-Datensicherheit in der Tabelle Zusätzliche URLs für Webex-Hybriddienste unter Netzwerkanforderungen für Webex-Dienste aufgeführt sind

HDS-Einrichtungstool

TCP

443

Ausgehendes HTTPS

  • *.wbx2.com

  • Alle Common Identity-Hosts

  • hub.docker.com

Die Hybrid-Datensicherheitsknoten funktionieren mit NAT (Network Access Translation) oder hinter einer Firewall, solange NAT oder Firewall die erforderlichen ausgehenden Verbindungen zu den in der vorangehenden Tabelle aufgeführten Domänenzielen zulässt. Für eingehende Verbindungen zu den Hybrid-Datensicherheitsknoten sollten keine Ports aus dem Internet sichtbar sein. In Ihrem Rechenzentrum benötigen Clients aus administrativen Gründen Zugriff auf die Hybrid-Datensicherheitsknoten auf den TCP-Ports 443 und 22.

Die URLs für die CI-Hosts (Common Identity) sind regionsspezifisch. Dies sind die aktuellen CI-Hosts:

Region

Host-URLs der allgemeinen Identität

Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Europäische Union

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Vereinigte Arabische Emirate

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Vorgaben für Proxy-Server

  • Wir unterstützen offiziell die folgenden Proxylösungen, die in ihre Hybriden Sicherheitsknoten integriert werden können.

    • Transparenter Proxy – Cisco Web Sicherheitsgerät (WSA).

    • Explizite –.

      Squid-Proxys, die den HTTPS-Datenverkehr untersuchen, können die Einrichtung von Websocket-Verbindungen (wss:) beeinträchtigen. Informationen zur Behebung dieses Problems finden Sie unter Konfigurieren von Squid-Proxys für Hybrid-Datensicherheit.

  • Wir unterstützen die folgenden Authentifizierungskombinationen für explizite Proxys:

    • Keine Authentifizierung mit http oder HTTPS

    • Grundlegende Authentifizierung mit http oder HTTPS

    • Verdauungsauthentifizierung nur mit HTTPS

  • Um einen transparenten Proxy oder einen HTTPS expliziten Proxy zu erhalten, müssen Sie eine Kopie des Stammzertifikat des Stellvertreters besitzen. Die Bereitstellungsanweisungen in diesem Handbuch zeigen Ihnen, wie Sie die Kopie in die Vertrauensspeicher der Hybriden Datensicherheitsknoten hochladen können.

  • Das Netzwerk, das die HDS Nodes hostet, muss so konfiguriert sein, dass es den ausgehenden TCP Traffic auf Port 443 durch den Proxy zwingt

  • Proxys, die den Webverkehr inspizieren, können die Websteckverbindung beeinträchtigen. Wenn dieses Problem auftritt, wird das Problem durch Umgehung des Datenverkehrs zu wbx2.com und ciscospark.com gelöst.

Erfüllen der Voraussetzungen für die Hybrid-Datensicherheit

Stellen Sie mit dieser Checkliste sicher, dass Sie bereit für die Installation und Konfiguration Ihres Hybrid-Datensicherheitsclusters sind.
1

Stellen Sie sicher, dass Ihre Partnerorganisation die Multi-Tenant-HDS-Funktion aktiviert hat, und sichern Sie sich die Anmeldeinformationen für ein Konto mit vollen Partneradministratorrechten und vollen Administratorrechten. Stellen Sie sicher, dass Ihre Webex-Kundenorganisation für Pro Pack für Cisco Webex Control Hub aktiviert ist. Wenden Sie sich an Ihren Cisco-Partner oder an Ihren Account Manager, falls Sie Hilfe bei diesem Verfahren benötigen.

Kundenorganisationen sollten keine vorhandene HDS-Bereitstellung haben.

2

Wählen Sie einen Domänennamen für Ihre HDS-Bereitstellung (z. B. hds.company.com) aus und rufen Sie eine Zertifikatskette ab, die ein X.509-Zertifikat, einen privaten Schlüssel und alle Zwischenzertifikate enthält. Die Zertifikatskette muss die Anforderungen in X.509-Zertifikatsanforderungen erfüllen.

3

Bereiten Sie identische virtuelle Hosts vor, die Sie als Hybrid-Datensicherheitsknoten in Ihrem Cluster einrichten werden. Sie benötigen mindestens zwei separate Hosts (3 empfohlen), die sich im selben sicheren Rechenzentrum befinden und die Anforderungen unter Anforderungen für virtuelle Hosts erfüllen.

4

Bereiten Sie den Datenbankserver vor, der als Schlüsseldatenspeicher für den Cluster dient, gemäß den Anforderungen für den Datenbankserver. Der Datenbankserver muss sich im sicheren Rechenzentrum mit den virtuellen Hosts befinden.

  1. Erstellen Sie eine Datenbank für die Schlüsselspeicherung. (Sie müssen diese Datenbank erstellen. Verwenden Sie nicht die Standarddatenbank. Die HDS-Anwendungen erstellen bei Installation das Datenbankschema.)

  2. Sammeln Sie die Informationen, die die Knoten zur Kommunikation mit dem Datenbankserver benötigen:

    • Der Hostname oder die IP-Adresse (Host) und der Port

    • Der Name der Datenbank (dbname) zur Schlüsselspeicherung

    • Der Benutzername und das Kennwort eines Benutzers mit allen Rechten in der Schlüsseldatenbank

5

Richten Sie für eine schnelle Notfallwiederherstellung eine Backup-Umgebung in einem anderen Rechenzentrum ein. Die Backup-Umgebung spiegelt die Produktionsumgebung von VMs und eines Backup-Datenbankservers wider. Wenn beispielsweise in der Produktion 3 VMs HDS-Knoten ausführen, sollte die Backup-Umgebung 3 VMs haben.

6

Richten Sie einen syslog-Host ein, um Protokolle aus den Knoten im Cluster zu sammeln. Dokumentieren Sie dessen Netzwerkadresse und syslog-Port (Standard ist UDP 514).

7

Erstellen Sie eine sichere Backup-Richtlinie für die Hybrid-Datensicherheitsknoten, den Datenbankserver und den Syslog-Host. Um einen nicht behebbaren Datenverlust zu vermeiden, müssen Sie mindestens die Datenbank und die für die Hybrid-Datensicherheitsknoten generierte Konfigurations-ISO-Datei sichern.

Da auf den Hybrid-Datensicherheitsknoten die für die Ver- und Entschlüsselung von Inhalten verwendeten Schlüssel gespeichert werden, führt das Versäumnis, eine betriebliche Bereitstellung aufrechtzuerhalten, zum NICHT BEHEBBAREN VERLUST dieser Inhalte.

Webex-App-Clients speichern ihre Schlüssel im Zwischenspeicher, sodass ein Ausfall möglicherweise nicht sofort spürbar ist, aber mit der Zeit offensichtlich wird. Vorübergehende Ausfälle sind unvermeidlich, aber behebbar. Bei einem vollständigen Verlust (keine Backups verfügbar) entweder der Datenbank oder der ISO-Konfigurationsdatei gehen jedoch Kundendaten unwiederbringlich verloren. Von den Betreibern der Hybrid-Datensicherheitsknoten wird erwartet, dass sie häufige Sicherungen der Datenbank und der Konfigurations-ISO-Datei erstellen und im Falle eines katastrophalen Ausfalls das Rechenzentrum für die Hybrid-Datensicherheit neu erstellen.

8

Stellen Sie sicher, dass Ihre Firewall-Konfiguration eine Verbindung für Ihre Hybrid-Datensicherheitsknoten ermöglicht, wie unter Externe Verbindungsanforderungen beschrieben.

9

Installieren Sie Docker ( https://www.docker.com) auf jedem lokalen Computer, auf dem ein unterstütztes Betriebssystem ausgeführt wird (Microsoft Windows 10 Professional, Enterprise 64-Bit oder Mac OSX Yosemite 10.10.3 oder höher) und ein Webbrowser, der unter http://127.0.0.1:8080. darauf zugreifen kann.

Mit der Docker-Instanz können Sie das HDS Setup Tool herunterladen und ausführen, das die lokalen Konfigurationsinformationen für alle Hybrid-Datensicherheitsknoten erstellt. Möglicherweise benötigen Sie eine Docker Desktop-Lizenz. Weitere Informationen finden Sie unter Anforderungen für Docker Desktop .

Um das HDS Setup Tool zu installieren und auszuführen, muss der lokale Computer über die unter Anforderungen an externe Konnektivität beschriebenen Konnektivität verfügen.

10

Wenn Sie einen Proxy mit Hybrid Data Security integrieren, stellen Sie sicher, dass er die Anforderungen für den Proxy-Server erfüllt.

Hybrid-Datensicherheitscluster einrichten

Ablauf der Bereitstellungsaufgabe für die Hybrid-Datensicherheit

Vorbereitungen

1

Erste Einrichtung durchführen und Installationsdateien herunterladen

Laden Sie die OVA-Datei für eine spätere Verwendung auf Ihren lokalen Computer herunter.

2

Erstellen einer ISO-Konfigurationsdatei für die HDS-Hosts

Erstellen Sie mit dem HDS Setup Tool eine ISO-Konfigurationsdatei für die Hybrid-Datensicherheitsknoten.

3

Installieren des HDS Host OVA

Erstellen Sie eine virtuelle Maschine aus der OVA-Datei und führen Sie eine erste Konfiguration durch, z. B. Netzwerkeinstellungen.

Die Option zum Konfigurieren der Netzwerkeinstellungen während der OVA-Bereitstellung wurde mit ESXi 7.0 getestet. In früheren Versionen ist diese Option möglicherweise nicht verfügbar.

4

Einrichten der Hybrid-Datensicherheits-VM

Melden Sie sich bei der VM-Konsole an und legen Sie die Anmeldeinformationen fest. Konfigurieren Sie die Netzwerkeinstellungen für den Knoten, falls Sie diese bei der OVA-Bereitstellung nicht konfiguriert haben.

5

Hochladen und Mounten der HDS-Konfigurations-ISO

Konfigurieren Sie die VM aus der ISO-Konfigurationsdatei, die Sie mit dem HDS Setup Tool erstellt haben.

6

Konfigurieren des HDS Knotens für Proxyintegration

Wenn für die Netzwerkumgebung eine Proxy-Konfiguration erforderlich ist, geben Sie den Proxy-Typ an, den Sie für den Knoten verwenden möchten, und fügen Sie das Proxy-Zertifikat ggf. zum Vertrauensspeicher hinzu.

7

Ersten Knoten im Cluster registrieren

Registrieren Sie die VM in der Cisco Webex Cloud als Hybrid-Datensicherheitsknoten.

8

Weitere Knoten erstellen und registrieren

Schließen Sie die Cluster-Einrichtung ab.

9

Aktivieren Sie Multi-Tenant-HDS in Partner Hub.

Aktivieren Sie HDS und verwalten Sie Mandantenorganisationen in Partner Hub.

Erste Einrichtung durchführen und Installationsdateien herunterladen

Bei dieser Aufgabe laden Sie eine OVA-Datei auf Ihren Computer herunter (nicht auf die Server, die Sie als Hybrid-Datensicherheitsknoten eingerichtet haben). Sie können diese Datei zu einem späteren Zeitpunkt im Installationsprozess verwenden.

1

Melden Sie sich bei Partner Hub an und klicken Sie auf Dienste.

2

Suchen Sie im Abschnitt „Cloud-Dienste“ nach der Hybrid-Datensicherheitskarte und klicken Sie auf Einrichten.

Das Klicken auf Einrichten in Partner Hub ist entscheidend für den Bereitstellungsprozess. Fahren Sie mit der Installation nicht fort, ohne diesen Schritt abzuschließen.

3

Klicken Sie auf Ressource hinzufügen und dann auf OVA-Datei herunterladen auf der Karte Software installieren und konfigurieren .

Ältere Versionen des Softwarepakets (OVA) sind mit den neuesten Upgrades für die Hybrid-Datensicherheit nicht kompatibel. Dies kann zu Problemen beim Upgrade der Anwendung führen. Stellen Sie sicher, dass Sie die neueste Version der OVA-Datei herunterladen.

Sie können die OVA auch jederzeit im Abschnitt Hilfe herunterladen. Klicken Sie auf Einstellungen > Hilfe > Hybrid-Datensicherheitssoftware herunterladen.

Der Download der OVA-Datei beginnt automatisch. Speichern Sie die Datei auf Ihrem Computer.
4

Klicken Sie optional auf Bereitstellungsleitfaden zur Hybrid-Datensicherheit anzeigen , um zu überprüfen, ob eine spätere Version dieses Leitfadens verfügbar ist.

Erstellen einer ISO-Konfigurationsdatei für die HDS-Hosts

Beim Einrichtungsprozess für die Hybrid-Datensicherheit wird eine ISO-Datei erstellt. Anschließend verwenden Sie die ISO, um Ihren Hybrid-Datensicherheitshost zu konfigurieren.

Vorbereitungen
1

Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

In regulären Umgebungen:

docker rmi ciscocitg/hds-setup:stabil

In FedRAMP-Umgebungen:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

2

Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

Docker Anmeldung -u hdscustomersro
3

Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

In regulären Umgebungen:

docker pull ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

  • In regulären Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In FedRAMP-Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express-Server hören auf Port 8080) sehen.

6

Das Setup-Tool unterstützt die Verbindung zu localhost über http://localhost:8080 nicht. Verwenden Sie http://127.0.0.1:8080 , um eine Verbindung zum Localhost herzustellen.

Navigieren Sie in einem Webbrowser zum Localhost, http://127.0.0.1:8080, und geben Sie bei Aufforderung den Admin-Benutzernamen für Partner Hub ein.

Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto festzulegen. Das Tool zeigt dann die Standard-Anmeldeaufforderung an.

7

Wenn Sie dazu aufgefordert werden, geben Sie Ihre Partner Hub-Administratoranmeldeinformationen ein und klicken Sie dann auf Anmelden , um den Zugriff auf die für die Hybrid-Datensicherheit erforderlichen Dienste zu erlauben.

8

Klicken Sie auf der Übersichtsseite des Setup Tool auf Get Started (Erste Schritte).

9

Auf der Seite ISO-Import stehen Ihnen folgende Optionen zur Verfügung:

  • Nein – Wenn Sie Ihren ersten HDS-Knoten erstellen, müssen Sie keine ISO-Datei hochladen.
  • Ja: Wenn Sie bereits HDS-Knoten erstellt haben, wählen Sie Ihre ISO-Datei im Browse aus und laden Sie sie hoch.
10

Überprüfen Sie, ob Ihr X.509-Zertifikat die Anforderungen in X.509-Zertifikatsanforderungen erfüllt.

  • Wenn Sie noch nie ein Zertifikat hochgeladen haben, laden Sie das X.509-Zertifikat hoch, geben Sie das Passwort ein und klicken Sie auf Weiter.
  • Wenn Ihr Zertifikat in Ordnung ist, klicken Sie auf Weiter.
  • Wenn Ihr Zertifikat abgelaufen ist oder Sie es ersetzen möchten, wählen Sie Nein für Weiterhin HDS-Zertifikatskette und privaten Schlüssel aus vorheriger ISO verwenden? aus. Laden Sie ein neues X.509-Zertifikat hoch, geben Sie das Passwort ein und klicken Sie auf Weiter.
11

Geben Sie die Datenbankadresse und das Konto für HDS ein, um auf Ihren Schlüsseldatenspeicher zuzugreifen:

  1. Wählen Sie Ihren Datenbanktyp (PostgreSQL oder Microsoft SQL Server) aus.

    Wenn Sie Microsoft SQL Server auswählen, wird das Feld „Authentifizierungstyp“ angezeigt.

  2. (Nur Microsoft SQL Server ) Wählen Sie Ihren Authentifizierungstyp aus:

    • Basisauthentifizierung: Sie benötigen einen lokalen SQL-Server-Kontonamen im Feld Benutzername .

    • Windows-Authentifizierung: Sie benötigen ein Windows-Konto im Format Benutzername@DOMÄNE im Feld Benutzername .

  3. Geben Sie die Adresse des Datenbankservers im Format : oder : ein.

    Beispiel
    dbhost.example.org:1433 oder 198.51.100.17:1433

    Sie können eine IP-Adresse für die Basisauthentifizierung verwenden, wenn die Knoten nicht DNS zur Auflösung des Hostnamens verwenden können.

    Wenn Sie die Windows-Authentifizierung verwenden, müssen Sie einen vollständig qualifizierten Domänennamen im Format dbhost.example.org:1433 eingeben.

  4. Geben Sie den Datenbanknamen ein.

  5. Geben Sie den Benutzernamen und das Kennwort eines Benutzers mit allen Berechtigungen in der Schlüsselspeicherdatenbank ein.

12

Wählen Sie einen TLS-Datenbankverbindungsmodus aus:

Modus

Beschreibung

TLS bevorzugen (Standardoption)

HDS-Knoten benötigen kein TLS, um eine Verbindung zum Datenbankserver herzustellen. Wenn Sie TLS auf dem Datenbankserver aktivieren, versuchen die Knoten eine verschlüsselte Verbindung.

TLS erforderlich

HDS-Knoten verbinden sich nur, wenn der Datenbankserver TLS aushandeln kann.

TLS erforderlich und Zertifikat signer überprüfen

Dieser Modus gilt nicht für SQL Server-Datenbanken.

  • HDS-Knoten verbinden sich nur, wenn der Datenbankserver TLS aushandeln kann.

  • Nach dem Herstellen einer TLS-Verbindung vergleicht der Knoten den Unterzeichner des Zertifikats vom Datenbankserver mit der Zertifizierungsstelle im Datenbank-Stammzertifikat. Wenn sie nicht übereinstimmen, wird die Verbindung durch den Knoten hergestellt.

Verwenden Sie die Stammzertifikat-Steuerung unterhalb des Dropdown-Dropdowns, um den Stammzertifikat Option hochzuladen.

TLS erforderlich und Zertifikats signer und Hostname überprüfen

  • HDS-Knoten verbinden sich nur, wenn der Datenbankserver TLS aushandeln kann.

  • Nach dem Herstellen einer TLS-Verbindung vergleicht der Knoten den Unterzeichner des Zertifikats vom Datenbankserver mit der Zertifizierungsstelle im Datenbank-Stammzertifikat. Wenn sie nicht übereinstimmen, wird die Verbindung durch den Knoten hergestellt.

  • Die Knoten überprüfen außerdem, ob der Host-Name im Serverzertifikat mit dem Host-Namen im Feld Datenbank-Host und Port übereinstimmt. Die Namen müssen genau mit den Namen übereinstimmen, oder der Knoten unterfällt die Verbindung.

Verwenden Sie die Stammzertifikat-Steuerung unterhalb des Dropdown-Dropdowns, um den Stammzertifikat Option hochzuladen.

Wenn Sie das Stammzertifikat hochladen (falls erforderlich) und auf Weiter klicken, testet das HDS Setup Tool die TLS-Verbindung zum Datenbankserver. Das Tool überprüft auch den Zertifikat signer und den Hostnamen, falls vorhanden. Wenn ein Test fehlschlägt, zeigt das Tool eine Fehlermeldung an, in der das Problem beschrieben wird. Sie können auswählen, ob Sie den Fehler ignorieren und mit der Einrichtung fortfahren möchten. (Aufgrund von Verbindungsunterschieden können die HDS-Knoten möglicherweise eine TLS-Verbindung herstellen, auch wenn das HDS Setup Tool diese nicht erfolgreich testen kann.)

13

Konfigurieren Sie auf der Seite Systemprotokolle Ihren Syslogd-Server:

  1. Geben Sie die URL des Syslog-Servers ein.

    Wenn der Server nicht über die Knoten für Ihr HDS-Cluster DNS-aufgelöst werden kann, verwenden Sie eine IP-Adresse in der URL.

    Beispiel
    udp://10.92.43.23:514 zeigt die Protokollierung auf dem Syslogd-Host 10.92.43.23 auf UDP-Port 514 an.

  2. Wenn Sie Ihren Server für die Verwendung der TLS-Verschlüsselung einrichten, aktivieren Sie das Kontrollkästchen Ist Ihr Syslog-Server für die SSL-Verschlüsselung konfiguriert?.

    Wenn Sie dieses Kontrollkästchen aktivieren, stellen Sie sicher, dass Sie eine TCP-URL eingeben, z. B. tcp://10.92.43.23:514.

  3. Wählen Sie in der Dropdown-Liste Syslog-Aufzeichnungsbeendigung auswählen die entsprechende Einstellung für Ihre ISO-Datei aus: Choose or NewLine wird für Graylog und Rsyslog TCP verwendet

    • Null-Byte -- \x00

    • Neue Zeile -- \n– Wählen Sie diese Auswahl für Graylog und Rsyslog TCP.

  4. Klicken Sie auf Weiter.

14

(Optional) Sie können den Standardwert für einige Datenbankverbindungsparameter unter Erweiterte Einstellungen ändern. Im Allgemeinen ist dieser Parameter der einzige, den Sie ändern möchten:

app_datasource_connection_pool_maxGröße: 10
15

Klicken Sie im Bildschirm Kennwort für Dienstkonten zurücksetzen auf Weiter .

Passwörter für Dienstkonten haben eine Lebensdauer von neun Monaten. Verwenden Sie diesen Bildschirm, wenn Ihre Passwörter bald ablaufen oder Sie sie zurücksetzen möchten, um frühere ISO-Dateien ungültig zu machen.

16

Klicken Sie auf Download ISO File (ISO-Datei herunterladen). Speichern Sie die Datei an einem leicht auffindbaren Speicherort.

17

Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System.

Sichern Sie die Sicherungskopie sicher. Die Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff auf Administratoren für Hybrid-Datensicherheit, die Konfigurationsänderungen vornehmen sollten.

18

Um das Setup Tool herunterzufahren, tippen Sie STRG+C ein.

Nächste Schritte

Sichern Sie die ISO-Konfigurationsdatei. Sie benötigen sie, um weitere Knoten für die Wiederherstellung zu erstellen oder Konfigurationsänderungen vorzunehmen. Wenn Sie alle Kopien der ISO-Datei verlieren, haben Sie auch den Hauptschlüssel verloren. Die Schlüssel aus Ihrer PostgreSQL- oder Microsoft SQL Server-Datenbank können nicht wiederhergestellt werden.

Wir haben nie eine Kopie dieses Schlüssels und können nicht helfen, wenn Sie ihn verlieren.

Installieren des HDS Host OVA

Verwenden Sie dieses Verfahren, um eine virtuelle Maschine aus der OVA-Datei zu erstellen.
1

Melden Sie sich über den VMware vSphere-Client auf Ihrem Computer bei dem ESXi virtuellen Host an.

2

Wählen Sie Datei > OVF-Vorlage bereitstellen aus.

3

Geben Sie im Assistenten den Speicherort der OVA-Datei an, die Sie zuvor heruntergeladen haben, und klicken Sie auf Weiter.

4

Geben Sie auf der Seite Name und Ordner auswählen einen Namen der virtuellen Maschine für den Knoten ein (z. B. „HDS_Node_1“), wählen Sie einen Ort aus, an dem sich die Knotenbereitstellung der virtuellen Maschine befinden kann, und klicken Sie auf Weiter.

5

Wählen Sie auf der Seite Berechnungsressource auswählen die Ziel-Berechnungsressource aus, und klicken Sie auf Weiter.

Eine Validierungsprüfung wird ausgeführt. Nach Abschluss werden die Vorlagendetails angezeigt.

6

Überprüfen Sie die Vorlagendetails, und klicken Sie dann auf Weiter.

7

Wenn Sie aufgefordert werden, die Ressourcenkonfiguration auf der Seite Konfiguration auszuwählen, klicken Sie auf 4 CPU und dann auf Weiter.

8

Klicken Sie auf der Seite Speicher auswählen auf Weiter , um das standardmäßige Festplattenformat und die VM-Speicherrichtlinie zu akzeptieren.

9

Wählen Sie auf der Seite Netzwerke auswählen die Netzwerkoption aus der Liste der Einträge aus, um die gewünschte Konnektivität für die VM bereitzustellen.

10

Konfigurieren Sie auf der Seite Vorlage anpassen die folgenden Netzwerkeinstellungen:

  • Host-Name: Geben Sie den FQDN (Host-Name und Domäne) oder ein Wort des Host-Namens für den Knoten ein.

    • Sie müssen die Domäne nicht auf die Domäne ändern, über die Sie das X.509-Zertifikat erhalten haben.

    • Um eine erfolgreiche Registrierung in der Cloud sicherzustellen, verwenden Sie im FQDN oder dem Hostnamen, den Sie für den Knoten festgelegt haben, nur Kleinbuchstaben. Großbuchstaben werden derzeit nicht unterstützt.

    • Der FQDN darf insgesamt nicht länger als 64 Zeichen sein.

  • IP-Adresse: Geben Sie die IP-Adresse für die interne Schnittstelle des Knotens ein.

    Ihr Knoten hat jetzt eine interne IP-Adresse und einen DNS-Namen. DHCP wird nicht unterstützt.

  • Maske: Geben Sie die Adresse der Subnetzmaske in Punkt-Dezimalschrift ein. Beispiel: 255.255.255.0.
  • Gateway: Geben Sie die Gateway-IP-Adresse ein. Ein Gateway ist ein Netzwerkknoten, der als Zugangspunkt zu einem anderen Netzwerk dient.
  • DNS-Server: Geben Sie eine durch Kommas getrennte Liste von DNS-Servern ein, die die Übersetzung von Domänennamen in numerische IP-Adressen verarbeiten. (Es sind bis zu 4 DNS-Einträge zulässig.)
  • NTP-Server – Geben Sie den NTP-Server Ihrer Organisation oder einen anderen externen NTP-Server ein, der in Ihrer Organisation verwendet werden kann. Die Standard-NTP-Server funktionieren möglicherweise nicht für alle Unternehmen. Sie können auch eine durch Kommas getrennte Liste verwenden, um mehrere NTP-Server einzugeben.

  • Stellen Sie alle Knoten im selben Subnetz oder VLAN bereit, damit alle Knoten in einem Cluster zu Verwaltungszwecken von Clients in Ihrem Netzwerk aus erreichbar sind.

Wenn Sie dies vorziehen, können Sie die Konfiguration der Netzwerkeinstellungen überspringen und die Schritte unter Einrichten der Hybrid-Datensicherheit-VM befolgen, um die Einstellungen über die Knotenkonsole zu konfigurieren.

Die Option zum Konfigurieren der Netzwerkeinstellungen während der OVA-Bereitstellung wurde mit ESXi 7.0 getestet. In früheren Versionen ist diese Option möglicherweise nicht verfügbar.

11

Klicken Sie mit der rechten Maustaste auf die Knoten-VM, und wählen Sie Ein/Aus > Einschalten.

Die Hybrid-Datensicherheitssoftware wird als Gast auf dem VM-Host installiert. Sie können sich jetzt bei der Konsole anmelden und den Knoten konfigurieren.

Leitfaden zur Fehlerbehebung

Es kann zu einer Verzögerung von einigen Minuten kommen, bis die Knotencontainer angezeigt werden. Beim erstmaligen Start wird eine Bridge-Firewall-Nachricht angezeigt, während der Sie sich anmelden können.

Einrichten der Hybrid-Datensicherheits-VM

Mit diesem Verfahren können Sie sich zum ersten Mal bei der VM-Konsole des Hybrid-Datensicherheitsknotens anmelden und die Anmeldeinformationen festlegen. Sie können auch die Konsole verwenden, um die Netzwerkeinstellungen für den Knoten zu konfigurieren, falls Sie diese bei der OVA-Bereitstellung nicht konfiguriert haben.

1

Wählen Sie im VMware vSphere-Client, Ihre Hybrid-Datensicherheitsknoten-VM und daraufhin die Registerkarte Console (Konsole) aus.

Die VM fährt hoch und ein Anmeldebildschirm erscheint. Drücken Sie die Eingabetaste, falls der Anmeldebildschirm nicht angezeigt wird.
2

Verwenden Sie den folgenden Standard-Anmeldenamen und das Standardkennwort, um sich anzumelden und die Anmeldedaten zu ändern:

  1. Benutzername: admin

  2. Passwort: Cisco

Da Sie sich zum ersten Mal bei der VM anmelden, müssen Sie das Administratorkennwort ändern.

3

Wenn Sie die Netzwerkeinstellungen bereits unter Installieren der HDS-Host-OVA konfiguriert haben, überspringen Sie den Rest dieses Verfahrens. Wählen Sie andernfalls im Hauptmenü die Option Konfiguration bearbeiten aus.

4

Richten Sie eine statische Konfiguration ein und geben Sie die Daten für IP-Adresse, Maske, Gateway und DNS ein. Ihr Knoten hat jetzt eine interne IP-Adresse und einen DNS-Namen. DHCP wird nicht unterstützt.

5

(Optional) Ändern Sie die Werte für Hostname, Domäne oder NTP-Server, wenn dies gemäß Ihren Netzwerkrichtlinien erforderlich ist.

Sie müssen die Domäne nicht auf die Domäne ändern, über die Sie das X.509-Zertifikat erhalten haben.

6

Speichern Sie die Netzwerkkonfiguration und starten Sie die VM neu, damit die Änderungen in Kraft treten.

Hochladen und Mounten der HDS-Konfigurations-ISO

Verwenden Sie dieses Verfahren, um die virtuelle Maschine über die ISO-Datei, die Sie mit dem HDS Setup Tool erstellt haben, zu konfigurieren.

Vorbereitungen

Da die ISO-Datei den Hauptschlüssel enthält, sollte sie nur auf Basis eines "Need-to-Know"-Basis zugänglich gemacht werden, für den Zugriff durch die Hybrid Data Security-VMs und alle Administratoren, die möglicherweise Änderungen vornehmen müssen. Stellen Sie sicher, dass nur diese Administratoren Zugriff auf den Datenspeicher haben.

1

Laden Sie die ISO-Datei von Ihrem Computer hoch:

  1. Klicken Sie im linken Navigationsbereich des VMware vSphere Client auf den ESXi-Server.

  2. Klicken Sie in der Hardwareliste der Registerkarte „Configuration“ (Konfiguration) auf Storage (Speicher).

  3. Rechtsklicken Sie in der Datenspeicher-Liste auf den Datenspeicher Ihrer VMs. Klicken Sie daraufhin auf Browse Datastore (Datenspeicher durchsuchen).

  4. Klicken Sie auf das Symbol „Upload Files“ (Dateien hochladen) und daraufhin auf Upload File (Datei hochladen).

  5. Navigieren Sie zum Speicherort der ISO-Datei auf Ihrem Computer und klicken Sie auf Open (Öffnen).

  6. Klicken Sie auf Yes (Ja), um die Upload/Download-Warnung zu bestätigen und schließen Sie den Datenspeicherdialog.

2

Mounten Sie die ISO-Datei:

  1. Rechtsklicken Sie im linken Navigationsbereich des VMware vSphere Client auf die VM. Klicken Sie daraufhin auf Edit Settings (Einstellungen bearbeiten).

  2. Klicken Sie auf OK, um die Warnung zu eingeschränkten Optionen zu bestätigen.

  3. Klicken Sie auf CD/DVD-Laufwerk 1, wählen Sie die Option zum Mounten einer Datenspeicher-ISO-Datei aus und navigieren Sie zu dem Speicherort, zu dem Sie die ISO-Konfigurationsdatei hochgeladen haben.

  4. Aktivieren Sie die Kontrollkästchen Connected (Verbunden) und Connect at power on (Beim Einschalten verbinden).

  5. Speichern Sie Ihre Änderungen und starten Sie die virtuelle Maschine neu.

Nächste Schritte

Wenn Ihre IT-Richtlinie dies erfordert, können Sie optional die ISO-Datei unmounten, nachdem alle Knoten die Konfigurationsänderungen übernommen haben. Weitere Informationen finden Sie unter (Optional) ISO nach HDS-Konfiguration unmounten .

Konfigurieren des HDS Knotens für Proxyintegration

Wenn die Netzwerkumgebung einen Proxy erfordert, geben Sie mit diesem Vorgang den Typ des Proxy an, den Sie in die Hybriddatensicherheit integrieren möchten. Wenn Sie einen transparenten Anrufproxy oder einen HTTPS expliziten Proxy wählen, können Sie die Stammzertifikat über die Schnittstelle des Knotens hochladen und installiert werden. Sie können auch die Proxyverbindung über die Schnittstelle überprüfen und mögliche Probleme beheben.

Vorbereitungen

1

Geben Sie den HDS Knoten Setup URL https://[HDS Node IP oder FQDN]/Setup in einem Webbrowser ein, geben Sie die Administrationsdaten ein, die Sie für den Knoten eingerichtet haben, und klicken Sie dann auf Anmelden.

2

Gehen Sie zu Trust Store & Proxyund wählen Sie dann eine Option:

  • Kein Proxy – Die Standardoption, bevor Sie einen Proxy integrieren. Es ist keine Zertifikatsaktualisierung erforderlich.
  • Transparenter Proxy ohne Prüfung: Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert und sollten keine Änderungen erfordern, um mit einem Proxy ohne Prüfung zu arbeiten. Es ist keine Zertifikatsaktualisierung erforderlich.
  • Transparentes Prüfen des Proxys: Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert. Bei der Bereitstellung der Hybriden Datensicherheit sind keine HTTPS-Konfigurationshinstellungsänderungen erforderlich, allerdings benötigen die Hägg-Knoten eine Stammzertifikat, damit Sie dem Proxy Vertrauen. Die Inspektion von Proxys wird in der Regel von ihm verwendet, um Strategien durchzusetzen, welche Websites besichtigt werden können und welche Arten von Inhalten nicht zulässig sind. Diese Art von Proxy entschlüsselt den gesamten Datenverkehr (auch HTTPS).
  • Expliziter Proxy – Mit explizitem Proxy können Sie dem Client (HDS-Knoten) mitteilen, welcher Proxyserver verwendet werden soll. Diese Option unterstützt mehrere Authentifizierungstypen. Nachdem Sie diese Option aktiviert haben, müssen Sie folgende Informationen eingeben:

    1. Proxy-IP/FQDN: Adresse, die verwendet werden kann, um die Proxy-Maschine zu erreichen.

    2. Proxy-Port: Eine Portnummer, die der Proxy verwendet, um nach proxyem Datenverkehr zu suchen.

    3. Proxy-Protokoll – Wählen Sie http (zeigt alle Anforderungen an und steuert sie, die vom Client empfangen werden) oder https (stellt einen Kanal zum Server bereit, und der Client empfängt und validiert das Serverzertifikat). Wählen Sie eine Option, basierend auf Ihren Proxy-Server unterstützt.

    4. Authentifizierungstyp: Wählen Sie aus den folgenden Authentifizierungstypen aus:

      • Keine: Es ist keine weitere Authentifizierung erforderlich.

        Verfügbar für http oder HTTPS.

      • Basic – wird für einen HTTP-Benutzeragenten verwendet, um bei einer Anfrage einen Benutzernamen und ein Kennwort anzugeben. Zertifikatsformat verwendet.

        Verfügbar für http oder HTTPS.

        Wenn Sie diese Option auswählen, müssen Sie auch die Benutzername und das Passwort eingeben.

      • Digest – wird verwendet, um das Konto vor dem Senden sensibler Informationen zu bestätigen. Gibt eine Hashfunktion auf die Benutzername und das Passwort ein, bevor Sie über das Netzwerk senden.

        Nur für HTTPS Proxies verfügbar.

        Wenn Sie diese Option auswählen, müssen Sie auch die Benutzername und das Passwort eingeben.

Befolgen Sie die nächsten Schritte für einen transparenten Inspektionsproxy, einen HTTP expliziten Proxy mit Basisauthentifizierung oder einen HTTPS expliziten Proxy

3

Klicken Sie auf ein Zertifikat für das Stammzertifikat oder Endnutzerzertifikat hochladen, und navigieren Sie dann zu einer Stammzertifikat für den Proxy.

Das Zertifikat ist hochgeladen, aber noch nicht installiert, da Sie den Knoten neu starten müssen, um das Zertifikat zu installieren. Klicken Sie auf den Chevron Pfeil unter dem Namen des Zertifikats, um weitere Details zu erhalten, oder klicken Sie auf löschen, Wenn Sie Fehler gemacht haben und die Datei erneut hochladen möchten.

4

Klicken Sie auf Stellvertreterverbindung prüfen , um die Netzwerkverbindung zwischen dem Knoten und dem Proxy zu testen.

Wenn der Verbindungstest ausfällt, wird eine Fehlermeldung angezeigt, die den Grund und die Frage, wie Sie das Problem beheben können, anzeigt.

Wenn Sie eine Meldung sehen, dass eine externe DNS nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen. Diese Bedingung wird in vielen expliziten Proxykonfigurationen erwartet. Sie können mit dem Setup fortfahren, und der Knoten wird im gesperrten externen DNS-Server funktionieren. Wenn Sie glauben, dass es sich um einen Fehler handelt, führen Sie die folgenden Schritte aus. Siehe Modus für blockierte externe DNS-Auflösung deaktivieren.

5

Nach dem Durchführen des Verbindungstests, für expliziten Proxy, der nur auf HTTPS gesetzt ist, aktivieren Sie die Option so schalten Sie alle Port 443/444 https Anfragen aus diesem Knoten durch den expliziten Proxy Diese Einstellung benötigt 15 Sekunden, um wirksam zu werden.

6

Klicken Sie auf alle-Zertifizierungsstellen in den Trust Store installieren (erscheint für einen HTTPS expliziten Proxy oder einen transparenten Inspektionskrimi) oder Neustart (erscheint für einen HTTP expliziten Proxy), lesen Sie die Aufforderung, und klicken Sie dann auf in

Der Knoten startet innerhalb weniger Minuten.

7

Nachdem der Knoten erneut gestartet wurde, melden Sie sich bei Bedarf erneut an, und öffnen Sie dann die Übersichtsseite, um die Verbindungsüberprüfungen zu überprüfen, um sicherzustellen, dass Sie alle im grünen Status sind.

Die Proxyverbindung prüft nur eine Unterdomäne von WebEx.com. Wenn es Verbindungsprobleme gibt, ist ein häufiges Problem, dass einige der in den instructions aufgeführten-C-Domänen beim Proxy gesperrt werden.

Ersten Knoten im Cluster registrieren

Diese Aufgabe übernimmt den generischen Knoten, den Sie unter Einrichten der Hybrid Data Security-VM erstellt haben, registriert den Knoten bei der Webex Cloud und wandelt ihn in einen Hybrid Data Security-Knoten um.

Bei der Registrierung Ihres ersten Knotens erstellen Sie ein Cluster, zu dem der Knoten zugewiesen wird. Ein Cluster umfasst einen oder mehrere Knoten, die aus Redundanzgründen bereitgestellt werden.

Vorbereitungen

  • Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.

  • Stellen Sie sicher, dass alle Popupblocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.

1

Melden Sie sich bei https://admin.webex.com an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach der Karte „Hybrid-Datensicherheit“, und klicken Sie auf Einrichten.

4

Klicken Sie auf der sich öffnenden Seite auf Ressource hinzufügen.

5

Geben Sie im ersten Feld der Karte Knoten hinzufügen einen Namen für das Cluster ein, dem Sie Ihren Hybrid-Datensicherheitsknoten zuweisen möchten.

Benennen Sie Ihre Cluster nach Möglichkeit nach dem geografischen Standort der Clusterknoten. Beispiele: „San Francisco“ oder „New York“ oder „Dallas“

6

Geben Sie im zweiten Feld die interne IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) Ihres Knotens ein und klicken Sie unten auf dem Bildschirm auf Hinzufügen .

Diese IP-Adresse oder FQDN sollte mit der IP-Adresse oder dem Hostnamen und der Domäne übereinstimmen, die Sie beim Einrichten der Hybrid-Datensicherheit-VM verwendet haben.

Es wird eine Meldung angezeigt, dass Sie Ihren Knoten in Webex registrieren können.
7

Klicken Sie auf Go to Node (Zum Knoten wechseln).

Nach einigen Augenblicken werden Sie zu den Knoten-Konnektivitätstests für Webex-Dienste umgeleitet. Sind alle Tests erfolgreich, wird die Seite „Allow Access to Hybrid Data Security Node“ (Zugriff zu Hybrid-Datensicherheits-Knoten gewähren) angezeigt. Bestätigen Sie dort, dass Sie Ihrer Webex-Organisation die Zugriffsberechtigungen für Ihren Knoten erteilen möchten.

8

Aktivieren Sie das Kontrollkästchen Allow Access to Your Hybrid Data Security Node (Zugriff zu Ihrem Hybrid-Datensicherheits-Knoten gewähren) und klicken Sie anschließend auf Continue (Weiter).

Ihr Konto wird validiert, und die Meldung „Registrierung abgeschlossen“ zeigt an, dass Ihr Knoten jetzt in der Webex Cloud registriert ist.
9

Klicken Sie auf den Link oder schließen Sie die Registerkarte, um zur Partner Hub-Hybrid-Datensicherheitsseite zurückzukehren.

Auf der Seite Hybrid-Datensicherheit wird das neue Cluster mit dem registrierten Knoten auf der Registerkarte Ressourcen angezeigt. Der Knoten lädt die aktuelle Software automatisch aus der Cloud herunter.

Weitere Knoten erstellen und registrieren

Um Ihrem Cluster weitere Knoten hinzuzufügen, erstellen Sie einfach weitere VMs, mounten die ISO-Konfigurationsdatei und registrieren daraufhin den Knoten. Wir empfehlen, mindestens 3 Knoten zu betreiben.

Vorbereitungen

  • Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.

  • Stellen Sie sicher, dass alle Popupblocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.

1

Erstellen Sie eine neue virtuelle Maschine über die OVA und wiederholen Sie die Schritte unter Installieren der HDS-Host-OVA.

2

Richten Sie die Erstkonfiguration für die neue VM ein. Wiederholen Sie die Schritte unter Einrichten der Hybrid-Datensicherheit-VM.

3

Wiederholen Sie auf der neuen VM die Schritte unter HDS-Konfigurations-ISO hochladen und mounten.

4

Wenn Sie einen Proxy für Ihre Bereitstellung einrichten, wiederholen Sie die Schritte unter Konfigurieren des HDS-Knotens für die Proxy-Integration nach Bedarf für den neuen Knoten.

5

Registrieren Sie den Knoten.

  1. Wählen Sie unter https://admin.webex.com Services (Dienste) aus dem Menü auf der linken Bildschirmseite aus.

  2. Suchen Sie im Abschnitt „Cloud-Dienste“ nach der Hybrid-Datensicherheitskarte und klicken Sie auf Alle anzeigen.

    Die Seite „Hybrid-Datensicherheitsressourcen“ wird angezeigt.

  3. Der neu erstellte Cluster wird auf der Seite Ressourcen angezeigt.

  4. Klicken Sie auf den Cluster, um die dem Cluster zugewiesenen Knoten anzuzeigen.

  5. Klicken Sie rechts auf dem Bildschirm auf Knoten hinzufügen .

  6. Geben Sie die interne IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) Ihres Knotens ein und klicken Sie auf Hinzufügen.

    Es wird eine Seite mit einer Meldung geöffnet, die angibt, dass Sie Ihren Knoten in der Webex-Cloud registrieren können. Nach einigen Augenblicken werden Sie zu den Knoten-Konnektivitätstests für Webex-Dienste umgeleitet. Sind alle Tests erfolgreich, wird die Seite „Allow Access to Hybrid Data Security Node“ (Zugriff zu Hybrid-Datensicherheits-Knoten gewähren) angezeigt. Bestätigen Sie dort, dass Sie Ihrer Organisation die Zugriffsberechtigungen für Ihren Knoten erteilen möchten.

  7. Aktivieren Sie das Kontrollkästchen Allow Access to Your Hybrid Data Security Node (Zugriff zu Ihrem Hybrid-Datensicherheits-Knoten gewähren) und klicken Sie anschließend auf Continue (Weiter).

    Ihr Konto wird validiert, und die Meldung „Registrierung abgeschlossen“ zeigt an, dass Ihr Knoten jetzt in der Webex Cloud registriert ist.

  8. Klicken Sie auf den Link oder schließen Sie die Registerkarte, um zur Partner Hub-Hybrid-Datensicherheitsseite zurückzukehren.

    Die Popup-Meldung Knoten hinzugefügt wird auch unten auf dem Bildschirm in Partner Hub angezeigt.

    Ihr Knoten ist registriert.

Mandantenorganisationen für Multi-Tenant-Hybrid-Datensicherheit verwalten

Multi-Tenant HDS in Partner Hub aktivieren

Diese Aufgabe stellt sicher, dass alle Benutzer der Kundenorganisationen HDS für lokale Verschlüsselungsschlüssel und andere Sicherheitsdienste nutzen können.

Vorbereitungen

Stellen Sie sicher, dass Sie die Einrichtung Ihres Multi-Tenant-HDS-Clusters mit der erforderlichen Anzahl an Knoten abgeschlossen haben.

1

Melden Sie sich bei https://admin.webex.com an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach „Hybrid-Datensicherheit“ und klicken Sie auf Einstellungen bearbeiten.

4

Klicken Sie auf der Karte HDS-Status auf HDS-Aktivierung .

Mandantenorganisationen in Partner Hub hinzufügen

Weisen Sie bei dieser Aufgabe Kundenorganisationen Ihrem Hybrid-Datensicherheitscluster zu.

1

Melden Sie sich bei https://admin.webex.com an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach Hybrid-Datensicherheit und klicken Sie auf Alle anzeigen.

4

Klicken Sie auf den Cluster, dem ein Kunde zugewiesen werden soll.

5

Wechseln Sie zur Registerkarte Zugewiesene Kunden .

6

Klicken Sie auf Kunden hinzufügen.

7

Wählen Sie im Dropdown-Menü den Kunden aus, den Sie hinzufügen möchten.

8

Klicken Sie auf Hinzufügen. Der Kunde wird dem Cluster hinzugefügt.

9

Wiederholen Sie die Schritte 6 bis 8, um mehrere Kunden zu Ihrem Cluster hinzuzufügen.

10

Klicken Sie auf Fertig am unteren Bildschirmrand, nachdem Sie die Kunden hinzugefügt haben.

Nächste Schritte

Führen Sie das HDS-Einrichtungstool wie unter Erstellen von Kundenhauptschlüsseln (Customer Main Keys, CMKs) mit dem HDS-Einrichtungstool beschrieben aus, um die Einrichtung abzuschließen.

Kundenhauptschlüssel (Customer Main Keys, CMKs) mit dem HDS Setup-Tool erstellen

Vorbereitungen

Weisen Sie Kunden dem entsprechenden Cluster zu, wie unter Mandantenorganisationen in Partner Hub hinzufügen beschrieben. Führen Sie das HDS Setup-Tool aus, um den Einrichtungsprozess für die neu hinzugefügten Kundenorganisationen abzuschließen.

  • Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zu zugreifen, führen Sie Docker auf diesem Computer aus. Der Einrichtungsprozess erfordert die Anmeldeinformationen eines Partner Hub-Kontos mit vollen Administratorrechten für Ihre Organisation.

    Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxy-Einstellungen (Server, Port, Anmeldeinformationen) über die Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in Schritt 5 aufrufen. Diese Tabelle enthält einige mögliche Umgebungsvariablen:

    Beschreibung

    Variable

    HTTP-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

  • Die von Ihnen generierte ISO-Konfigurationsdatei enthält den Hauptschlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die neueste Kopie dieser Datei, wenn Sie Konfigurationsänderungen wie die folgenden vornehmen:

    • Datenbank-Anmeldeinformationen

    • Zertifikats-Aktualisierungen

    • Änderungen an der Autorisierungsrichtlinie

  • Wenn Sie Datenbankverbindungen verschlüsseln möchten, richten Sie Ihre PostgreSQL- oder SQL Server-Bereitstellung für TLS ein.

Beim Einrichtungsprozess für die Hybrid-Datensicherheit wird eine ISO-Datei erstellt. Anschließend verwenden Sie die ISO, um Ihren Hybrid-Datensicherheitshost zu konfigurieren.

1

Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

In regulären Umgebungen:

docker rmi ciscocitg/hds-setup:stabil

In FedRAMP-Umgebungen:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

2

Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

Docker Anmeldung -u hdscustomersro
3

Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

In regulären Umgebungen:

docker pull ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

  • In regulären Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In FedRAMP-Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express-Server hören auf Port 8080) sehen.

6

Das Setup-Tool unterstützt die Verbindung zu localhost über http://localhost:8080 nicht. Verwenden Sie http://127.0.0.1:8080 , um eine Verbindung zum Localhost herzustellen.

Navigieren Sie in einem Webbrowser zum Localhost, http://127.0.0.1:8080, und geben Sie bei Aufforderung den Admin-Benutzernamen für Partner Hub ein.

Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto festzulegen. Das Tool zeigt dann die Standard-Anmeldeaufforderung an.

7

Wenn Sie dazu aufgefordert werden, geben Sie Ihre Partner Hub-Administratoranmeldeinformationen ein und klicken Sie dann auf Anmelden , um den Zugriff auf die für die Hybrid-Datensicherheit erforderlichen Dienste zu erlauben.

8

Klicken Sie auf der Übersichtsseite des Setup Tool auf Get Started (Erste Schritte).

9

Klicken Sie auf der Seite ISO-Import auf Ja.

10

Wählen Sie Ihre ISO-Datei im Browser aus und laden Sie sie hoch.

Stellen Sie sicher, dass die Verbindung zu Ihrer Datenbank hergestellt wird, um eine CMK-Verwaltung durchzuführen.
11

Gehen Sie zur Registerkarte Mandanten-CMK-Verwaltung , auf der Sie die folgenden drei Möglichkeiten zur Verwaltung von Mandanten-CMKs finden.

  • CMK für alle ORGs erstellen oder CMK erstellen – Klicken Sie auf diese Schaltfläche im Banner am oberen Rand des Bildschirms, um CMKs für alle neu hinzugefügten Organisationen zu erstellen.
  • Klicken Sie auf die Schaltfläche CMKs verwalten auf der rechten Seite des Bildschirms und klicken Sie auf CMKs erstellen , um CMKs für alle neu hinzugefügten Organisationen zu erstellen.
  • Klicken Sie in der Tabelle neben dem Status der ausstehenden CMK-Verwaltung einer bestimmten Organisation, und klicken Sie auf CMK erstellen , um CMK für diese Organisation zu erstellen.
12

Sobald die CMK-Erstellung erfolgreich war, ändert sich der Status in der Tabelle von CMK-Verwaltung ausstehend zu CMK-Verwaltung.

13

Wenn die CMK-Erstellung nicht erfolgreich war, wird ein Fehler angezeigt.

Mandantenorganisationen entfernen

Vorbereitungen

Nach dem Entfernen können Benutzer von Kundenorganisationen HDS nicht mehr für ihre Verschlüsselungsanforderungen nutzen und verlieren alle vorhandenen Bereiche. Wenden Sie sich an Ihren Cisco-Partner oder Ihren Account Manager, bevor Sie Kundenorganisationen entfernen.

1

Melden Sie sich bei https://admin.webex.com an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach Hybrid-Datensicherheit und klicken Sie auf Alle anzeigen.

4

Klicken Sie auf der Registerkarte Ressourcen auf den Cluster, aus dem Sie Kundenorganisationen entfernen möchten.

5

Klicken Sie auf der sich öffnenden Seite auf Zugewiesene Kunden.

6

Klicken Sie in der angezeigten Liste der Kundenorganisationen auf ... auf der rechten Seite der Kundenorganisation, die Sie entfernen möchten, und klicken Sie auf Aus Cluster entfernen.

Nächste Schritte

Schließen Sie den Löschvorgang ab, indem Sie die CMKs der Kundenorganisationen sperren, wie unter CMKs von Tenants, die aus HDS entfernt wurden, beschrieben.

Widerrufen Sie die CMKs von Mandanten, die aus HDS entfernt wurden.

Vorbereitungen

Entfernen Sie Kunden aus dem entsprechenden Cluster, wie unter Mandantenorganisationen entfernen beschrieben. Führen Sie das HDS Setup-Tool aus, um den Entfernungsprozess für die Kundenorganisationen abzuschließen, die entfernt wurden.

  • Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zu zugreifen, führen Sie Docker auf diesem Computer aus. Der Einrichtungsprozess erfordert die Anmeldeinformationen eines Partner Hub-Kontos mit vollen Administratorrechten für Ihre Organisation.

    Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxy-Einstellungen (Server, Port, Anmeldeinformationen) über die Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in Schritt 5 aufrufen. Diese Tabelle enthält einige mögliche Umgebungsvariablen:

    Beschreibung

    Variable

    HTTP-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

  • Die von Ihnen generierte ISO-Konfigurationsdatei enthält den Hauptschlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die neueste Kopie dieser Datei, wenn Sie Konfigurationsänderungen wie die folgenden vornehmen:

    • Datenbank-Anmeldeinformationen

    • Zertifikats-Aktualisierungen

    • Änderungen an der Autorisierungsrichtlinie

  • Wenn Sie Datenbankverbindungen verschlüsseln möchten, richten Sie Ihre PostgreSQL- oder SQL Server-Bereitstellung für TLS ein.

Beim Einrichtungsprozess für die Hybrid-Datensicherheit wird eine ISO-Datei erstellt. Anschließend verwenden Sie die ISO, um Ihren Hybrid-Datensicherheitshost zu konfigurieren.

1

Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

In regulären Umgebungen:

docker rmi ciscocitg/hds-setup:stabil

In FedRAMP-Umgebungen:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

2

Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

Docker Anmeldung -u hdscustomersro
3

Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

In regulären Umgebungen:

docker pull ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

  • In regulären Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In FedRAMP-Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express-Server hören auf Port 8080) sehen.

6

Das Setup-Tool unterstützt die Verbindung zu localhost über http://localhost:8080 nicht. Verwenden Sie http://127.0.0.1:8080 , um eine Verbindung zum Localhost herzustellen.

Navigieren Sie in einem Webbrowser zum Localhost, http://127.0.0.1:8080, und geben Sie bei Aufforderung den Admin-Benutzernamen für Partner Hub ein.

Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto festzulegen. Das Tool zeigt dann die Standard-Anmeldeaufforderung an.

7

Wenn Sie dazu aufgefordert werden, geben Sie Ihre Partner Hub-Administratoranmeldeinformationen ein und klicken Sie dann auf Anmelden , um den Zugriff auf die für die Hybrid-Datensicherheit erforderlichen Dienste zu erlauben.

8

Klicken Sie auf der Übersichtsseite des Setup Tool auf Get Started (Erste Schritte).

9

Klicken Sie auf der Seite ISO-Import auf Ja.

10

Wählen Sie Ihre ISO-Datei im Browser aus und laden Sie sie hoch.

11

Gehen Sie zur Registerkarte Mandanten-CMK-Verwaltung , auf der Sie die folgenden drei Möglichkeiten zur Verwaltung von Mandanten-CMKs finden.

  • CMK für alle ORGs sperren oder CMK sperren – Klicken Sie auf diese Schaltfläche im Banner am oberen Bildschirmrand, um die CMKs aller Organisationen zu sperren, die entfernt wurden.
  • Klicken Sie auf die Schaltfläche CMKs verwalten auf der rechten Seite des Bildschirms und klicken Sie auf CMKs sperren , um die CMKs aller Organisationen zu sperren, die entfernt wurden.
  • Klicken in der Nähe der CMK wird widerrufen Status einer bestimmten Organisation in der Tabelle und klicken Sie auf CMK widerrufen um CMK für diese bestimmte Organisation zu widerrufen.
12

Sobald die CMK-Sperrung erfolgreich ist, wird die Kundenorganisation nicht mehr in der Tabelle angezeigt.

13

Wenn die CMK-Sperrung nicht erfolgreich ist, wird ein Fehler angezeigt.

Testen Ihrer Hybrid-Datensicherheitsbereitstellung

Testen Ihrer Bereitstellung für die Hybrid-Datensicherheit

Mit diesem Verfahren können Sie Verschlüsselungsszenarien für die Multi-Tenant-Hybrid-Datensicherheit testen.

Vorbereitungen

  • Richten Sie die Multi-Tenant-Hybrid-Datensicherheitsbereitstellung ein.

  • Stellen Sie sicher, dass Sie auf das Syslog zugreifen können, um zu überprüfen, ob wichtige Anforderungen an Ihre Multi-Tenant-Hybrid-Datensicherheitsbereitstellung weitergeleitet werden.

1

Schlüssel für einen bestimmten Bereich werden vom Ersteller des Bereichs festgelegt. Melden Sie sich bei der Webex-App als einer der Benutzer der Kundenorganisation an und erstellen Sie einen Bereich.

Wenn Sie die Hybrid-Datensicherheitsbereitstellung deaktivieren, sind Inhalte in von Benutzern erstellten Bereichen nicht mehr verfügbar, nachdem die im Client zwischengespeicherten Kopien der Verschlüsselungscodes ersetzt wurden.

2

Senden Sie Nachrichten an den neuen Bereich.

3

Überprüfen Sie die Syslog-Ausgabe, um sicherzustellen, dass die Schlüsselanforderungen an Ihre Hybrid-Datensicherheitsbereitstellung weitergeleitet werden.

  1. Um zu prüfen, ob ein Benutzer zuerst einen sicheren Kanal zum KMS eingerichtet hat, filtern Sie nach kms.data.method=create und kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Sie sollten einen Eintrag wie den folgenden finden (IDs wurden zur besseren Lesbarkeit gekürzt):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:ANFRAGE] empfangen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Um zu überprüfen, ob ein Benutzer einen vorhandenen Schlüssel im KMS anfordert, filtern Sie nach kms.data.method=retrieve und kms.data.type=KEY:

    Sie sollten einen Eintrag wie den folgenden finden:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:ANFRAGE] empfangen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Um zu überprüfen, ob ein Benutzer die Erstellung eines neuen KMS-Schlüssels anfordert, filtern Sie nach kms.data.method=create und kms.data.type=KEY_COLLECTION:

    Sie sollten einen Eintrag wie den folgenden finden:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:ANFRAGE] empfangen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Um zu überprüfen, ob ein Benutzer die Erstellung eines neuen KMS-Ressourcenobjekts (KRO) anfordert, wenn ein Bereich oder eine andere geschützte Ressource erstellt wird, filtern Sie kms.data.method=create und kms.data.type=RESOURCE_COLLECTION:

    Sie sollten einen Eintrag wie den folgenden finden: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:ANFRAGE] empfangen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Überwachen des Status der Hybrid-Datensicherheit

Eine Statusanzeige in Partner Hub zeigt Ihnen an, ob die Multi-Tenant-Hybrid-Datensicherheitsbereitstellung gut funktioniert. Für stärker proaktive Warnungen können Sie sich für E-Mail-Benachrichtigungen anmelden. Sie werden benachrichtigt, wenn Alarme oder Software-Upgrades den Dienst beeinträchtigen.
1

Wählen Sie in Partner Hub im Menü auf der linken Seite des Bildschirms die Option Dienste aus.

2

Suchen Sie im Abschnitt „Cloud-Dienste“ nach „Hybrid-Datensicherheit“ und klicken Sie auf Einstellungen bearbeiten.

Die Seite „Hybrid Data Security Settings“ (Einstellungen für Hybrid-Datensicherheit) wird angezeigt.
3

Geben Sie im Abschnitt zu E-Mail-Benachrichtigungen eine oder mehrere Adressen durch Komma getrennt ein und drücken Sie Enter.

HDS-Bereitstellung verwalten

Verwalten der HDS-Bereitstellung

Verwenden Sie die hier beschriebenen Aufgaben, um Ihre Hybrid-Datensicherheitsbereitstellung zu verwalten.

Festlegen des Upgrade-Zeitplans für Cluster

Software-Upgrades für Hybrid Data Security werden automatisch auf Cluster-Ebene ausgeführt, um sicherzustellen, dass auf allen Knoten immer die gleiche Software-Version ausgeführt wird. Die Upgrades werden gemäß des Upgrade-Zeitplans für den Cluster ausgeführt. Sie können neue verfügbare Software-Upgrades optional auch vor dem geplanten Upgrade-Zeitpunkt manuell installieren. Sie können einen eigenen Upgrade-Zeitplan festlegen oder den Standardzeitplan um 3:00 Uhr morgens täglich für USA: Amerika/Los Angeles verwenden. Bei Bedarf können Sie anstehende Upgrades auch verzögern.

So legen Sie den Upgrade-Zeitplan fest:

1

Melden Sie sich bei Partner Hub an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach „Hybrid-Datensicherheit“ und klicken Sie auf Einrichten.

4

Wählen Sie auf der Seite „Hybrid-Datensicherheitsressourcen“ den Cluster aus.

5

Klicken Sie auf die Registerkarte Cluster-Einstellungen .

6

Wählen Sie auf der Seite „Cluster-Einstellungen“ unter „Upgrade-Zeitplan“ die Uhrzeit und die Zeitzone für den Upgrade-Zeitplan aus.

Hinweis: Unter der Zeitzone wird der nächste verfügbare Zeitpunkt für ein Upgrade angezeigt. Sie können das Upgrade bei Bedarf auf den folgenden Tag verschieben, indem Sie auf Um 24 Stunden verschieben klicken.

Ändern der Knotenkonfiguration

Gelegentlich kann es erforderlich sein, die Konfiguration Ihres Hybrid-Datensicherheitsknotens zu ändern, z. B.:

  • Änderung der x.509-Zertifikate aufgrund Ablaufs oder anderer Gründe.

    Wir unterstützen keine Änderung des CN-Domänennamens eines Zertifikats. Die Domäne muss mit der Originaldomäne übereinstimmen, die zur Registrierung des Clusters verwendet wurde.

  • Datenbankeinstellungen werden aktualisiert, um auf eine Replik der PostgreSQL- oder Microsoft SQL Server-Datenbank zu wechseln.

    Wir unterstützen keine Migration von Daten von PostgreSQL zu Microsoft SQL Server oder auf den entgegengesetzten Weg. Um die Datenbankumgebung zu wechseln, starten Sie eine neue Bereitstellung von Hybrid Data Security.

  • Erstellen einer neuen Konfiguration, um ein neues Datenzentrum vorzubereiten.

Aus Sicherheitsgründen verwendet Hybrid Data Security Dienstkonto-Passwörter mit einer Laufzeit von neun Monaten. Nachdem das HDS Setup Tool diese Passwörter generiert hat, stellen Sie sie für jeden Ihrer HDS-Knoten in der ISO-Konfigurationsdatei bereit. Wenn die Kennwörter Ihrer Organisation fast ablaufen, erhalten Sie eine Benachrichtigung vom Webex-Team, mit der Sie das Passwort für Ihr Computerkonto zurücksetzen können. (Die E-Mail enthält den Text "Verwenden Sie die Maschinenkonto-API, um das Passwort zu aktualisieren"). Wenn Ihre Passwörter noch nicht abgelaufen sind, bietet Ihnen das Tool zwei Optionen:

  • Weiches Zurücksetzen – Das alte und das neue Kennwort können beide bis zu 10 Tage lang verwendet werden. Verwenden Sie diesen Zeitraum, um die ISO-Datei der Knoten schrittweise zu ersetzen.

  • Harte Zurücksetzung: Die alten Passwörter funktionieren sofort nicht mehr.

Wenn Ihre Passwörter ohne Zurücksetzen ablaufen, wirkt sich dies auf Ihren HDS-Dienst aus, was ein sofortiges Zurücksetzen und Ersetzen der ISO-Datei auf allen Knoten erfordert.

Verwenden Sie dieses Verfahren, um eine neue ISO-Konfigurationsdatei zu generieren und auf Ihren Cluster anzuwenden.

Vorbereitungen

  • Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zu zugreifen, führen Sie Docker auf diesem Computer aus. Der Einrichtungsprozess erfordert die Anmeldeinformationen eines Partner Hub-Kontos mit vollen Partneradministratorrechten.

    Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxy-Einstellungen (Server, Port, Anmeldeinformationen) über die Docker-Umgebungsvariablen an, wenn Sie den Docker Container in 1.e aufrufen. Diese Tabelle enthält einige mögliche Umgebungsvariablen:

    Beschreibung

    Variable

    HTTP-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

  • Um eine neue Konfiguration zu erstellen, benötigen Sie eine Kopie der aktuellen ISO-Konfigurationsdatei. Die ISO enthält den Masterschlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die ISO-Datei, wenn Sie Konfigurationsänderungen vornehmen, wie z. B. Datenbank-Anmeldeinformationen, Zertifikataktualisierungen oder Änderungen an der Autorisierungsrichtlinie.

1

Führen Sie auf einem lokalen Computer, auf dem Docker läuft, das HDS Setup Tool aus.

  1. Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

    In regulären Umgebungen:

    docker rmi ciscocitg/hds-setup:stabil

    In FedRAMP-Umgebungen:

    docker rmi ciscocitg/hds-setup-fedramp:stabil

    Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

  2. Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

    Docker Anmeldung -u hdscustomersro

  3. Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

    In regulären Umgebungen:

    docker pull ciscocitg/hds-setup:stable

    In FedRAMP-Umgebungen:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Stellen Sie sicher, dass Sie für hierfür per Pull das neueste Setup-Tool aufrufen. Versionen des Tools, die vor dem 22. Februar 2018 erstellt wurden, verfügen nicht über die Bildschirme zum Zurücksetzen des Passworts.

  5. Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

    • In regulären Umgebungen ohne Proxy:

      Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • In regulären Umgebungen mit einem HTTP-Proxy:

      Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • In regulären Umgebungen mit einem HTTPSproxy:

      Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • In FedRAMP-Umgebungen ohne Proxy:

      Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

      Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

      Docker run -p 8080:8080 --rm -it -e GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express server listening on port 8080) sehen.

  6. Verwenden Sie einen Browser, um sich mit dem Localhost zu http://127.0.0.1:8080verbinden.

    Das Setup-Tool unterstützt die Verbindung zu localhost über http://localhost:8080 nicht. Verwenden Sie http://127.0.0.1:8080 , um eine Verbindung zum Localhost herzustellen.

  7. Wenn Sie dazu aufgefordert werden, geben Sie Ihre Partner Hub-Kundenanmeldeinformationen ein und klicken Sie dann auf Akzeptieren , um fortzufahren.

  8. Importieren Sie die aktuelle ISO-Konfigurationsdatei.

  9. Befolgen Sie die Anweisungen, um das Tool abzuschließen und die aktualisierte Datei herunterzuladen.

    Um das Setup Tool herunterzufahren, tippen Sie STRG+C ein.

  10. Erstellen Sie eine Backup-Kopie der aktualisierten Datei in einem anderen Datenzentrum.

2

Wenn Sie nur einen HDS-Knoten ausführen, erstellen Sie eine neue VM für den Hybrid-Datensicherheitsknoten und registrieren Sie sie mithilfe der neuen ISO-Konfigurationsdatei. Detaillierte Anweisungen finden Sie unter Weitere Knoten erstellen und registrieren.

  1. Installieren des HDS Host OVA

  2. Richten Sie die HDS-VM ein.

  3. Mounten Sie die aktualisierte Konfigurationsdatei.

  4. Registrieren Sie den neuen Knoten im Partner Hub.

3

Mounten Sie bei vorhandenen HDS-Knoten, auf denen die ältere Konfigurationsdatei ausgeführt wird, die ISO-Datei. Führen Sie für jeden Knoten des Knotens folgende Schritte durch, indem Sie jeden Knoten aktualisieren, bevor Sie den nächsten Knoten deaktivieren:

  1. Deaktivieren Sie die Virtuelle Maschine.

  2. Rechtsklicken Sie im linken Navigationsbereich des VMware vSphere Client auf die VM. Klicken Sie daraufhin auf Edit Settings (Einstellungen bearbeiten).

  3. Klicken Sie auf CD/DVD-Laufwerk 1, wählen Sie die Option zum Bereitstellen einer ISO-Datei und navigieren Sie zu dem Speicherort, unter dem der Download der neuen ISO-Konfigurationsdatei abliegt.

  4. Aktivieren Sie das Kontrollkästchen Verbinden beim Einschalten.

  5. Speichern Sie Ihre Änderungen und starten Sie Sie die virtuelle Maschine.

4

Wiederholen Sie Schritt 3, um bei jedem weiteren Knoten zu ersetzen, auf dem noch die alte Konfiguration ausgeführt wird, die Konfiguration zu ersetzen.

Blockierte externe DNS Auflösungsmodus deaktivieren

Wenn Sie einen Knoten registrieren oder die Proxykonfiguration des Knotens überprüfen, testet das Verfahren die DNS und die Konnektivität der Cisco WebEx. Wenn der DNS-Server des Knotens öffentliche DNS nicht auflösen kann, geht der Knoten automatisch in den gesperrten externen DNS-Server.

Wenn Ihre Knoten öffentliche DNS über interne DNS-Server auflösen können, aktivieren Sie diesen Modus, indem Sie den Proxyverbindungstest für jeden Knoten deaktivieren.

Vorbereitungen

Stellen Sie sicher, dass Ihre internen DNS-Server öffentliche DNS und ihre Knoten mit Ihnen kommunizieren können.
1

Öffnen Sie in einem Webbrowser die Schnittstelle für den Hybrid-Datensicherheitsknoten (IP-Adresse/Einrichtung, https://192.0.2.0/setup), geben Sie beispielsweise die für den Knoten eingerichteten Admin-Anmeldeinformationen ein, und klicken Sie dann auf Anmelden.

2

Gehen Sie zu Übersicht (Standardseite).

Wenn diese Option aktiviert ist, wird die externe DNS auf "Ja" gesetzt .

3

Gehen Sie zur Seite Vertrauensspeicher und Proxy .

4

Klicken Sie auf Stellvertreterverbindung prüfen.

Wenn Sie eine Meldung sehen, dass eine externe DNS nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen und wird in diesem Modus verbleiben. Andernfalls sollte nach dem Neustart des Knotens und der Rückfahrt zur Übersichtsseite die gesperrte externe DNS auf "Nein" gesetzt werden.

Nächste Schritte

Wiederholen Sie den Proxy Verbindungstest für jeden Knoten in Ihrem Cisco Data SicherheitCluster.

Entfernen eines Knotens

Mit diesem Verfahren können Sie einen Hybrid-Datensicherheitsknoten aus der Webex-Cloud entfernen. Löschen Sie nach dem Entfernen des Knotens aus dem Cluster die virtuelle Maschine, um den weiteren Zugriff auf Ihre Sicherheitsdaten zu verhindern.
1

Melden Sie sich über den VMware vSphere-Client auf Ihrem Computer bei dem ESXi virtuellen Host an und schalten Sie die virtuelle Maschine aus.

2

Entfernen des Knotens:

  1. Melden Sie sich bei Partner Hub an und wählen Sie Dienste aus.

  2. Klicken Sie auf der Hybrid-Datensicherheitskarte auf Alle anzeigen , um die Seite „Hybrid-Datensicherheitsressourcen“ anzuzeigen.

  3. Wählen Sie Ihr Cluster aus, um den Bereich „Übersicht“ anzuzeigen.

  4. Klicken Sie auf den Knoten, den Sie entfernen möchten.

  5. Klicken Sie in dem rechts angezeigten Bereich auf Registrierung dieses Knotens aufheben .

  6. Sie können die Registrierung des Knotens auch aufheben, indem Sie auf der rechten Seite des Knotens auf Diesen Knoten entfernen klicken.

3

Löschen Sie die VM im vSphere-Client. (Klicken Sie im linken Navigationsbereich mit der rechten Maustaste auf die VM, und klicken Sie auf Löschen.)

Wenn Sie die VM nicht löschen, denken Sie daran, die Konfigurations-ISO-Datei zu deinstallieren. Ohne die ISO-Datei können Sie die VM nicht verwenden, um auf Ihre Sicherheitsdaten zuzugreifen.

Notfallwiederherstellung mit Standby-Rechenzentrum

Der wichtigste Dienst, den Ihr Hybrid-Datensicherheitscluster bietet, ist die Erstellung und Speicherung von Schlüsseln, mit denen Nachrichten und andere in der Webex-Cloud gespeicherte Inhalte verschlüsselt werden. Für jeden Benutzer innerhalb der Organisation, der der Hybrid-Datensicherheit zugewiesen ist, werden neue Anforderungen zur Schlüsselerstellung an das Cluster weitergeleitet. Der Cluster ist zudem dafür verantwortlich, die erstellten Schlüssel an Benutzer zurückzusenden, die zum Abrufen von Schlüsseln berechtigt sind. Hierzu gehören beispielsweise Mitglieder eines Gesprächsraums.

Da der Cluster die wichtige Funktion erfüllt, diese Schlüssel bereitzustellen, ist es höchst wichtig, dass der Cluster in Betrieb bleibt und korrekte Backups erstellt werden. Der Verlust der Hybrid-Datensicherheitsdatenbank oder der für das Schema verwendeten Konfigurations-ISO führt zu einem NICHT BEHEBBAREN VERLUST von Kundeninhalten. Die folgenden Praktiken sind zwingend erforderlich, um einem derartigen Verlust vorzubeugen:

Wenn eine Katastrophe dazu führt, dass die HDS-Bereitstellung im primären Rechenzentrum nicht mehr verfügbar ist, führen Sie dieses Verfahren aus, um ein manuelles Failover auf das Standby-Rechenzentrum durchzuführen.

Vorbereitungen

Heben Sie die Registrierung aller Knoten aus Partner Hub auf, wie unter Knoten entfernen erwähnt. Verwenden Sie die neueste ISO-Datei, die für die Knoten des zuvor aktiven Clusters konfiguriert wurde, um das unten genannte Failover-Verfahren durchzuführen.
1

Starten Sie das HDS-Setup-Tool und führen Sie die unter Erstellen einer Konfigurations-ISO für die HDS-Hosts beschriebenen Schritte aus.

2

Schließen Sie den Konfigurationsprozess ab und speichern Sie die ISO-Datei an einem leicht auffindbaren Speicherort.

3

Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Sichern Sie die Sicherungskopie sicher. Die Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff auf Administratoren für Hybrid-Datensicherheit, die Konfigurationsänderungen vornehmen sollten.

4

Rechtsklicken Sie im linken Navigationsbereich des VMware vSphere Client auf die VM. Klicken Sie daraufhin auf Edit Settings (Einstellungen bearbeiten).

5

Klicken Sie auf Einstellungen bearbeiten >CD/DVD-Laufwerk 1 und wählen Sie Datenspeicher-ISO-Datei.

Stellen Sie sicher, dass Verbunden und Verbinden beim Einschalten aktiviert sind, damit aktualisierte Konfigurationsänderungen nach dem Starten der Knoten wirksam werden können.

6

Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 15 Minuten lang keine Alarme vorhanden sind.

7

Registrieren Sie den Knoten im Partner Hub. Weitere Informationen finden Sie unter Ersten Knoten im Cluster registrieren.

8

Wiederholen Sie den Vorgang für jeden Knoten im Standby-Rechenzentrum.

Nächste Schritte

Wenn das primäre Rechenzentrum nach dem Failover wieder aktiv wird, die Registrierung der Knoten des Standby-Rechenzentrums aufheben und den oben genannten Prozess der ISO-Konfiguration und der Registrierung der Knoten des primären Rechenzentrums wiederholen.

(Optional) ISO nach HDS-Konfiguration aushängen

Die Standard-HDS-Konfiguration wird mit eingebauter ISO ausgeführt. Einige Kunden ziehen es jedoch vor, die ISO-Dateien nicht kontinuierlich eingebunden zu lassen. Sie können die ISO-Datei unmounten, nachdem alle HDS-Knoten die neue Konfiguration übernommen haben.

Sie verwenden weiterhin die ISO-Dateien, um Konfigurationsänderungen vorzunehmen. Wenn Sie eine neue ISO erstellen oder eine ISO über das Setup-Tool aktualisieren, müssen Sie die aktualisierte ISO auf allen HDS-Knoten mounten. Wenn alle Knoten die Konfigurationsänderungen übernommen haben, können Sie die ISO mit diesem Verfahren erneut deinstallieren.

Vorbereitungen

Aktualisieren Sie alle Ihre HDS-Knoten auf Version 2021.01.22.4720 oder höher.

1

Fahren Sie einen Ihrer HDS-Knoten herunter.

2

Wählen Sie in der vCenter Server-Appliance den HDS-Knoten aus.

3

Wählen Sie Einstellungen bearbeiten > CD/DVD-Laufwerk und deaktivieren Sie ISO-Datei für Datenspeicher.

4

Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 20 Minuten lang keine Alarme angezeigt werden.

5

Wiederholen Sie dies für jeden HDS-Knoten der Reihe nach.

Problembehandlung der Hybrid-Datensicherheit

Anzeigen von Warnungen und Beheben von Fehlern

Eine Hybrid-Datensicherheitsbereitstellung gilt als nicht verfügbar, wenn alle Knoten im Cluster nicht erreichbar sind oder der Cluster so langsam arbeitet, dass eine Zeitüberschreitung erforderlich ist. Wenn Benutzer Ihr Hybrid-Datensicherheitscluster nicht erreichen können, treten folgende Symptome auf:

  • Neue Bereiche können nicht erstellt werden (es konnten keine neuen Schlüssel erstellt werden)

  • Nachrichten- und Bereichstitel konnten für folgende Benutzer nicht entschlüsselt werden:

    • Neue zu einem Bereich hinzugefügte Benutzer (Schlüssel konnten nicht abgerufen werden)

    • Vorhandene Benutzer in einem Bereich, der einen neuen Client verwendet (Schlüssel konnten nicht abgerufen werden)

  • Vorhandene Benutzer in einem Bereich werden weiterhin erfolgreich ausgeführt, sofern ihre Clients über einen Cache für Verschlüsselungsschlüssel verfügen

Es ist wichtig, dass Sie Ihren Hybrid-Datensicherheitscluster ordnungsgemäß überwachen und alle Warnungen umgehend adressieren, um Dienstunterbrechungen zu vermeiden.

Warnungen

Wenn es ein Problem mit der Einrichtung der Hybrid-Datensicherheit gibt, zeigt Partner Hub Warnungen an den Administrator der Organisation an und sendet E-Mails an die konfigurierte E-Mail-Adresse. Die Warnungen betreffen viele gängige Szenarien.

Tabelle 1: Häufig auftretende Probleme und Schritte zur Problembehebung

Alarm

Vorgang

Fehler beim Zugriff auf die lokale Datenbank.

Überprüfen Sie das System auf Datenbankfehler oder lokale Netzwerkprobleme.

Fehler beim Herstellen einer Verbindung zur lokalen Datenbank.

Vergewissern Sie sich, dass der Datenbankserver verfügbar ist und die richtigen Dienstkonto-Anmeldeinformationen in der Knotenkonfiguration verwendet wurden.

Fehler beim Zugriff auf den Clouddienst.

Überprüfen Sie, ob die Knoten auf die Webex-Server zugreifen können, wie unter Externe Verbindungsanforderungen angegeben.

Registrierung des Clouddiensts wird erneuert.

Registrierung von Clouddiensten wurde verworfen. Erneuerung der Registrierung wird durchgeführt.

Registrierung des Clouddiensts wurde verworfen.

Registrierung von Clouddiensten wurde beendet. Dienst wird beendet.

Dienst noch nicht aktiviert.

Aktivieren Sie HDS in Partner Hub.

Konfigurierte Domäne stimmt nicht mit dem Serverzertifikat überein.

Vergewissern Sie sich, dass das Serverzertifikat mit der konfigurierten Dienstaktivierungsdomäne übereinstimmt.

Die wahrscheinlichste Ursache lautet, dass die Zertifikat-CN vor kurzem geändert wurde und nun von der CN abweicht, die während der ursprünglichen Einrichtung verwendet wurde.

Clouddienste konnten nicht authentifiziert werden.

Prüfen Sie die Daten auf korrekte Eingabe und einen möglichen Ablauf der Dienstkonto-Anmeldeinformationen.

Lokale Schlüsselspeicherdatei konnte nicht geöffnet werden.

Überprüfen Sie die lokale Schlüsselspeicherdatei auf Integrität und Kennwortgenauigkeit.

Lokales Serverzertifikat ist ungültig.

Überprüfen Sie das Ablaufdatum des Serverzertifikats und vergewissern Sie sich, dass es von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.

Metriken konnten nicht gepostet werden.

Überprüfen Sie den Zugriff des lokalen Netzwerks auf externe Clouddienste.

Das Verzeichnis /media/configdrive/hds ist nicht vorhanden.

Überprüfen Sie die ISO-Mountkonfiguration auf dem virtuellen Host. Vergewissern Sie sich, dass die ISO-Datei vorhanden ist, die beim Neustart für das Mounten konfiguriert ist und das Mounten erfolgreich ausgeführt wird.

Die Einrichtung der Mandanten-Organisation ist für die hinzugefügten Organisationen nicht abgeschlossen

Schließen Sie die Einrichtung ab, indem Sie mit dem HDS Setup Tool CMKs für neu hinzugefügte Mandantenorganisationen erstellen.

Die Einrichtung der Mandantenorganisation ist für die entfernten Organisationen nicht abgeschlossen

Schließen Sie die Einrichtung ab, indem Sie die CMKs der Mandantenorganisationen, die mit dem HDS Setup Tool entfernt wurden, widerrufen.

Problembehandlung der Hybrid-Datensicherheit

Beachten Sie bei der Behebung von Problemen mit Hybrid Data Security die folgenden allgemeinen Richtlinien.
1

Prüfen Sie Partner Hub auf Warnungen und beheben Sie alle Elemente, die Sie dort finden. Weitere Informationen finden Sie im Bild unten.

2

Überprüfen Sie die Syslog-Serverausgabe auf Aktivität aus der Hybrid-Datensicherheitsbereitstellung. Filtern Sie nach Wörtern wie „Warnung“ und „Fehler“, um bei der Fehlerbehebung zu helfen.

3

Kontaktieren Sie den Cisco-Support.

Sonstige Hinweise

Bekannte Probleme mit Hybrid-Datensicherheit

  • Wenn Sie Ihren Hybrid-Datensicherheitscluster herunterfahren (indem Sie ihn im Partner Hub löschen oder alle Knoten herunterfahren), Ihre Konfigurations-ISO-Datei verlieren oder den Zugriff auf die Keystore-Datenbank verlieren, können Webex-App-Benutzer von Kundenorganisationen keine Bereiche in ihrer Personenliste mehr verwenden, die mit Schlüsseln von Ihrem KMS erstellt wurden. Wir haben aktuell keine Problemumgehung oder Lösung für dieses Problem und empfehlen Ihnen dringend, Ihre HDS-Dienste nicht herunterzufahren, sobald sie aktive Benutzerkonten verarbeiten.

  • Ein Client, der über eine bestehende ECDH-Verbindung zu einem KMS verfügt, hält die Verbindung für einen Zeitraum aufrecht (ca. eine Stunde).

Generieren einer PKCS12-Datei mit OpenSSL

Vorbereitungen

  • OpenSSL ist eines der Tools, mit denen die PKCS12-Datei im richtigen Format für das Laden in das HDS-Setuptool erstellt werden kann. Es gibt auch andere Verfahren, keines davon wird von uns bevorzugt.

  • Wenn Sie sich für die Verwendung von OpenSSL entscheiden, stellen wir Ihnen dieses Verfahren als Richtlinie zur Verfügung, um eine Datei zu erstellen, die die X.509-Zertifikatsanforderungen in X.509-Zertifikatsanforderungen erfüllt. Machen Sie sich mit diesen Anforderungen vertraut, bevor Sie fortfahren.

  • Installieren Sie OpenSSL in einer unterstützten Umgebung. Software und Dokumentation finden Sie auf https://www.openssl.org.

  • Erstellen Sie einen privaten Schlüssel.

  • Beginnen Sie mit diesem Verfahren, wenn Sie das Serverzertifikat von Ihrer Zertifizierungsstelle (CA, Certificate Authority) erhalten.

1

Wenn Sie das Zertifikat von der CA erhalten, speichern Sie es als hdsnode.pem.

2

Zeigen Sie das Zertifikat als Text an, und überprüfen Sie die Details.

openssl x509 -text -noout -in hdsnode.pem

3

Erstellen Sie in einem Text-Editor eine Zertifikatpaketdatei namens hdsnode-bundle.pem. Die Paketdatei muss das Serverzertifikat, alle CA-Zwischenzertifikate sowie die CA-Stammzertifikate im unten angegebenen Format enthalten:

-----BEGIN CERTIFICATE------ ### Serverzertifikat. ### -----END CERTIFICATE------- BEGIN CERTIFICATE----- ### Zwischenzertifikat. ### -----END CERTIFICATE-------BEGIN CERTIFICATE----- ### Stamm-CA-Zertifikat. ### -----END CERTIFICATE-----

4

Erstellen Sie die P12-Datei mit dem Anzeigenamen kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Überprüfen Sie die Zertifikatdetails.

  1. openssl pkcs12 -in hdsnode.p12

  2. Geben Sie ein Passwort an der Eingabeaufforderung ein, um den privaten Schlüssel zu verschlüsseln, sodass er in der Ausgabe aufgeführt wird. Überprüfen Sie dann, ob der private Schlüssel und das erste Zertifikat die folgenden Zeilen enthalten: friendlyName: kms-private-key.

    Beispiel:

    bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Schlüsselattribute:  PEM-Passphrase eingeben: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY-----  -----END ENCRYPTED PRIVATE KEY----- Bag Attribute friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE-----

Nächste Schritte

Kehren Sie zurück zu Voraussetzungen für Hybrid-Datensicherheit erfüllen. Sie verwenden die Datei hdsnode.p12 und das Passwort, das Sie dafür festgelegt haben, unter Erstellen einer Konfigurations-ISO für die HDS-Hosts.

Sie können diese Dateien wiederverwenden, um ein neues Zertifikat anzufordern, wenn das ursprüngliche Zertifikat abläuft.

Datenverkehr zwischen den HDS-Knoten und der Cloud

Metriksammlung von ausgehendem Datenverkehr

Die Hybrid-Datensicherheitsknoten senden bestimmte Metriken an die Webex-Cloud. Dazu gehören Systemmetriken für max. Heap, verbrauchter Heap, CPU-Auslastung und Threadanzahl; Metriken zu synchronen und asynchronen Threads; Metriken zu Warnungen, darunter auch ein Schwellenwert der verschlüsselten Verbindungen, Latenz oder eine Anforderungswarteschlangenlänge; Metriken zum Datenspeicher; und Metriken zu verschlüsselten Verbindungen. Die Knoten senden verschlüsseltes Schlüsselmaterial über einen Out-of-Band-Kanal (separat von der Anforderung).

Eingehender Datenverkehr

Die Hybrid-Datensicherheitsknoten erhalten die folgenden Arten von eingehendem Datenverkehr von der Webex-Cloud:

  • Verschlüsselungsanforderungen von Clients, die vom Verschlüsselungsdienst umgeleitet werden

  • Upgrades für die Knoten-Software

Konfigurieren von Tintenfisch für die Hybriddatensicherheit

WebSocket kann nicht über SquID Proxy verbunden werden

Squid-Proxys, die den HTTPS-Datenverkehr prüfen, können die Einrichtung von Websocket-Verbindungen (wss:) beeinträchtigen, die für Hybrid Data Security erforderlich ist. Diese Abschnitte geben Anweisungen, wie Sie verschiedene Versionen von Squid konfigurieren, um WSS zu ignorieren: Datenverkehr für den ordnungsgemäßen Ablauf der Services.

Squid 4 und 5

Fügen Sie die on_unsupported_protocol Richtlinie zu squid.conf hinzu:

on_unsupported_protocol Alle tunnel

Squid 3.5.27

Wir haben die Hybriddatensicherheit erfolgreich mit den folgenden Regeln getestet, die zu squid .conf hinzugefügt wurden. Diese Regeln können sich geändert werden, da wir Funktionen entwickeln und die WebEx Cisco aktualisieren.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 alle ssl_bump stare step2 alle ssl_bump bump step3 alle

Neue und geänderte Informationen

Neue und geänderte Informationen

In dieser Tabelle werden neue Funktionen, Änderungen an vorhandenen Inhalten und alle wichtigen Fehler beschrieben, die im Bereitstellungsleitfaden für Multi-Tenant-Hybrid-Datensicherheit behoben wurden.

Datum

Vorgenommenen Änderungen

15. Januar 2025

Einschränkungen der Multi-Tenant-Hybrid-Datensicherheit hinzugefügt.

08. Januar 2025

In Erste Einrichtung durchführen und Installationsdateien herunterladen wurde ein Hinweis hinzugefügt, dass das Klicken auf Einrichten auf der HDS-Karte in Partner Hub ein wichtiger Schritt des Installationsprozesses ist.

07. Januar 2025

Aktualisierte Anforderungen für virtuelle Gastgeber, Bereitstellungsaufgaben für Hybrid-Datensicherheit und Installieren der HDS-Host-OVA , um neue Anforderungen von ESXi 7.0 anzuzeigen.

13. Dezember 2024

Erste Veröffentlichung.

Multi-Tenant Hybrid-Datensicherheit deaktivieren

Multi-Tenant-HDS-Deaktivierungsaufgabenablauf

Führen Sie diese Schritte aus, um Multi-Tenant-HDS vollständig zu deaktivieren.

Vorbereitungen

Diese Aufgabe sollte nur von einem Partnervolladministrator ausgeführt werden.
1

Entfernen Sie alle Kunden aus allen Ihren Clustern, wie unter Mandantenorganisationen entfernen erwähnt.

2

Widerrufen Sie die CMKs aller Kunden, wie unter CMKs von Tenants, die aus HDS entfernt wurden erwähnt.

3

Entfernen Sie alle Knoten aus all Ihren Clustern, wie unter Einen Knoten entfernen erwähnt.

4

Löschen Sie alle Ihre Cluster aus Partner Hub mithilfe einer der folgenden beiden Methoden.

  • Klicken Sie auf den Cluster, den Sie löschen möchten, und wählen Sie Diesen Cluster löschen in der oberen rechten Ecke der Übersichtsseite.
  • Klicken Sie auf der Seite „Ressourcen“ auf der rechten Seite eines Clusters auf ... und wählen Sie Cluster entfernen aus.
5

Klicken Sie auf der Übersichtsseite zur Hybrid-Datensicherheit auf die Registerkarte Einstellungen und klicken Sie auf der HDS-Statuskarte auf HDS deaktivieren .

Erste Schritte mit der Multi-Tenant-Hybrid-Datensicherheit

Multi-Tenant Hybrid-Datensicherheit – Übersicht

Vom ersten Tag an stand die Datensicherheit im Mittelpunkt der Entwicklung der Webex-App. Der Eckpfeiler dieser Sicherheit ist die durchgängige Verschlüsselung von Inhalten, die durch die Interaktion der Webex-App-Clients mit dem Schlüsselverwaltungsdienst (Key Management Service, KMS) ermöglicht wird. Der KMS erstellt und verwaltet die Kryptografieschlüssel, mit denen die Clients ihre Nachrichten und Dateien dynamisch ver- und entschlüsseln.

Standardmäßig erhalten alle Webex-App-Kunden eine durchgängige Verschlüsselung mit dynamischen Schlüsseln, die im Cloud-KMS im Sicherheitsbereich von Cisco gespeichert werden. Mit Hybrid Data Security werden KMS und andere Sicherheitsfunktionen in das Rechenzentrum Ihres Unternehmens verschoben, damit die Schlüssel zu ihren verschlüsselten Inhalten ausschließlich bei Ihnen liegen.

Multi-Tenant Hybrid Data Security ermöglicht es Unternehmen, HDS über einen vertrauenswürdigen lokalen Partner zu nutzen, der als Dienstleister fungieren und lokale Verschlüsselungs- und andere Sicherheitsdienste verwalten kann. Diese Einrichtung ermöglicht der Partnerorganisation die vollständige Kontrolle über die Bereitstellung und Verwaltung von Verschlüsselungscodes und stellt sicher, dass die Benutzerdaten von Kundenorganisationen vor externem Zugriff geschützt sind. Partnerorganisationen richten HDS-Instanzen ein und erstellen nach Bedarf HDS-Cluster. Im Gegensatz zu einer normalen HDS-Bereitstellung, die auf eine einzelne Organisation beschränkt ist, kann jede Instanz mehrere Kundenorganisationen unterstützen.

Partnerorganisationen haben zwar die Kontrolle über die Bereitstellung und Verwaltung, sie haben jedoch keinen Zugriff auf von Kunden generierte Daten und Inhalte. Dieser Zugriff ist auf Kundenorganisationen und ihre Benutzer beschränkt.

Dadurch können kleinere Organisationen auch HDS nutzen, da Schlüsselverwaltungsdienst und Sicherheitsinfrastruktur wie Rechenzentren im Besitz des vertrauenswürdigen lokalen Partners sind.

So bietet Multi-Tenant Hybrid Data Security Datensouveränität und Datenkontrolle

  • Benutzergenerierte Inhalte sind wie Cloud-Dienstanbieter vor externem Zugriff geschützt.
  • Vertrauenswürdige Partner vor Ort verwalten die Verschlüsselungscodes von Kunden, mit denen sie bereits eine bestehende Beziehung haben.
  • Option für lokalen technischen Support, falls vom Partner bereitgestellt.
  • Unterstützt Meeting-, Messaging- und Calling-Inhalte.

Dieses Dokument soll Partnerorganisationen bei der Einrichtung und Verwaltung von Kunden in einem Multi-Tenant-Hybrid-Datensicherheitssystem unterstützen.

Einschränkungen der Multi-Tenant-Hybrid-Datensicherheit

  • Partnerorganisationen dürfen keine vorhandene HDS-Bereitstellung in Control Hub aktiv haben.
  • Mandanten- oder Kundenorganisationen, die von einem Partner verwaltet werden möchten, dürfen keine vorhandene HDS-Bereitstellung in Control Hub haben.
  • Sobald der Partner Multi-Tenant-HDS bereitgestellt hat, können alle Benutzer von Kundenorganisationen sowie Benutzer der Partnerorganisation Multi-Tenant-HDS für ihre Verschlüsselungsdienste nutzen.

    Die von ihnen verwaltete Partnerorganisation und Kundenorganisationen werden sich in derselben Multi-Tenant-HDS-Bereitstellung befinden.

    Die Partnerorganisation verwendet Cloud-KMS nicht mehr, nachdem Multi-Tenant-HDS bereitgestellt wurde.

  • Es gibt keinen Mechanismus, um Schlüssel nach einer HDS-Bereitstellung wieder in das Cloud-KMS zu verschieben.
  • Derzeit kann jede Multi-Tenant-HDS-Bereitstellung nur über einen Cluster mit mehreren Knoten verfügen.
  • Administratorrollen haben bestimmte Einschränkungen. Weitere Informationen finden Sie im Abschnitt unten.

Rollen in der Multi-Tenant-Hybrid-Datensicherheit

  • Partner-Volladministrator – Kann Einstellungen für alle Kunden verwalten, die der Partner verwaltet. Außerdem können Sie bereits vorhandenen Benutzern in der Organisation Administratorrollen zuweisen und bestimmte Kunden für die Verwaltung durch Partneradministratoren zuweisen.
  • Partneradministrator – Kann Einstellungen für Kunden verwalten, die der Administrator bereitgestellt hat oder die dem Benutzer zugewiesen wurden.
  • Volladministrator – Administrator der Partnerorganisation, der berechtigt ist, Aufgaben auszuführen, z. B. die Änderung von Organisationseinstellungen, die Verwaltung von Lizenzen und das Zuweisen von Rollen.
  • Durchgängige Multi-Tenant-HDS-Einrichtung und -Verwaltung aller Kundenorganisationen – Partner-Volladministrator und Volle Administratorrechte erforderlich.
  • Verwaltung zugewiesener Mandanten-Organisationen – Partneradministrator und volle Administratorrechte erforderlich.

Sicherheitsbereichsarchitektur

Die Webex-Cloud-Architektur unterteilt verschiedene Arten von Diensten in separate Bereiche oder Vertrauensdomänen, wie unten dargestellt.

Bereiche der Trennung (ohne Hybrid-Datensicherheit)

Um die Hybrid-Datensicherheit besser zu verstehen, schauen wir uns zunächst diesen reinen Cloud-Fall an, bei dem Cisco alle Funktionen in seinen Cloud-Bereichen bereitstellt. Der Identitätsdienst, der einzige Ort, an dem Benutzer direkt mit ihren persönlichen Informationen in Verbindung gebracht werden können, wie z. B. die E-Mail-Adresse, ist logisch und physisch vom Sicherheitsbereich in Rechenzentrum B getrennt. Er ist wiederum von dem Bereich getrennt, in dem verschlüsselte Inhalte letztendlich gespeichert werden, in Rechenzentrum C.

In diesem Diagramm ist der Client die Webex-App, die auf dem Laptop eines Benutzers ausgeführt wird und sich mit dem Identitätsdienst authentifiziert hat. Wenn der Benutzer eine Nachricht verfasst, die er an einen Bereich senden möchte, finden folgende Schritte statt:

  1. Der Client stellt eine sichere Verbindung zum Schlüsselverwaltungsdienst her, und fordert anschließend einen Schlüssel zum Verschlüsseln der Nachricht an. Die sichere Verbindung verwendet ECDH und der Schlüsselverwaltungsdienst verschlüsselt den Schlüssel mit einem AES-256-Hauptschlüssel.

  2. Die Nachricht wird verschlüsselt, bevor sie den Client verlässt. Der Client sendet sie an den Indexdienst, der verschlüsselte Suchindizes erstellt, um zukünftige Suchvorgänge nach Inhalten zu unterstützen.

  3. Die verschlüsselte Nachricht wird an den Compliancedienst gesendet, damit Complianceprüfungen vorgenommen werden können.

  4. Die verschlüsselte Nachricht wird im Speicherbereich abgelegt.

Wenn Sie die Hybrid-Datensicherheit bereitstellen, verschieben Sie die Sicherheitsbereichsfunktionen (KMS, Indexierung und Compliance) in Ihr lokales Rechenzentrum. Die anderen Cloud-Dienste, aus denen Webex besteht (einschließlich Identitätsspeicher und Inhaltsspeicher), verbleiben in den Bereichen von Cisco.

Zusammenarbeit mit anderen Organisationen

Benutzer in Ihrer Organisation können die Webex-App regelmäßig verwenden, um mit externen Teilnehmern in anderen Organisationen zusammenzuarbeiten. Wenn einer Ihrer Benutzer einen Schlüssel für einen Bereich anfordert, der Ihrer Organisation gehört (da er von einem Ihrer Benutzer erstellt wurde) sendet Ihr Schlüsselverwaltungsdienst den Schlüssel über einen mit ECDH gesicherten Kanal an den Client. Wenn eine andere Organisation jedoch den Schlüssel für den Bereich besitzt, leitet Ihr KMS die Anforderung über einen separaten ECDH-Kanal an die Webex-Cloud weiter, um den Schlüssel vom entsprechenden KMS zu erhalten, und gibt den Schlüssel dann an Ihren Benutzer im ursprünglichen Kanal zurück.

Der KMS-Dienst, der unter Organisation A ausgeführt wird, überprüft die Verbindungen zu KMSs in anderen Organisationen mit x.509-PKI-Zertifikaten. Weitere Informationen zur Erzeugung eines x.509-Zertifikats für die Verwendung mit Ihrer Multi-Tenant-Hybrid-Datensicherheitsbereitstellung finden Sie unter Vorbereiten Ihrer Umgebung .

Erwartungen an die Bereitstellung der Hybrid-Datensicherheit

Eine Bereitstellung der Hybrid-Datensicherheit erfordert ein erhebliches Engagement und ein Bewusstsein für die Risiken, die mit dem Besitz von Verschlüsselungscodes einhergehen.

Zur Bereitstellung der Hybrid-Datensicherheit müssen Sie Folgendes bereitstellen:

Der vollständige Verlust der Konfigurations-ISO, die Sie für Hybrid Data Security erstellen, oder der von Ihnen bereitgestellten Datenbank führt zum Verlust der Schlüssel. Der Schlüsselverlust verhindert, dass Benutzer Bereichsinhalte und andere verschlüsselte Daten in der Webex-App entschlüsseln. Falls dies geschieht, können Sie eine neue Bereitstellung erstellen, es werden dabei jedoch nur neue Inhalte angezeigt. Gehen Sie folgendermaßen vor, damit Sie nicht den Zugriff auf die Daten verlieren:

  • Verwalten Sie die Sicherung und Wiederherstellung der Datenbank und die ISO-Konfigurationsdatei.

  • Bereiten Sie sich darauf vor, eine schnelle Notfallwiederherstellung durchzuführen, wenn eine Katastrophe eintritt, z. B. ein Fehler der Datenbank oder ein Absturz des Rechenzentrums.

Es gibt keinen Mechanismus, um Schlüssel nach einer HDS-Bereitstellung zurück in die Cloud zu verschieben.

Übergeordneter Einrichtungsprozess

Dieses Dokument behandelt die Einrichtung und Verwaltung einer Multi-Tenant-Hybrid-Datensicherheitsbereitstellung:

  • Hybrid-Datensicherheit einrichten – Dazu gehört die Vorbereitung der erforderlichen Infrastruktur und die Installation der Hybrid-Datensicherheitssoftware, der Aufbau eines HDS-Clusters, das Hinzufügen von Tenant-Organisationen zum Cluster und die Verwaltung ihrer Customer Main Keys (CMKs). Damit können alle Benutzer Ihrer Kundenorganisationen Ihr Hybrid-Datensicherheitscluster für Sicherheitsfunktionen verwenden.

    Die Einrichtungs-, Aktivierungs- und Verwaltungsphase werden in den nächsten drei Kapiteln ausführlich behandelt.

  • Aufrechterhaltung Ihrer Hybrid-Datensicherheitsbereitstellung – Die Webex-Cloud stellt automatisch laufende Upgrades bereit. Ihre IT-Abteilung kann Ebene-1-Support anbieten und bei Bedarf den Cisco-Support hinzuziehen. Sie können Benachrichtigungen auf dem Bildschirm verwenden und E-Mail-basierte Warnungen in Partner Hub einrichten.

  • Allgemeine Warnungen, Schritte zur Fehlerbehebung und bekannte Probleme verstehen: Wenn bei der Bereitstellung oder Verwendung von Hybrid-Datensicherheit Probleme auftreten, können Sie das letzte Kapitel dieses Leitfadens und der Anhang „Bekannte Probleme“ bei der Ermittlung und Behebung des Problems helfen.

Bereitstellungsmodell für die Hybrid-Datensicherheit

Im Rechenzentrum Ihres Unternehmens stellen Sie die hybride Datensicherheit als ein Cluster von Knoten auf separaten virtuellen Hosts bereit. Die Knoten kommunizieren mit der Webex Cloud über sichere Websockets und sicheres HTTP.

Während des Installationsvorgangs stellen wir Ihnen die OVA-Datei bereit, mit der Sie die virtuelle Appliance auf den von Ihnen angegebenen VMs einrichten können. Mit dem HDS-Setuptool erstellen Sie eine benutzerdefinierte ISO-Clusterkonfigurationsdatei, die Sie bei den einzelnen Knoten mounten. Der Hybrid-Datensicherheitscluster verwendet den von Ihnen bereitgestellten Syslogd-Server und die PostgreSQL- oder Microsoft SQL Server-Datenbank. (Sie konfigurieren die Syslogd- und Datenbankverbindungsdetails im HDS Setup Tool.)

Bereitstellungsmodell für die Hybrid-Datensicherheit

Die Mindestanzahl von Knoten in einem Cluster lautet zwei. Wir empfehlen mindestens drei pro Cluster. Die Tatsache, dass mehrere Knoten vorhanden sind, stellt sicher, dass der Dienst während eines Software-Upgrades oder anderer Wartungsaktivitäten auf einem Knoten nicht unterbrochen wird. (Die Webex-Cloud aktualisiert jeweils nur einen Knoten.)

Alle Knoten in einem Cluster greifen auf denselben Schlüsseldatenspeicher zu und sie protokollieren Aktivitäten auf demselben Syslog-Server. Die Knoten selbst besitzen keinen Status und verarbeiten Schlüsselanfragen nach dem Round-Robin-Verfahren, wie von der Cloud vorgegeben.

Knoten werden aktiv, wenn Sie sie in Partner Hub registrieren. Um einen einzelnen Knoten zu deaktivieren, können Sie die Registrierung aufheben und ggf. zu einem späteren Zeitpunkt erneut registrieren.

Standby-Rechenzentrum für die Notfallwiederherstellung

Während der Bereitstellung richten Sie ein sicheres Standby-Rechenzentrum ein. Bei einem Absturz des Rechenzentrums können Sie die Bereitstellung manuell auf das Standby-Rechenzentrum umstellen.

Vor dem Failover verfügt Rechenzentrum A über aktive HDS-Knoten und die primäre PostgreSQL- oder Microsoft SQL Server-Datenbank, während B über eine Kopie der ISO-Datei mit zusätzlichen Konfigurationen, in der Organisation registrierte VMs und eine Standby-Datenbank verfügt. Nach dem Failover verfügt Rechenzentrum B über aktive HDS-Knoten und die primäre Datenbank, während A über nicht registrierte VMs und eine Kopie der ISO-Datei verfügt und sich die Datenbank im Standby-Modus befindet.
Manuelles Failover zum Standby-Rechenzentrum

Die Datenbanken der aktiven und Standby-Rechenzentren sind synchronisiert, wodurch die Zeit für die Durchführung des Failovers minimiert wird.

Die aktiven Hybrid-Datensicherheitsknoten müssen sich immer im selben Rechenzentrum wie der aktive Datenbankserver befinden.

Proxy-Support

Die Hybriddatensicherheit unterstützt explizite, transparente Inspektionen und Nichtinspizierungsproxys. Sie können diese Proxys an Ihre Bereitstellung binden, damit Sie den Datenverkehr aus dem Unternehmen heraus in die-Cisco sichern und überwachen können. Sie können eine Netzwerkverwaltung auf den Knoten für Zertifikats-Management verwenden und den Status der gesamten Konnektivität überprüfen, nachdem Sie den Proxy auf den Knoten eingerichtet haben.

Die Hybrid Data Sicherheitshinweis unterstützt die folgenden Proxyoptionen:

  • Kein Proxy: Der Standardwert, wenn Sie nicht die Konfiguration von Vertrauensspeicher und Proxy für die Integration eines Proxys beim Einrichten des HDS-Knotens verwenden. Es ist keine Zertifikatsaktualisierung erforderlich.

  • Transparenter Proxy ohne Prüfung – Die Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert und sollten keine Änderungen erfordern, um mit einem Proxy ohne Prüfung zu arbeiten. Es ist keine Zertifikatsaktualisierung erforderlich.

  • Transparentes Tunneln oder Proxyprüfen: Die Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert. Es sind keine Änderungen bei der Konfigurationänderung von http oder HTTPS Allerdings benötigen die Knoten eine Stammzertifikat, sodass Sie dem Proxy Vertrauen. Die Inspektion von Proxys wird in der Regel von ihm verwendet, um Strategien durchzusetzen, welche Websites besichtigt werden können und welche Arten von Inhalten nicht zulässig sind. Diese Art von Proxy entschlüsselt den gesamten Datenverkehr (auch HTTPS).

  • Expliziter Proxy: Mit explizitem Proxy teilen Sie den HDS-Knoten mit, welcher Proxyserver und welches Authentifizierungsschema verwendet werden sollen. Um einen expliziten Proxy zu konfigurieren, müssen Sie die folgenden Informationen zu den einzelnen Knoten eingeben:

    1. Proxy-IP/FQDN: Adresse, die verwendet werden kann, um die Proxy-Maschine zu erreichen.

    2. Proxy-Port: Eine Portnummer, die der Proxy verwendet, um nach proxyem Datenverkehr zu suchen.

    3. Proxy-Protokoll: Wählen Sie je nachdem, was Ihr Proxy-Server unterstützt, zwischen den folgenden Protokollen aus:

      • – Und steuert alle Anfragen, die der Client sendet.

      • HTTPS – stellt einen Kanal zum Server bereit. Der Client erhält und prüft das Zertifikat des Servers.

    4. Authentifizierungstyp: Wählen Sie aus den folgenden Authentifizierungstypen aus:

      • Keine: Es ist keine weitere Authentifizierung erforderlich.

        Verfügbar, wenn Sie entweder http oder HTTPS als Proxyprotokoll auswählen.

      • Basic – wird für einen HTTP-Benutzeragenten verwendet, um bei einer Anfrage einen Benutzernamen und ein Kennwort anzugeben. Zertifikatsformat verwendet.

        Verfügbar, wenn Sie entweder http oder HTTPS als Proxyprotokoll auswählen.

        Hiermit müssen Sie die Benutzername und das Passwort eines jeden Knotens eingeben.

      • Digest – wird verwendet, um das Konto vor dem Senden sensibler Informationen zu bestätigen. Gibt eine Hashfunktion auf die Benutzername und das Passwort ein, bevor Sie über das Netzwerk senden.

        Nur verfügbar, wenn Sie HTTPS als Proxyprotokoll auswählen.

        Hiermit müssen Sie die Benutzername und das Passwort eines jeden Knotens eingeben.

Beispiel für hybride Datensicherheitsknoten und Proxy

Dieses Diagramm zeigt eine Beispielverbindung zwischen der Hybriddatensicherheit, dem Netzwerk und einem Proxy. Für die transparente Inspektion und HTTPS explizite Überprüfung der Proxyoptionen müssen dieselben Stammzertifikat auf dem Proxy und auf den Hybriden Datensicherheitsknoten installiert sein.

Externer DNS Auflösungsmodus blockiert (explizite Proxykonfigurationen)

Wenn Sie einen Knoten registrieren oder die Proxykonfiguration des Knotens überprüfen, testet das Verfahren die DNS und die Konnektivität der Cisco WebEx. Bei Bereitstellungen mit expliziten Proxykonfigurationen, die keine externe DNS für interne Clients zulassen, wenn der Knoten die DNS-Server nicht Abfragen kann, geht er automatisch in den gesperrten externen DNS-Server. In diesem Modus können Knotenregistrierungen und andere Proxyverbindungstests fortgeführt werden.

Umgebung vorbereiten

Anforderungen für die Multi-Tenant-Hybrid-Datensicherheit

Cisco Webex-Lizenzanforderungen

So stellen Sie Multi-Tenant Hybrid Data Security bereit:

  • Partnerorganisationen: Wenden Sie sich an Ihren Cisco-Partner oder Account Manager und stellen Sie sicher, dass die Multi-Tenant-Funktion aktiviert ist.

  • Mandantenorganisationen: Sie benötigen Pro Pack für Cisco Webex Control Hub. (Siehe https://www.cisco.com/go/pro-pack.)

Docker Desktop-Anforderungen

Bevor Sie Ihre HDS-Knoten installieren, benötigen Sie Docker Desktop, um ein Setup-Programm auszuführen. Docker hat kürzlich sein Lizenzierungsmodell aktualisiert. Ihre Organisation benötigt möglicherweise ein kostenpflichtiges Abonnement für Docker Desktop. Weitere Informationen finden Sie im Docker-Blog-Post: " Docker aktualisiert und erweitert unsere Produktabonnements".

Anforderungen an das X.509-Zertifikat

Diese Zertifikatskette muss die folgenden Anforderungen erfüllen:

Tabelle 1: X.509-Zertifikatsanforderungen für die Hybrid-Datensicherheitsbereitstellung

Anforderung

Details

  • Von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert

Standardmäßig vertrauen wir den Zertifizierungsstellen in der Mozilla-Liste (mit Ausnahme von WoSign und StartCom) unter https://wiki.mozilla.org/CA:IncludedCAs.

  • Trägt einen CN-Domänennamen (Common Name), der Ihre Hybrid-Datensicherheitsbereitstellung identifiziert

  • Ist kein Platzhalterzertifikat

Der CN muss nicht erreichbar und kein Live-Host sein. Wir empfehlen die Verwendung eines Namens, der Ihre Organisation widerspiegelt, z. B. hds.unternehmen.com.

Der CN darf kein * (Platzhalter) enthalten.

Der CN wird verwendet, um die Hybrid-Datensicherheitsknoten für Webex-App-Clients zu verifizieren. Alle Hybrid-Datensicherheitsknoten in Ihrem Cluster verwenden das gleiche Zertifikat. Ihr KMS identifiziert sich selbst unter Verwendung der CN-Domäne, nicht einer beliebigen Domäne, die in den x.509v3-SAN-Feldern definiert ist.

Nachdem Sie einen Knoten mit diesem Zertifikat registriert haben, kann der CN-Domänenname nicht mehr geändert werden.

  • Keine SHA1-Signatur

Die KMS-Software unterstützt keine SHA1-Signaturen zum Validieren von Verbindungen zu KMS anderer Organisationen.

  • Als passwortgeschützte PKCS #12-Datei formatiert

  • Verwenden Sie den Anzeigenamen kms-private-key zum Kennzeichnen des Zertifikats, des privaten Schlüssels und aller Zwischenzertifikate, die hochgeladen werden sollen.

Sie können das Format Ihres Zertifikats mithilfe einer Konvertierungssoftware wie OpenSSL ändern.

Sie müssen das Passwort eingeben, wenn Sie das HDS-Setuptool ausführen.

Die KMS-Software erzwingt keine Schlüsselnutzung und beschränkt erweiterte Schlüsselnutzung nicht. Einige Zertifizierungsstellen erfordern Beschränkungen einer erweiterten Schlüsselnutzung für jedes Zertifikat, wie z. B. Server-Authentifizierung. Die Server-Authentifizierung oder andere Einstellungen zu verwenden, ist zulässig.

Anforderungen für virtuelle Gastgeber

Die virtuellen Hosts, die Sie als Hybrid-Datensicherheitsknoten in Ihrem Cluster einrichten, haben die folgenden Anforderungen:

  • Mindestens zwei separate Hosts (3 empfohlen) befinden sich im gleichen sicheren Rechenzentrum

  • VMware ESXi 7.0 (oder höher) installiert und ausgeführt.

    Sie müssen ein Upgrade durchführen, wenn Sie über eine frühere Version von ESXi verfügen.

  • Mindestens 4 vCPUs, 8 GB Hauptspeicher, 30 GB lokaler Festplattenspeicher pro Server

Datenbankserveranforderungen

Erstellen Sie eine neue Datenbank für die Schlüsselspeicherung. Verwenden Sie nicht die Standarddatenbank. Die HDS-Anwendungen erstellen bei Installation das Datenbankschema.

Für den Datenbankserver gibt es zwei Optionen. Die Anforderungen für jede dieser Komponenten lauten wie folgt:

Tabelle 2. Anforderungen für Datenbankserver nach Datenbanktyp

PostgreSQL

Microsoft SQL-Server

  • PostgreSQL 14, 15 oder 16, installiert und ausgeführt.

  • SQL Server 2016, 2017 oder 2019 (Enterprise oder Standard) installiert.

    SQL Server 2016 erfordert Service Pack 2 und kumulatives Update 2 oder höher.

Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichend Festplattenkapazität und Überwachung zur Sicherstellung, dass dieser nicht überschritten wird (2 TB empfohlen, falls die Datenbank über längere Zeit ohne Erweiterung der Festplattenkapazität ausgeführt werden soll)

Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichend Festplattenkapazität und Überwachung zur Sicherstellung, dass dieser nicht überschritten wird (2 TB empfohlen, falls die Datenbank über längere Zeit ohne Erweiterung der Festplattenkapazität ausgeführt werden soll)

Die HDS-Software installiert derzeit die folgenden Treiberversionen für die Kommunikation mit dem Datenbankserver:

PostgreSQL

Microsoft SQL-Server

Der Treiber Postgres JDBC 42.2.5

SQL Server JDBC-Treiber 4.6

Diese Treiberversion unterstützt SQL Server Always On (Always On Failover Cluster Instances und Always On-Verfügbarkeitsgruppen).

Zusätzliche Anforderungen für die Windows-Authentifizierung gegen Microsoft SQL Server

Wenn Sie möchten, dass HDS-Knoten die Windows-Authentifizierung verwenden, um Zugriff auf Ihre Keystore-Datenbank auf Microsoft SQL Server zu erhalten, benötigen Sie die folgende Konfiguration in Ihrer Umgebung:

  • Die HDS-Knoten, die Active Directory-Infrastruktur und der MS SQL Server müssen alle mit dem NTP synchronisiert werden.

  • Das Windows-Konto, das Sie auf HDS-Knoten bereitstellen, muss Lese-/Schreibzugriff auf die Datenbank haben.

  • Die DNS-Server, die Sie für HDS-Knoten bereitstellen, müssen in der Lage sein, Ihr Key Distribution Center (KDC) aufzulösen.

  • Sie können die HDS-Datenbankinstanz auf Ihrem Microsoft SQL Server als Service Principal Name (SPN) in Ihrem Active Directory registrieren. Siehe Registrieren eines Dienstprinzipalnamens für Kerberos-Verbindungen.

    Das HDS-Setup-Tool, der HDS-Launcher und das lokale KMS müssen für den Zugriff auf die Keystore-Datenbank die Windows-Authentifizierung verwenden. Sie verwenden die Details aus Ihrer ISO-Konfiguration, um die SPN zu konstruieren, wenn sie den Zugriff mit der Kerberos-Authentifizierung anfordern.

Anforderungen an externe Konnektivität

Konfigurieren Sie Ihre Firewall so, dass die folgende Konnektivität für die HDS-Anwendungen zugelassen ist:

Anwendung

Protokoll

Port

Richtung von der App

Ziel

Hybrid-Datensicherheitsknoten

TCP

443

Ausgehend HTTPS und WSS

  • Webex-Server:

    • *.wbx2.com

    • *.ciscospark.com

  • Alle Common Identity-Hosts

  • Weitere URLs, die für die Hybrid-Datensicherheit in der Tabelle Zusätzliche URLs für Webex-Hybriddienste unter Netzwerkanforderungen für Webex-Dienste aufgeführt sind

HDS-Einrichtungstool

TCP

443

Ausgehendes HTTPS

  • *.wbx2.com

  • Alle Common Identity-Hosts

  • hub.docker.com

Die Hybrid-Datensicherheitsknoten funktionieren mit NAT (Network Access Translation) oder hinter einer Firewall, solange NAT oder Firewall die erforderlichen ausgehenden Verbindungen zu den in der vorangehenden Tabelle aufgeführten Domänenzielen zulässt. Für eingehende Verbindungen zu den Hybrid-Datensicherheitsknoten sollten keine Ports aus dem Internet sichtbar sein. In Ihrem Rechenzentrum benötigen Clients aus administrativen Gründen Zugriff auf die Hybrid-Datensicherheitsknoten auf den TCP-Ports 443 und 22.

Die URLs für die CI-Hosts (Common Identity) sind regionsspezifisch. Dies sind die aktuellen CI-Hosts:

Region

Host-URLs der allgemeinen Identität

Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Europäische Union

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Vereinigte Arabische Emirate

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Vorgaben für Proxy-Server

  • Wir unterstützen offiziell die folgenden Proxylösungen, die in ihre Hybriden Sicherheitsknoten integriert werden können.

    • Transparenter Proxy – Cisco Web Sicherheitsgerät (WSA).

    • Explizite –.

      Squid-Proxys, die den HTTPS-Datenverkehr untersuchen, können die Einrichtung von Websocket-Verbindungen (wss:) beeinträchtigen. Informationen zur Behebung dieses Problems finden Sie unter Konfigurieren von Squid-Proxys für Hybrid-Datensicherheit.

  • Wir unterstützen die folgenden Authentifizierungskombinationen für explizite Proxys:

    • Keine Authentifizierung mit http oder HTTPS

    • Grundlegende Authentifizierung mit http oder HTTPS

    • Verdauungsauthentifizierung nur mit HTTPS

  • Um einen transparenten Proxy oder einen HTTPS expliziten Proxy zu erhalten, müssen Sie eine Kopie des Stammzertifikat des Stellvertreters besitzen. Die Bereitstellungsanweisungen in diesem Handbuch zeigen Ihnen, wie Sie die Kopie in die Vertrauensspeicher der Hybriden Datensicherheitsknoten hochladen können.

  • Das Netzwerk, das die HDS Nodes hostet, muss so konfiguriert sein, dass es den ausgehenden TCP Traffic auf Port 443 durch den Proxy zwingt

  • Proxys, die den Webverkehr inspizieren, können die Websteckverbindung beeinträchtigen. Wenn dieses Problem auftritt, wird das Problem durch Umgehung des Datenverkehrs zu wbx2.com und ciscospark.com gelöst.

Erfüllen der Voraussetzungen für die Hybrid-Datensicherheit

Stellen Sie mit dieser Checkliste sicher, dass Sie bereit für die Installation und Konfiguration Ihres Hybrid-Datensicherheitsclusters sind.
1

Stellen Sie sicher, dass Ihre Partnerorganisation die Multi-Tenant-HDS-Funktion aktiviert hat, und sichern Sie sich die Anmeldeinformationen für ein Konto mit vollen Partneradministratorrechten und vollen Administratorrechten. Stellen Sie sicher, dass Ihre Webex-Kundenorganisation für Pro Pack für Cisco Webex Control Hub aktiviert ist. Wenden Sie sich an Ihren Cisco-Partner oder an Ihren Account Manager, falls Sie Hilfe bei diesem Verfahren benötigen.

Kundenorganisationen sollten keine vorhandene HDS-Bereitstellung haben.

2

Wählen Sie einen Domänennamen für Ihre HDS-Bereitstellung (z. B. hds.company.com) aus und rufen Sie eine Zertifikatskette ab, die ein X.509-Zertifikat, einen privaten Schlüssel und alle Zwischenzertifikate enthält. Die Zertifikatskette muss die Anforderungen in X.509-Zertifikatsanforderungen erfüllen.

3

Bereiten Sie identische virtuelle Hosts vor, die Sie als Hybrid-Datensicherheitsknoten in Ihrem Cluster einrichten werden. Sie benötigen mindestens zwei separate Hosts (3 empfohlen), die sich im selben sicheren Rechenzentrum befinden und die Anforderungen unter Anforderungen für virtuelle Hosts erfüllen.

4

Bereiten Sie den Datenbankserver vor, der als Schlüsseldatenspeicher für den Cluster dient, gemäß den Anforderungen für den Datenbankserver. Der Datenbankserver muss sich im sicheren Rechenzentrum mit den virtuellen Hosts befinden.

  1. Erstellen Sie eine Datenbank für die Schlüsselspeicherung. (Sie müssen diese Datenbank erstellen. Verwenden Sie nicht die Standarddatenbank. Die HDS-Anwendungen erstellen bei Installation das Datenbankschema.)

  2. Sammeln Sie die Informationen, die die Knoten zur Kommunikation mit dem Datenbankserver benötigen:

    • Der Hostname oder die IP-Adresse (Host) und der Port

    • Der Name der Datenbank (dbname) zur Schlüsselspeicherung

    • Der Benutzername und das Kennwort eines Benutzers mit allen Rechten in der Schlüsseldatenbank

5

Richten Sie für eine schnelle Notfallwiederherstellung eine Backup-Umgebung in einem anderen Rechenzentrum ein. Die Backup-Umgebung spiegelt die Produktionsumgebung von VMs und eines Backup-Datenbankservers wider. Wenn beispielsweise in der Produktion 3 VMs HDS-Knoten ausführen, sollte die Backup-Umgebung 3 VMs haben.

6

Richten Sie einen syslog-Host ein, um Protokolle aus den Knoten im Cluster zu sammeln. Dokumentieren Sie dessen Netzwerkadresse und syslog-Port (Standard ist UDP 514).

7

Erstellen Sie eine sichere Backup-Richtlinie für die Hybrid-Datensicherheitsknoten, den Datenbankserver und den Syslog-Host. Um einen nicht behebbaren Datenverlust zu vermeiden, müssen Sie mindestens die Datenbank und die für die Hybrid-Datensicherheitsknoten generierte Konfigurations-ISO-Datei sichern.

Da auf den Hybrid-Datensicherheitsknoten die für die Ver- und Entschlüsselung von Inhalten verwendeten Schlüssel gespeichert werden, führt das Versäumnis, eine betriebliche Bereitstellung aufrechtzuerhalten, zum NICHT BEHEBBAREN VERLUST dieser Inhalte.

Webex-App-Clients speichern ihre Schlüssel im Zwischenspeicher, sodass ein Ausfall möglicherweise nicht sofort spürbar ist, aber mit der Zeit offensichtlich wird. Vorübergehende Ausfälle sind unvermeidlich, aber behebbar. Bei einem vollständigen Verlust (keine Backups verfügbar) entweder der Datenbank oder der ISO-Konfigurationsdatei gehen jedoch Kundendaten unwiederbringlich verloren. Von den Betreibern der Hybrid-Datensicherheitsknoten wird erwartet, dass sie häufige Sicherungen der Datenbank und der Konfigurations-ISO-Datei erstellen und im Falle eines katastrophalen Ausfalls das Rechenzentrum für die Hybrid-Datensicherheit neu erstellen.

8

Stellen Sie sicher, dass Ihre Firewall-Konfiguration eine Verbindung für Ihre Hybrid-Datensicherheitsknoten ermöglicht, wie unter Externe Verbindungsanforderungen beschrieben.

9

Installieren Sie Docker ( https://www.docker.com) auf jedem lokalen Computer, auf dem ein unterstütztes Betriebssystem ausgeführt wird (Microsoft Windows 10 Professional, Enterprise 64-Bit oder Mac OSX Yosemite 10.10.3 oder höher) und ein Webbrowser, der unter http://127.0.0.1:8080. darauf zugreifen kann.

Mit der Docker-Instanz können Sie das HDS Setup Tool herunterladen und ausführen, das die lokalen Konfigurationsinformationen für alle Hybrid-Datensicherheitsknoten erstellt. Möglicherweise benötigen Sie eine Docker Desktop-Lizenz. Weitere Informationen finden Sie unter Anforderungen für Docker Desktop .

Um das HDS Setup Tool zu installieren und auszuführen, muss der lokale Computer über die unter Anforderungen an externe Konnektivität beschriebenen Konnektivität verfügen.

10

Wenn Sie einen Proxy mit Hybrid Data Security integrieren, stellen Sie sicher, dass er die Anforderungen für den Proxy-Server erfüllt.

Hybrid-Datensicherheitscluster einrichten

Ablauf der Bereitstellungsaufgabe für die Hybrid-Datensicherheit

Vorbereitungen

1

Erste Einrichtung durchführen und Installationsdateien herunterladen

Laden Sie die OVA-Datei für eine spätere Verwendung auf Ihren lokalen Computer herunter.

2

Erstellen einer ISO-Konfigurationsdatei für die HDS-Hosts

Erstellen Sie mit dem HDS Setup Tool eine ISO-Konfigurationsdatei für die Hybrid-Datensicherheitsknoten.

3

Installieren des HDS Host OVA

Erstellen Sie eine virtuelle Maschine aus der OVA-Datei und führen Sie eine erste Konfiguration durch, z. B. Netzwerkeinstellungen.

Die Option zum Konfigurieren der Netzwerkeinstellungen während der OVA-Bereitstellung wurde mit ESXi 7.0 getestet. In früheren Versionen ist diese Option möglicherweise nicht verfügbar.

4

Einrichten der Hybrid-Datensicherheits-VM

Melden Sie sich bei der VM-Konsole an und legen Sie die Anmeldeinformationen fest. Konfigurieren Sie die Netzwerkeinstellungen für den Knoten, falls Sie diese bei der OVA-Bereitstellung nicht konfiguriert haben.

5

Hochladen und Mounten der HDS-Konfigurations-ISO

Konfigurieren Sie die VM aus der ISO-Konfigurationsdatei, die Sie mit dem HDS Setup Tool erstellt haben.

6

Konfigurieren des HDS Knotens für Proxyintegration

Wenn für die Netzwerkumgebung eine Proxy-Konfiguration erforderlich ist, geben Sie den Proxy-Typ an, den Sie für den Knoten verwenden möchten, und fügen Sie das Proxy-Zertifikat ggf. zum Vertrauensspeicher hinzu.

7

Ersten Knoten im Cluster registrieren

Registrieren Sie die VM in der Cisco Webex Cloud als Hybrid-Datensicherheitsknoten.

8

Weitere Knoten erstellen und registrieren

Schließen Sie die Cluster-Einrichtung ab.

9

Aktivieren Sie Multi-Tenant-HDS in Partner Hub.

Aktivieren Sie HDS und verwalten Sie Mandantenorganisationen in Partner Hub.

Erste Einrichtung durchführen und Installationsdateien herunterladen

Bei dieser Aufgabe laden Sie eine OVA-Datei auf Ihren Computer herunter (nicht auf die Server, die Sie als Hybrid-Datensicherheitsknoten eingerichtet haben). Sie können diese Datei zu einem späteren Zeitpunkt im Installationsprozess verwenden.

1

Melden Sie sich bei Partner Hub an und klicken Sie auf Dienste.

2

Suchen Sie im Abschnitt „Cloud-Dienste“ nach der Hybrid-Datensicherheitskarte und klicken Sie auf Einrichten.

Das Klicken auf Einrichten in Partner Hub ist entscheidend für den Bereitstellungsprozess. Fahren Sie mit der Installation nicht fort, ohne diesen Schritt abzuschließen.

3

Klicken Sie auf Ressource hinzufügen und dann auf OVA-Datei herunterladen auf der Karte Software installieren und konfigurieren .

Ältere Versionen des Softwarepakets (OVA) sind mit den neuesten Upgrades für die Hybrid-Datensicherheit nicht kompatibel. Dies kann zu Problemen beim Upgrade der Anwendung führen. Stellen Sie sicher, dass Sie die neueste Version der OVA-Datei herunterladen.

Sie können die OVA auch jederzeit im Abschnitt Hilfe herunterladen. Klicken Sie auf Einstellungen > Hilfe > Hybrid-Datensicherheitssoftware herunterladen.

Der Download der OVA-Datei beginnt automatisch. Speichern Sie die Datei auf Ihrem Computer.
4

Klicken Sie optional auf Bereitstellungsleitfaden zur Hybrid-Datensicherheit anzeigen , um zu überprüfen, ob eine spätere Version dieses Leitfadens verfügbar ist.

Erstellen einer ISO-Konfigurationsdatei für die HDS-Hosts

Beim Einrichtungsprozess für die Hybrid-Datensicherheit wird eine ISO-Datei erstellt. Anschließend verwenden Sie die ISO, um Ihren Hybrid-Datensicherheitshost zu konfigurieren.

Vorbereitungen
1

Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

In regulären Umgebungen:

docker rmi ciscocitg/hds-setup:stabil

In FedRAMP-Umgebungen:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

2

Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

Docker Anmeldung -u hdscustomersro
3

Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

In regulären Umgebungen:

docker pull ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

  • In regulären Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In FedRAMP-Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express-Server hören auf Port 8080) sehen.

6

Das Setup-Tool unterstützt die Verbindung zu localhost über http://localhost:8080 nicht. Verwenden Sie http://127.0.0.1:8080 , um eine Verbindung zum Localhost herzustellen.

Navigieren Sie in einem Webbrowser zum Localhost, http://127.0.0.1:8080, und geben Sie bei Aufforderung den Admin-Benutzernamen für Partner Hub ein.

Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto festzulegen. Das Tool zeigt dann die Standard-Anmeldeaufforderung an.

7

Wenn Sie dazu aufgefordert werden, geben Sie Ihre Partner Hub-Administratoranmeldeinformationen ein und klicken Sie dann auf Anmelden , um den Zugriff auf die für die Hybrid-Datensicherheit erforderlichen Dienste zu erlauben.

8

Klicken Sie auf der Übersichtsseite des Setup Tool auf Get Started (Erste Schritte).

9

Auf der Seite ISO-Import stehen Ihnen folgende Optionen zur Verfügung:

  • Nein – Wenn Sie Ihren ersten HDS-Knoten erstellen, müssen Sie keine ISO-Datei hochladen.
  • Ja: Wenn Sie bereits HDS-Knoten erstellt haben, wählen Sie Ihre ISO-Datei im Browse aus und laden Sie sie hoch.
10

Überprüfen Sie, ob Ihr X.509-Zertifikat die Anforderungen in X.509-Zertifikatsanforderungen erfüllt.

  • Wenn Sie noch nie ein Zertifikat hochgeladen haben, laden Sie das X.509-Zertifikat hoch, geben Sie das Passwort ein und klicken Sie auf Weiter.
  • Wenn Ihr Zertifikat in Ordnung ist, klicken Sie auf Weiter.
  • Wenn Ihr Zertifikat abgelaufen ist oder Sie es ersetzen möchten, wählen Sie Nein für Weiterhin HDS-Zertifikatskette und privaten Schlüssel aus vorheriger ISO verwenden? aus. Laden Sie ein neues X.509-Zertifikat hoch, geben Sie das Passwort ein und klicken Sie auf Weiter.
11

Geben Sie die Datenbankadresse und das Konto für HDS ein, um auf Ihren Schlüsseldatenspeicher zuzugreifen:

  1. Wählen Sie Ihren Datenbanktyp (PostgreSQL oder Microsoft SQL Server) aus.

    Wenn Sie Microsoft SQL Server auswählen, wird das Feld „Authentifizierungstyp“ angezeigt.

  2. (Nur Microsoft SQL Server ) Wählen Sie Ihren Authentifizierungstyp aus:

    • Basisauthentifizierung: Sie benötigen einen lokalen SQL-Server-Kontonamen im Feld Benutzername .

    • Windows-Authentifizierung: Sie benötigen ein Windows-Konto im Format Benutzername@DOMÄNE im Feld Benutzername .

  3. Geben Sie die Adresse des Datenbankservers im Format : oder : ein.

    Beispiel
    dbhost.example.org:1433 oder 198.51.100.17:1433

    Sie können eine IP-Adresse für die Basisauthentifizierung verwenden, wenn die Knoten nicht DNS zur Auflösung des Hostnamens verwenden können.

    Wenn Sie die Windows-Authentifizierung verwenden, müssen Sie einen vollständig qualifizierten Domänennamen im Format dbhost.example.org:1433 eingeben.

  4. Geben Sie den Datenbanknamen ein.

  5. Geben Sie den Benutzernamen und das Kennwort eines Benutzers mit allen Berechtigungen in der Schlüsselspeicherdatenbank ein.

12

Wählen Sie einen TLS-Datenbankverbindungsmodus aus:

Modus

Beschreibung

TLS bevorzugen (Standardoption)

HDS-Knoten benötigen kein TLS, um eine Verbindung zum Datenbankserver herzustellen. Wenn Sie TLS auf dem Datenbankserver aktivieren, versuchen die Knoten eine verschlüsselte Verbindung.

TLS erforderlich

HDS-Knoten verbinden sich nur, wenn der Datenbankserver TLS aushandeln kann.

TLS erforderlich und Zertifikat signer überprüfen

Dieser Modus gilt nicht für SQL Server-Datenbanken.

  • HDS-Knoten verbinden sich nur, wenn der Datenbankserver TLS aushandeln kann.

  • Nach dem Herstellen einer TLS-Verbindung vergleicht der Knoten den Unterzeichner des Zertifikats vom Datenbankserver mit der Zertifizierungsstelle im Datenbank-Stammzertifikat. Wenn sie nicht übereinstimmen, wird die Verbindung durch den Knoten hergestellt.

Verwenden Sie die Stammzertifikat-Steuerung unterhalb des Dropdown-Dropdowns, um den Stammzertifikat Option hochzuladen.

TLS erforderlich und Zertifikats signer und Hostname überprüfen

  • HDS-Knoten verbinden sich nur, wenn der Datenbankserver TLS aushandeln kann.

  • Nach dem Herstellen einer TLS-Verbindung vergleicht der Knoten den Unterzeichner des Zertifikats vom Datenbankserver mit der Zertifizierungsstelle im Datenbank-Stammzertifikat. Wenn sie nicht übereinstimmen, wird die Verbindung durch den Knoten hergestellt.

  • Die Knoten überprüfen außerdem, ob der Host-Name im Serverzertifikat mit dem Host-Namen im Feld Datenbank-Host und Port übereinstimmt. Die Namen müssen genau mit den Namen übereinstimmen, oder der Knoten unterfällt die Verbindung.

Verwenden Sie die Stammzertifikat-Steuerung unterhalb des Dropdown-Dropdowns, um den Stammzertifikat Option hochzuladen.

Wenn Sie das Stammzertifikat hochladen (falls erforderlich) und auf Weiter klicken, testet das HDS Setup Tool die TLS-Verbindung zum Datenbankserver. Das Tool überprüft auch den Zertifikat signer und den Hostnamen, falls vorhanden. Wenn ein Test fehlschlägt, zeigt das Tool eine Fehlermeldung an, in der das Problem beschrieben wird. Sie können auswählen, ob Sie den Fehler ignorieren und mit der Einrichtung fortfahren möchten. (Aufgrund von Verbindungsunterschieden können die HDS-Knoten möglicherweise eine TLS-Verbindung herstellen, auch wenn das HDS Setup Tool diese nicht erfolgreich testen kann.)

13

Konfigurieren Sie auf der Seite Systemprotokolle Ihren Syslogd-Server:

  1. Geben Sie die URL des Syslog-Servers ein.

    Wenn der Server nicht über die Knoten für Ihr HDS-Cluster DNS-aufgelöst werden kann, verwenden Sie eine IP-Adresse in der URL.

    Beispiel
    udp://10.92.43.23:514 zeigt die Protokollierung auf dem Syslogd-Host 10.92.43.23 auf UDP-Port 514 an.

  2. Wenn Sie Ihren Server für die Verwendung der TLS-Verschlüsselung einrichten, aktivieren Sie das Kontrollkästchen Ist Ihr Syslog-Server für die SSL-Verschlüsselung konfiguriert?.

    Wenn Sie dieses Kontrollkästchen aktivieren, stellen Sie sicher, dass Sie eine TCP-URL eingeben, z. B. tcp://10.92.43.23:514.

  3. Wählen Sie in der Dropdown-Liste Syslog-Aufzeichnungsbeendigung auswählen die entsprechende Einstellung für Ihre ISO-Datei aus: Choose or NewLine wird für Graylog und Rsyslog TCP verwendet

    • Null-Byte -- \x00

    • Neue Zeile -- \n– Wählen Sie diese Auswahl für Graylog und Rsyslog TCP.

  4. Klicken Sie auf Weiter.

14

(Optional) Sie können den Standardwert für einige Datenbankverbindungsparameter unter Erweiterte Einstellungen ändern. Im Allgemeinen ist dieser Parameter der einzige, den Sie ändern möchten:

app_datasource_connection_pool_maxGröße: 10
15

Klicken Sie im Bildschirm Kennwort für Dienstkonten zurücksetzen auf Weiter .

Passwörter für Dienstkonten haben eine Lebensdauer von neun Monaten. Verwenden Sie diesen Bildschirm, wenn Ihre Passwörter bald ablaufen oder Sie sie zurücksetzen möchten, um frühere ISO-Dateien ungültig zu machen.

16

Klicken Sie auf Download ISO File (ISO-Datei herunterladen). Speichern Sie die Datei an einem leicht auffindbaren Speicherort.

17

Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System.

Sichern Sie die Sicherungskopie sicher. Die Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff auf Administratoren für Hybrid-Datensicherheit, die Konfigurationsänderungen vornehmen sollten.

18

Um das Setup Tool herunterzufahren, tippen Sie STRG+C ein.

Nächste Schritte

Sichern Sie die ISO-Konfigurationsdatei. Sie benötigen sie, um weitere Knoten für die Wiederherstellung zu erstellen oder Konfigurationsänderungen vorzunehmen. Wenn Sie alle Kopien der ISO-Datei verlieren, haben Sie auch den Hauptschlüssel verloren. Die Schlüssel aus Ihrer PostgreSQL- oder Microsoft SQL Server-Datenbank können nicht wiederhergestellt werden.

Wir haben nie eine Kopie dieses Schlüssels und können nicht helfen, wenn Sie ihn verlieren.

Installieren des HDS Host OVA

Verwenden Sie dieses Verfahren, um eine virtuelle Maschine aus der OVA-Datei zu erstellen.
1

Melden Sie sich über den VMware vSphere-Client auf Ihrem Computer bei dem ESXi virtuellen Host an.

2

Wählen Sie Datei > OVF-Vorlage bereitstellen aus.

3

Geben Sie im Assistenten den Speicherort der OVA-Datei an, die Sie zuvor heruntergeladen haben, und klicken Sie auf Weiter.

4

Geben Sie auf der Seite Name und Ordner auswählen einen Namen der virtuellen Maschine für den Knoten ein (z. B. „HDS_Node_1“), wählen Sie einen Ort aus, an dem sich die Knotenbereitstellung der virtuellen Maschine befinden kann, und klicken Sie auf Weiter.

5

Wählen Sie auf der Seite Berechnungsressource auswählen die Ziel-Berechnungsressource aus, und klicken Sie auf Weiter.

Eine Validierungsprüfung wird ausgeführt. Nach Abschluss werden die Vorlagendetails angezeigt.

6

Überprüfen Sie die Vorlagendetails, und klicken Sie dann auf Weiter.

7

Wenn Sie aufgefordert werden, die Ressourcenkonfiguration auf der Seite Konfiguration auszuwählen, klicken Sie auf 4 CPU und dann auf Weiter.

8

Klicken Sie auf der Seite Speicher auswählen auf Weiter , um das standardmäßige Festplattenformat und die VM-Speicherrichtlinie zu akzeptieren.

9

Wählen Sie auf der Seite Netzwerke auswählen die Netzwerkoption aus der Liste der Einträge aus, um die gewünschte Konnektivität für die VM bereitzustellen.

10

Konfigurieren Sie auf der Seite Vorlage anpassen die folgenden Netzwerkeinstellungen:

  • Host-Name: Geben Sie den FQDN (Host-Name und Domäne) oder ein Wort des Host-Namens für den Knoten ein.

    • Sie müssen die Domäne nicht auf die Domäne ändern, über die Sie das X.509-Zertifikat erhalten haben.

    • Um eine erfolgreiche Registrierung in der Cloud sicherzustellen, verwenden Sie im FQDN oder dem Hostnamen, den Sie für den Knoten festgelegt haben, nur Kleinbuchstaben. Großbuchstaben werden derzeit nicht unterstützt.

    • Der FQDN darf insgesamt nicht länger als 64 Zeichen sein.

  • IP-Adresse: Geben Sie die IP-Adresse für die interne Schnittstelle des Knotens ein.

    Ihr Knoten hat jetzt eine interne IP-Adresse und einen DNS-Namen. DHCP wird nicht unterstützt.

  • Maske: Geben Sie die Adresse der Subnetzmaske in Punkt-Dezimalschrift ein. Beispiel: 255.255.255.0.
  • Gateway: Geben Sie die Gateway-IP-Adresse ein. Ein Gateway ist ein Netzwerkknoten, der als Zugangspunkt zu einem anderen Netzwerk dient.
  • DNS-Server: Geben Sie eine durch Kommas getrennte Liste von DNS-Servern ein, die die Übersetzung von Domänennamen in numerische IP-Adressen verarbeiten. (Es sind bis zu 4 DNS-Einträge zulässig.)
  • NTP-Server – Geben Sie den NTP-Server Ihrer Organisation oder einen anderen externen NTP-Server ein, der in Ihrer Organisation verwendet werden kann. Die Standard-NTP-Server funktionieren möglicherweise nicht für alle Unternehmen. Sie können auch eine durch Kommas getrennte Liste verwenden, um mehrere NTP-Server einzugeben.

  • Stellen Sie alle Knoten im selben Subnetz oder VLAN bereit, damit alle Knoten in einem Cluster zu Verwaltungszwecken von Clients in Ihrem Netzwerk aus erreichbar sind.

Wenn Sie dies vorziehen, können Sie die Konfiguration der Netzwerkeinstellungen überspringen und die Schritte unter Einrichten der Hybrid-Datensicherheit-VM befolgen, um die Einstellungen über die Knotenkonsole zu konfigurieren.

Die Option zum Konfigurieren der Netzwerkeinstellungen während der OVA-Bereitstellung wurde mit ESXi 7.0 getestet. In früheren Versionen ist diese Option möglicherweise nicht verfügbar.

11

Klicken Sie mit der rechten Maustaste auf die Knoten-VM, und wählen Sie Ein/Aus > Einschalten.

Die Hybrid-Datensicherheitssoftware wird als Gast auf dem VM-Host installiert. Sie können sich jetzt bei der Konsole anmelden und den Knoten konfigurieren.

Leitfaden zur Fehlerbehebung

Es kann zu einer Verzögerung von einigen Minuten kommen, bis die Knotencontainer angezeigt werden. Beim erstmaligen Start wird eine Bridge-Firewall-Nachricht angezeigt, während der Sie sich anmelden können.

Einrichten der Hybrid-Datensicherheits-VM

Mit diesem Verfahren können Sie sich zum ersten Mal bei der VM-Konsole des Hybrid-Datensicherheitsknotens anmelden und die Anmeldeinformationen festlegen. Sie können auch die Konsole verwenden, um die Netzwerkeinstellungen für den Knoten zu konfigurieren, falls Sie diese bei der OVA-Bereitstellung nicht konfiguriert haben.

1

Wählen Sie im VMware vSphere-Client, Ihre Hybrid-Datensicherheitsknoten-VM und daraufhin die Registerkarte Console (Konsole) aus.

Die VM fährt hoch und ein Anmeldebildschirm erscheint. Drücken Sie die Eingabetaste, falls der Anmeldebildschirm nicht angezeigt wird.
2

Verwenden Sie den folgenden Standard-Anmeldenamen und das Standardkennwort, um sich anzumelden und die Anmeldedaten zu ändern:

  1. Benutzername: admin

  2. Passwort: Cisco

Da Sie sich zum ersten Mal bei der VM anmelden, müssen Sie das Administratorkennwort ändern.

3

Wenn Sie die Netzwerkeinstellungen bereits unter Installieren der HDS-Host-OVA konfiguriert haben, überspringen Sie den Rest dieses Verfahrens. Wählen Sie andernfalls im Hauptmenü die Option Konfiguration bearbeiten aus.

4

Richten Sie eine statische Konfiguration ein und geben Sie die Daten für IP-Adresse, Maske, Gateway und DNS ein. Ihr Knoten hat jetzt eine interne IP-Adresse und einen DNS-Namen. DHCP wird nicht unterstützt.

5

(Optional) Ändern Sie die Werte für Hostname, Domäne oder NTP-Server, wenn dies gemäß Ihren Netzwerkrichtlinien erforderlich ist.

Sie müssen die Domäne nicht auf die Domäne ändern, über die Sie das X.509-Zertifikat erhalten haben.

6

Speichern Sie die Netzwerkkonfiguration und starten Sie die VM neu, damit die Änderungen in Kraft treten.

Hochladen und Mounten der HDS-Konfigurations-ISO

Verwenden Sie dieses Verfahren, um die virtuelle Maschine über die ISO-Datei, die Sie mit dem HDS Setup Tool erstellt haben, zu konfigurieren.

Vorbereitungen

Da die ISO-Datei den Hauptschlüssel enthält, sollte sie nur auf Basis eines "Need-to-Know"-Basis zugänglich gemacht werden, für den Zugriff durch die Hybrid Data Security-VMs und alle Administratoren, die möglicherweise Änderungen vornehmen müssen. Stellen Sie sicher, dass nur diese Administratoren Zugriff auf den Datenspeicher haben.

1

Laden Sie die ISO-Datei von Ihrem Computer hoch:

  1. Klicken Sie im linken Navigationsbereich des VMware vSphere Client auf den ESXi-Server.

  2. Klicken Sie in der Hardwareliste der Registerkarte „Configuration“ (Konfiguration) auf Storage (Speicher).

  3. Rechtsklicken Sie in der Datenspeicher-Liste auf den Datenspeicher Ihrer VMs. Klicken Sie daraufhin auf Browse Datastore (Datenspeicher durchsuchen).

  4. Klicken Sie auf das Symbol „Upload Files“ (Dateien hochladen) und daraufhin auf Upload File (Datei hochladen).

  5. Navigieren Sie zum Speicherort der ISO-Datei auf Ihrem Computer und klicken Sie auf Open (Öffnen).

  6. Klicken Sie auf Yes (Ja), um die Upload/Download-Warnung zu bestätigen und schließen Sie den Datenspeicherdialog.

2

Mounten Sie die ISO-Datei:

  1. Rechtsklicken Sie im linken Navigationsbereich des VMware vSphere Client auf die VM. Klicken Sie daraufhin auf Edit Settings (Einstellungen bearbeiten).

  2. Klicken Sie auf OK, um die Warnung zu eingeschränkten Optionen zu bestätigen.

  3. Klicken Sie auf CD/DVD-Laufwerk 1, wählen Sie die Option zum Mounten einer Datenspeicher-ISO-Datei aus und navigieren Sie zu dem Speicherort, zu dem Sie die ISO-Konfigurationsdatei hochgeladen haben.

  4. Aktivieren Sie die Kontrollkästchen Connected (Verbunden) und Connect at power on (Beim Einschalten verbinden).

  5. Speichern Sie Ihre Änderungen und starten Sie die virtuelle Maschine neu.

Nächste Schritte

Wenn Ihre IT-Richtlinie dies erfordert, können Sie optional die ISO-Datei unmounten, nachdem alle Knoten die Konfigurationsänderungen übernommen haben. Weitere Informationen finden Sie unter (Optional) ISO nach HDS-Konfiguration unmounten .

Konfigurieren des HDS Knotens für Proxyintegration

Wenn die Netzwerkumgebung einen Proxy erfordert, geben Sie mit diesem Vorgang den Typ des Proxy an, den Sie in die Hybriddatensicherheit integrieren möchten. Wenn Sie einen transparenten Anrufproxy oder einen HTTPS expliziten Proxy wählen, können Sie die Stammzertifikat über die Schnittstelle des Knotens hochladen und installiert werden. Sie können auch die Proxyverbindung über die Schnittstelle überprüfen und mögliche Probleme beheben.

Vorbereitungen

1

Geben Sie den HDS Knoten Setup URL https://[HDS Node IP oder FQDN]/Setup in einem Webbrowser ein, geben Sie die Administrationsdaten ein, die Sie für den Knoten eingerichtet haben, und klicken Sie dann auf Anmelden.

2

Gehen Sie zu Trust Store & Proxyund wählen Sie dann eine Option:

  • Kein Proxy – Die Standardoption, bevor Sie einen Proxy integrieren. Es ist keine Zertifikatsaktualisierung erforderlich.
  • Transparenter Proxy ohne Prüfung: Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert und sollten keine Änderungen erfordern, um mit einem Proxy ohne Prüfung zu arbeiten. Es ist keine Zertifikatsaktualisierung erforderlich.
  • Transparentes Prüfen des Proxys: Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert. Bei der Bereitstellung der Hybriden Datensicherheit sind keine HTTPS-Konfigurationshinstellungsänderungen erforderlich, allerdings benötigen die Hägg-Knoten eine Stammzertifikat, damit Sie dem Proxy Vertrauen. Die Inspektion von Proxys wird in der Regel von ihm verwendet, um Strategien durchzusetzen, welche Websites besichtigt werden können und welche Arten von Inhalten nicht zulässig sind. Diese Art von Proxy entschlüsselt den gesamten Datenverkehr (auch HTTPS).
  • Expliziter Proxy – Mit explizitem Proxy können Sie dem Client (HDS-Knoten) mitteilen, welcher Proxyserver verwendet werden soll. Diese Option unterstützt mehrere Authentifizierungstypen. Nachdem Sie diese Option aktiviert haben, müssen Sie folgende Informationen eingeben:

    1. Proxy-IP/FQDN: Adresse, die verwendet werden kann, um die Proxy-Maschine zu erreichen.

    2. Proxy-Port: Eine Portnummer, die der Proxy verwendet, um nach proxyem Datenverkehr zu suchen.

    3. Proxy-Protokoll – Wählen Sie http (zeigt alle Anforderungen an und steuert sie, die vom Client empfangen werden) oder https (stellt einen Kanal zum Server bereit, und der Client empfängt und validiert das Serverzertifikat). Wählen Sie eine Option, basierend auf Ihren Proxy-Server unterstützt.

    4. Authentifizierungstyp: Wählen Sie aus den folgenden Authentifizierungstypen aus:

      • Keine: Es ist keine weitere Authentifizierung erforderlich.

        Verfügbar für http oder HTTPS.

      • Basic – wird für einen HTTP-Benutzeragenten verwendet, um bei einer Anfrage einen Benutzernamen und ein Kennwort anzugeben. Zertifikatsformat verwendet.

        Verfügbar für http oder HTTPS.

        Wenn Sie diese Option auswählen, müssen Sie auch die Benutzername und das Passwort eingeben.

      • Digest – wird verwendet, um das Konto vor dem Senden sensibler Informationen zu bestätigen. Gibt eine Hashfunktion auf die Benutzername und das Passwort ein, bevor Sie über das Netzwerk senden.

        Nur für HTTPS Proxies verfügbar.

        Wenn Sie diese Option auswählen, müssen Sie auch die Benutzername und das Passwort eingeben.

Befolgen Sie die nächsten Schritte für einen transparenten Inspektionsproxy, einen HTTP expliziten Proxy mit Basisauthentifizierung oder einen HTTPS expliziten Proxy

3

Klicken Sie auf ein Zertifikat für das Stammzertifikat oder Endnutzerzertifikat hochladen, und navigieren Sie dann zu einer Stammzertifikat für den Proxy.

Das Zertifikat ist hochgeladen, aber noch nicht installiert, da Sie den Knoten neu starten müssen, um das Zertifikat zu installieren. Klicken Sie auf den Chevron Pfeil unter dem Namen des Zertifikats, um weitere Details zu erhalten, oder klicken Sie auf löschen, Wenn Sie Fehler gemacht haben und die Datei erneut hochladen möchten.

4

Klicken Sie auf Stellvertreterverbindung prüfen , um die Netzwerkverbindung zwischen dem Knoten und dem Proxy zu testen.

Wenn der Verbindungstest ausfällt, wird eine Fehlermeldung angezeigt, die den Grund und die Frage, wie Sie das Problem beheben können, anzeigt.

Wenn Sie eine Meldung sehen, dass eine externe DNS nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen. Diese Bedingung wird in vielen expliziten Proxykonfigurationen erwartet. Sie können mit dem Setup fortfahren, und der Knoten wird im gesperrten externen DNS-Server funktionieren. Wenn Sie glauben, dass es sich um einen Fehler handelt, führen Sie die folgenden Schritte aus. Siehe Modus für blockierte externe DNS-Auflösung deaktivieren.

5

Nach dem Durchführen des Verbindungstests, für expliziten Proxy, der nur auf HTTPS gesetzt ist, aktivieren Sie die Option so schalten Sie alle Port 443/444 https Anfragen aus diesem Knoten durch den expliziten Proxy Diese Einstellung benötigt 15 Sekunden, um wirksam zu werden.

6

Klicken Sie auf alle-Zertifizierungsstellen in den Trust Store installieren (erscheint für einen HTTPS expliziten Proxy oder einen transparenten Inspektionskrimi) oder Neustart (erscheint für einen HTTP expliziten Proxy), lesen Sie die Aufforderung, und klicken Sie dann auf in

Der Knoten startet innerhalb weniger Minuten.

7

Nachdem der Knoten erneut gestartet wurde, melden Sie sich bei Bedarf erneut an, und öffnen Sie dann die Übersichtsseite, um die Verbindungsüberprüfungen zu überprüfen, um sicherzustellen, dass Sie alle im grünen Status sind.

Die Proxyverbindung prüft nur eine Unterdomäne von WebEx.com. Wenn es Verbindungsprobleme gibt, ist ein häufiges Problem, dass einige der in den instructions aufgeführten-C-Domänen beim Proxy gesperrt werden.

Ersten Knoten im Cluster registrieren

Diese Aufgabe übernimmt den generischen Knoten, den Sie unter Einrichten der Hybrid Data Security-VM erstellt haben, registriert den Knoten bei der Webex Cloud und wandelt ihn in einen Hybrid Data Security-Knoten um.

Bei der Registrierung Ihres ersten Knotens erstellen Sie ein Cluster, zu dem der Knoten zugewiesen wird. Ein Cluster umfasst einen oder mehrere Knoten, die aus Redundanzgründen bereitgestellt werden.

Vorbereitungen

  • Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.

  • Stellen Sie sicher, dass alle Popupblocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.

1

Melden Sie sich bei https://admin.webex.com an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach der Karte „Hybrid-Datensicherheit“, und klicken Sie auf Einrichten.

4

Klicken Sie auf der sich öffnenden Seite auf Ressource hinzufügen.

5

Geben Sie im ersten Feld der Karte Knoten hinzufügen einen Namen für das Cluster ein, dem Sie Ihren Hybrid-Datensicherheitsknoten zuweisen möchten.

Benennen Sie Ihre Cluster nach Möglichkeit nach dem geografischen Standort der Clusterknoten. Beispiele: „San Francisco“ oder „New York“ oder „Dallas“

6

Geben Sie im zweiten Feld die interne IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) Ihres Knotens ein und klicken Sie unten auf dem Bildschirm auf Hinzufügen .

Diese IP-Adresse oder FQDN sollte mit der IP-Adresse oder dem Hostnamen und der Domäne übereinstimmen, die Sie beim Einrichten der Hybrid-Datensicherheit-VM verwendet haben.

Es wird eine Meldung angezeigt, dass Sie Ihren Knoten in Webex registrieren können.
7

Klicken Sie auf Go to Node (Zum Knoten wechseln).

Nach einigen Augenblicken werden Sie zu den Knoten-Konnektivitätstests für Webex-Dienste umgeleitet. Sind alle Tests erfolgreich, wird die Seite „Allow Access to Hybrid Data Security Node“ (Zugriff zu Hybrid-Datensicherheits-Knoten gewähren) angezeigt. Bestätigen Sie dort, dass Sie Ihrer Webex-Organisation die Zugriffsberechtigungen für Ihren Knoten erteilen möchten.

8

Aktivieren Sie das Kontrollkästchen Allow Access to Your Hybrid Data Security Node (Zugriff zu Ihrem Hybrid-Datensicherheits-Knoten gewähren) und klicken Sie anschließend auf Continue (Weiter).

Ihr Konto wird validiert, und die Meldung „Registrierung abgeschlossen“ zeigt an, dass Ihr Knoten jetzt in der Webex Cloud registriert ist.
9

Klicken Sie auf den Link oder schließen Sie die Registerkarte, um zur Partner Hub-Hybrid-Datensicherheitsseite zurückzukehren.

Auf der Seite Hybrid-Datensicherheit wird das neue Cluster mit dem registrierten Knoten auf der Registerkarte Ressourcen angezeigt. Der Knoten lädt die aktuelle Software automatisch aus der Cloud herunter.

Weitere Knoten erstellen und registrieren

Um Ihrem Cluster weitere Knoten hinzuzufügen, erstellen Sie einfach weitere VMs, mounten die ISO-Konfigurationsdatei und registrieren daraufhin den Knoten. Wir empfehlen, mindestens 3 Knoten zu betreiben.

Vorbereitungen

  • Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.

  • Stellen Sie sicher, dass alle Popupblocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.

1

Erstellen Sie eine neue virtuelle Maschine über die OVA und wiederholen Sie die Schritte unter Installieren der HDS-Host-OVA.

2

Richten Sie die Erstkonfiguration für die neue VM ein. Wiederholen Sie die Schritte unter Einrichten der Hybrid-Datensicherheit-VM.

3

Wiederholen Sie auf der neuen VM die Schritte unter HDS-Konfigurations-ISO hochladen und mounten.

4

Wenn Sie einen Proxy für Ihre Bereitstellung einrichten, wiederholen Sie die Schritte unter Konfigurieren des HDS-Knotens für die Proxy-Integration nach Bedarf für den neuen Knoten.

5

Registrieren Sie den Knoten.

  1. Wählen Sie unter https://admin.webex.com Services (Dienste) aus dem Menü auf der linken Bildschirmseite aus.

  2. Suchen Sie im Abschnitt „Cloud-Dienste“ nach der Hybrid-Datensicherheitskarte und klicken Sie auf Alle anzeigen.

    Die Seite „Hybrid-Datensicherheitsressourcen“ wird angezeigt.

  3. Der neu erstellte Cluster wird auf der Seite Ressourcen angezeigt.

  4. Klicken Sie auf den Cluster, um die dem Cluster zugewiesenen Knoten anzuzeigen.

  5. Klicken Sie rechts auf dem Bildschirm auf Knoten hinzufügen .

  6. Geben Sie die interne IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) Ihres Knotens ein und klicken Sie auf Hinzufügen.

    Es wird eine Seite mit einer Meldung geöffnet, die angibt, dass Sie Ihren Knoten in der Webex-Cloud registrieren können. Nach einigen Augenblicken werden Sie zu den Knoten-Konnektivitätstests für Webex-Dienste umgeleitet. Sind alle Tests erfolgreich, wird die Seite „Allow Access to Hybrid Data Security Node“ (Zugriff zu Hybrid-Datensicherheits-Knoten gewähren) angezeigt. Bestätigen Sie dort, dass Sie Ihrer Organisation die Zugriffsberechtigungen für Ihren Knoten erteilen möchten.

  7. Aktivieren Sie das Kontrollkästchen Allow Access to Your Hybrid Data Security Node (Zugriff zu Ihrem Hybrid-Datensicherheits-Knoten gewähren) und klicken Sie anschließend auf Continue (Weiter).

    Ihr Konto wird validiert, und die Meldung „Registrierung abgeschlossen“ zeigt an, dass Ihr Knoten jetzt in der Webex Cloud registriert ist.

  8. Klicken Sie auf den Link oder schließen Sie die Registerkarte, um zur Partner Hub-Hybrid-Datensicherheitsseite zurückzukehren.

    Die Popup-Meldung Knoten hinzugefügt wird auch unten auf dem Bildschirm in Partner Hub angezeigt.

    Ihr Knoten ist registriert.

Mandantenorganisationen für Multi-Tenant-Hybrid-Datensicherheit verwalten

Multi-Tenant HDS in Partner Hub aktivieren

Diese Aufgabe stellt sicher, dass alle Benutzer der Kundenorganisationen HDS für lokale Verschlüsselungsschlüssel und andere Sicherheitsdienste nutzen können.

Vorbereitungen

Stellen Sie sicher, dass Sie die Einrichtung Ihres Multi-Tenant-HDS-Clusters mit der erforderlichen Anzahl an Knoten abgeschlossen haben.

1

Melden Sie sich bei https://admin.webex.com an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach „Hybrid-Datensicherheit“ und klicken Sie auf Einstellungen bearbeiten.

4

Klicken Sie auf der Karte HDS-Status auf HDS-Aktivierung .

Mandantenorganisationen in Partner Hub hinzufügen

Weisen Sie bei dieser Aufgabe Kundenorganisationen Ihrem Hybrid-Datensicherheitscluster zu.

1

Melden Sie sich bei https://admin.webex.com an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach Hybrid-Datensicherheit und klicken Sie auf Alle anzeigen.

4

Klicken Sie auf den Cluster, dem ein Kunde zugewiesen werden soll.

5

Wechseln Sie zur Registerkarte Zugewiesene Kunden .

6

Klicken Sie auf Kunden hinzufügen.

7

Wählen Sie im Dropdown-Menü den Kunden aus, den Sie hinzufügen möchten.

8

Klicken Sie auf Hinzufügen. Der Kunde wird dem Cluster hinzugefügt.

9

Wiederholen Sie die Schritte 6 bis 8, um mehrere Kunden zu Ihrem Cluster hinzuzufügen.

10

Klicken Sie auf Fertig am unteren Bildschirmrand, nachdem Sie die Kunden hinzugefügt haben.

Nächste Schritte

Führen Sie das HDS-Einrichtungstool wie unter Erstellen von Kundenhauptschlüsseln (Customer Main Keys, CMKs) mit dem HDS-Einrichtungstool beschrieben aus, um die Einrichtung abzuschließen.

Kundenhauptschlüssel (Customer Main Keys, CMKs) mit dem HDS Setup-Tool erstellen

Vorbereitungen

Weisen Sie Kunden dem entsprechenden Cluster zu, wie unter Mandantenorganisationen in Partner Hub hinzufügen beschrieben. Führen Sie das HDS Setup-Tool aus, um den Einrichtungsprozess für die neu hinzugefügten Kundenorganisationen abzuschließen.

  • Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zu zugreifen, führen Sie Docker auf diesem Computer aus. Der Einrichtungsprozess erfordert die Anmeldeinformationen eines Partner Hub-Kontos mit vollen Administratorrechten für Ihre Organisation.

    Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxy-Einstellungen (Server, Port, Anmeldeinformationen) über die Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in Schritt 5 aufrufen. Diese Tabelle enthält einige mögliche Umgebungsvariablen:

    Beschreibung

    Variable

    HTTP-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

  • Die von Ihnen generierte ISO-Konfigurationsdatei enthält den Hauptschlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die neueste Kopie dieser Datei, wenn Sie Konfigurationsänderungen wie die folgenden vornehmen:

    • Datenbank-Anmeldeinformationen

    • Zertifikats-Aktualisierungen

    • Änderungen an der Autorisierungsrichtlinie

  • Wenn Sie Datenbankverbindungen verschlüsseln möchten, richten Sie Ihre PostgreSQL- oder SQL Server-Bereitstellung für TLS ein.

Beim Einrichtungsprozess für die Hybrid-Datensicherheit wird eine ISO-Datei erstellt. Anschließend verwenden Sie die ISO, um Ihren Hybrid-Datensicherheitshost zu konfigurieren.

1

Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

In regulären Umgebungen:

docker rmi ciscocitg/hds-setup:stabil

In FedRAMP-Umgebungen:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

2

Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

Docker Anmeldung -u hdscustomersro
3

Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

In regulären Umgebungen:

docker pull ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

  • In regulären Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In FedRAMP-Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express-Server hören auf Port 8080) sehen.

6

Das Setup-Tool unterstützt die Verbindung zu localhost über http://localhost:8080 nicht. Verwenden Sie http://127.0.0.1:8080 , um eine Verbindung zum Localhost herzustellen.

Navigieren Sie in einem Webbrowser zum Localhost, http://127.0.0.1:8080, und geben Sie bei Aufforderung den Admin-Benutzernamen für Partner Hub ein.

Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto festzulegen. Das Tool zeigt dann die Standard-Anmeldeaufforderung an.

7

Wenn Sie dazu aufgefordert werden, geben Sie Ihre Partner Hub-Administratoranmeldeinformationen ein und klicken Sie dann auf Anmelden , um den Zugriff auf die für die Hybrid-Datensicherheit erforderlichen Dienste zu erlauben.

8

Klicken Sie auf der Übersichtsseite des Setup Tool auf Get Started (Erste Schritte).

9

Klicken Sie auf der Seite ISO-Import auf Ja.

10

Wählen Sie Ihre ISO-Datei im Browser aus und laden Sie sie hoch.

Stellen Sie sicher, dass die Verbindung zu Ihrer Datenbank hergestellt wird, um eine CMK-Verwaltung durchzuführen.
11

Gehen Sie zur Registerkarte Mandanten-CMK-Verwaltung , auf der Sie die folgenden drei Möglichkeiten zur Verwaltung von Mandanten-CMKs finden.

  • CMK für alle ORGs erstellen oder CMK erstellen – Klicken Sie auf diese Schaltfläche im Banner am oberen Rand des Bildschirms, um CMKs für alle neu hinzugefügten Organisationen zu erstellen.
  • Klicken Sie auf die Schaltfläche CMKs verwalten auf der rechten Seite des Bildschirms und klicken Sie auf CMKs erstellen , um CMKs für alle neu hinzugefügten Organisationen zu erstellen.
  • Klicken Sie in der Tabelle neben dem Status der ausstehenden CMK-Verwaltung einer bestimmten Organisation, und klicken Sie auf CMK erstellen , um CMK für diese Organisation zu erstellen.
12

Sobald die CMK-Erstellung erfolgreich war, ändert sich der Status in der Tabelle von CMK-Verwaltung ausstehend zu CMK-Verwaltung.

13

Wenn die CMK-Erstellung nicht erfolgreich war, wird ein Fehler angezeigt.

Mandantenorganisationen entfernen

Vorbereitungen

Nach dem Entfernen können Benutzer von Kundenorganisationen HDS nicht mehr für ihre Verschlüsselungsanforderungen nutzen und verlieren alle vorhandenen Bereiche. Wenden Sie sich an Ihren Cisco-Partner oder Ihren Account Manager, bevor Sie Kundenorganisationen entfernen.

1

Melden Sie sich bei https://admin.webex.com an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach Hybrid-Datensicherheit und klicken Sie auf Alle anzeigen.

4

Klicken Sie auf der Registerkarte Ressourcen auf den Cluster, aus dem Sie Kundenorganisationen entfernen möchten.

5

Klicken Sie auf der sich öffnenden Seite auf Zugewiesene Kunden.

6

Klicken Sie in der angezeigten Liste der Kundenorganisationen auf ... auf der rechten Seite der Kundenorganisation, die Sie entfernen möchten, und klicken Sie auf Aus Cluster entfernen.

Nächste Schritte

Schließen Sie den Löschvorgang ab, indem Sie die CMKs der Kundenorganisationen sperren, wie unter CMKs von Tenants, die aus HDS entfernt wurden, beschrieben.

Widerrufen Sie die CMKs von Mandanten, die aus HDS entfernt wurden.

Vorbereitungen

Entfernen Sie Kunden aus dem entsprechenden Cluster, wie unter Mandantenorganisationen entfernen beschrieben. Führen Sie das HDS Setup-Tool aus, um den Entfernungsprozess für die Kundenorganisationen abzuschließen, die entfernt wurden.

  • Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zu zugreifen, führen Sie Docker auf diesem Computer aus. Der Einrichtungsprozess erfordert die Anmeldeinformationen eines Partner Hub-Kontos mit vollen Administratorrechten für Ihre Organisation.

    Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxy-Einstellungen (Server, Port, Anmeldeinformationen) über die Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in Schritt 5 aufrufen. Diese Tabelle enthält einige mögliche Umgebungsvariablen:

    Beschreibung

    Variable

    HTTP-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

  • Die von Ihnen generierte ISO-Konfigurationsdatei enthält den Hauptschlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die neueste Kopie dieser Datei, wenn Sie Konfigurationsänderungen wie die folgenden vornehmen:

    • Datenbank-Anmeldeinformationen

    • Zertifikats-Aktualisierungen

    • Änderungen an der Autorisierungsrichtlinie

  • Wenn Sie Datenbankverbindungen verschlüsseln möchten, richten Sie Ihre PostgreSQL- oder SQL Server-Bereitstellung für TLS ein.

Beim Einrichtungsprozess für die Hybrid-Datensicherheit wird eine ISO-Datei erstellt. Anschließend verwenden Sie die ISO, um Ihren Hybrid-Datensicherheitshost zu konfigurieren.

1

Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

In regulären Umgebungen:

docker rmi ciscocitg/hds-setup:stabil

In FedRAMP-Umgebungen:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

2

Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

Docker Anmeldung -u hdscustomersro
3

Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

In regulären Umgebungen:

docker pull ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

  • In regulären Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In FedRAMP-Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express-Server hören auf Port 8080) sehen.

6

Das Setup-Tool unterstützt die Verbindung zu localhost über http://localhost:8080 nicht. Verwenden Sie http://127.0.0.1:8080 , um eine Verbindung zum Localhost herzustellen.

Navigieren Sie in einem Webbrowser zum Localhost, http://127.0.0.1:8080, und geben Sie bei Aufforderung den Admin-Benutzernamen für Partner Hub ein.

Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto festzulegen. Das Tool zeigt dann die Standard-Anmeldeaufforderung an.

7

Wenn Sie dazu aufgefordert werden, geben Sie Ihre Partner Hub-Administratoranmeldeinformationen ein und klicken Sie dann auf Anmelden , um den Zugriff auf die für die Hybrid-Datensicherheit erforderlichen Dienste zu erlauben.

8

Klicken Sie auf der Übersichtsseite des Setup Tool auf Get Started (Erste Schritte).

9

Klicken Sie auf der Seite ISO-Import auf Ja.

10

Wählen Sie Ihre ISO-Datei im Browser aus und laden Sie sie hoch.

11

Gehen Sie zur Registerkarte Mandanten-CMK-Verwaltung , auf der Sie die folgenden drei Möglichkeiten zur Verwaltung von Mandanten-CMKs finden.

  • CMK für alle ORGs sperren oder CMK sperren – Klicken Sie auf diese Schaltfläche im Banner am oberen Bildschirmrand, um die CMKs aller Organisationen zu sperren, die entfernt wurden.
  • Klicken Sie auf die Schaltfläche CMKs verwalten auf der rechten Seite des Bildschirms und klicken Sie auf CMKs sperren , um die CMKs aller Organisationen zu sperren, die entfernt wurden.
  • Klicken in der Nähe der CMK wird widerrufen Status einer bestimmten Organisation in der Tabelle und klicken Sie auf CMK widerrufen um CMK für diese bestimmte Organisation zu widerrufen.
12

Sobald die CMK-Sperrung erfolgreich ist, wird die Kundenorganisation nicht mehr in der Tabelle angezeigt.

13

Wenn die CMK-Sperrung nicht erfolgreich ist, wird ein Fehler angezeigt.

Testen Ihrer Hybrid-Datensicherheitsbereitstellung

Testen Ihrer Bereitstellung für die Hybrid-Datensicherheit

Mit diesem Verfahren können Sie Verschlüsselungsszenarien für die Multi-Tenant-Hybrid-Datensicherheit testen.

Vorbereitungen

  • Richten Sie die Multi-Tenant-Hybrid-Datensicherheitsbereitstellung ein.

  • Stellen Sie sicher, dass Sie auf das Syslog zugreifen können, um zu überprüfen, ob wichtige Anforderungen an Ihre Multi-Tenant-Hybrid-Datensicherheitsbereitstellung weitergeleitet werden.

1

Schlüssel für einen bestimmten Bereich werden vom Ersteller des Bereichs festgelegt. Melden Sie sich bei der Webex-App als einer der Benutzer der Kundenorganisation an und erstellen Sie einen Bereich.

Wenn Sie die Hybrid-Datensicherheitsbereitstellung deaktivieren, sind Inhalte in von Benutzern erstellten Bereichen nicht mehr verfügbar, nachdem die im Client zwischengespeicherten Kopien der Verschlüsselungscodes ersetzt wurden.

2

Senden Sie Nachrichten an den neuen Bereich.

3

Überprüfen Sie die Syslog-Ausgabe, um sicherzustellen, dass die Schlüsselanforderungen an Ihre Hybrid-Datensicherheitsbereitstellung weitergeleitet werden.

  1. Um zu prüfen, ob ein Benutzer zuerst einen sicheren Kanal zum KMS eingerichtet hat, filtern Sie nach kms.data.method=create und kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Sie sollten einen Eintrag wie den folgenden finden (IDs wurden zur besseren Lesbarkeit gekürzt):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:ANFRAGE] empfangen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Um zu überprüfen, ob ein Benutzer einen vorhandenen Schlüssel im KMS anfordert, filtern Sie nach kms.data.method=retrieve und kms.data.type=KEY:

    Sie sollten einen Eintrag wie den folgenden finden:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:ANFRAGE] empfangen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Um zu überprüfen, ob ein Benutzer die Erstellung eines neuen KMS-Schlüssels anfordert, filtern Sie nach kms.data.method=create und kms.data.type=KEY_COLLECTION:

    Sie sollten einen Eintrag wie den folgenden finden:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:ANFRAGE] empfangen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Um zu überprüfen, ob ein Benutzer die Erstellung eines neuen KMS-Ressourcenobjekts (KRO) anfordert, wenn ein Bereich oder eine andere geschützte Ressource erstellt wird, filtern Sie kms.data.method=create und kms.data.type=RESOURCE_COLLECTION:

    Sie sollten einen Eintrag wie den folgenden finden: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:ANFRAGE] empfangen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Überwachen des Status der Hybrid-Datensicherheit

Eine Statusanzeige in Partner Hub zeigt Ihnen an, ob die Multi-Tenant-Hybrid-Datensicherheitsbereitstellung gut funktioniert. Für stärker proaktive Warnungen können Sie sich für E-Mail-Benachrichtigungen anmelden. Sie werden benachrichtigt, wenn Alarme oder Software-Upgrades den Dienst beeinträchtigen.
1

Wählen Sie in Partner Hub im Menü auf der linken Seite des Bildschirms die Option Dienste aus.

2

Suchen Sie im Abschnitt „Cloud-Dienste“ nach „Hybrid-Datensicherheit“ und klicken Sie auf Einstellungen bearbeiten.

Die Seite „Hybrid Data Security Settings“ (Einstellungen für Hybrid-Datensicherheit) wird angezeigt.
3

Geben Sie im Abschnitt zu E-Mail-Benachrichtigungen eine oder mehrere Adressen durch Komma getrennt ein und drücken Sie Enter.

HDS-Bereitstellung verwalten

Verwalten der HDS-Bereitstellung

Verwenden Sie die hier beschriebenen Aufgaben, um Ihre Hybrid-Datensicherheitsbereitstellung zu verwalten.

Festlegen des Upgrade-Zeitplans für Cluster

Software-Upgrades für Hybrid Data Security werden automatisch auf Cluster-Ebene ausgeführt, um sicherzustellen, dass auf allen Knoten immer die gleiche Software-Version ausgeführt wird. Die Upgrades werden gemäß des Upgrade-Zeitplans für den Cluster ausgeführt. Sie können neue verfügbare Software-Upgrades optional auch vor dem geplanten Upgrade-Zeitpunkt manuell installieren. Sie können einen eigenen Upgrade-Zeitplan festlegen oder den Standardzeitplan um 3:00 Uhr morgens täglich für USA: Amerika/Los Angeles verwenden. Bei Bedarf können Sie anstehende Upgrades auch verzögern.

So legen Sie den Upgrade-Zeitplan fest:

1

Melden Sie sich bei Partner Hub an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach „Hybrid-Datensicherheit“ und klicken Sie auf Einrichten.

4

Wählen Sie auf der Seite „Hybrid-Datensicherheitsressourcen“ den Cluster aus.

5

Klicken Sie auf die Registerkarte Cluster-Einstellungen .

6

Wählen Sie auf der Seite „Cluster-Einstellungen“ unter „Upgrade-Zeitplan“ die Uhrzeit und die Zeitzone für den Upgrade-Zeitplan aus.

Hinweis: Unter der Zeitzone wird der nächste verfügbare Zeitpunkt für ein Upgrade angezeigt. Sie können das Upgrade bei Bedarf auf den folgenden Tag verschieben, indem Sie auf Um 24 Stunden verschieben klicken.

Ändern der Knotenkonfiguration

Gelegentlich kann es erforderlich sein, die Konfiguration Ihres Hybrid-Datensicherheitsknotens zu ändern, z. B.:

  • Änderung der x.509-Zertifikate aufgrund Ablaufs oder anderer Gründe.

    Wir unterstützen keine Änderung des CN-Domänennamens eines Zertifikats. Die Domäne muss mit der Originaldomäne übereinstimmen, die zur Registrierung des Clusters verwendet wurde.

  • Datenbankeinstellungen werden aktualisiert, um auf eine Replik der PostgreSQL- oder Microsoft SQL Server-Datenbank zu wechseln.

    Wir unterstützen keine Migration von Daten von PostgreSQL zu Microsoft SQL Server oder auf den entgegengesetzten Weg. Um die Datenbankumgebung zu wechseln, starten Sie eine neue Bereitstellung von Hybrid Data Security.

  • Erstellen einer neuen Konfiguration, um ein neues Datenzentrum vorzubereiten.

Aus Sicherheitsgründen verwendet Hybrid Data Security Dienstkonto-Passwörter mit einer Laufzeit von neun Monaten. Nachdem das HDS Setup Tool diese Passwörter generiert hat, stellen Sie sie für jeden Ihrer HDS-Knoten in der ISO-Konfigurationsdatei bereit. Wenn die Kennwörter Ihrer Organisation fast ablaufen, erhalten Sie eine Benachrichtigung vom Webex-Team, mit der Sie das Passwort für Ihr Computerkonto zurücksetzen können. (Die E-Mail enthält den Text "Verwenden Sie die Maschinenkonto-API, um das Passwort zu aktualisieren"). Wenn Ihre Passwörter noch nicht abgelaufen sind, bietet Ihnen das Tool zwei Optionen:

  • Weiches Zurücksetzen – Das alte und das neue Kennwort können beide bis zu 10 Tage lang verwendet werden. Verwenden Sie diesen Zeitraum, um die ISO-Datei der Knoten schrittweise zu ersetzen.

  • Harte Zurücksetzung: Die alten Passwörter funktionieren sofort nicht mehr.

Wenn Ihre Passwörter ohne Zurücksetzen ablaufen, wirkt sich dies auf Ihren HDS-Dienst aus, was ein sofortiges Zurücksetzen und Ersetzen der ISO-Datei auf allen Knoten erfordert.

Verwenden Sie dieses Verfahren, um eine neue ISO-Konfigurationsdatei zu generieren und auf Ihren Cluster anzuwenden.

Vorbereitungen

  • Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zu zugreifen, führen Sie Docker auf diesem Computer aus. Der Einrichtungsprozess erfordert die Anmeldeinformationen eines Partner Hub-Kontos mit vollen Partneradministratorrechten.

    Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxy-Einstellungen (Server, Port, Anmeldeinformationen) über die Docker-Umgebungsvariablen an, wenn Sie den Docker Container in 1.e aufrufen. Diese Tabelle enthält einige mögliche Umgebungsvariablen:

    Beschreibung

    Variable

    HTTP-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

  • Um eine neue Konfiguration zu erstellen, benötigen Sie eine Kopie der aktuellen ISO-Konfigurationsdatei. Die ISO enthält den Masterschlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die ISO-Datei, wenn Sie Konfigurationsänderungen vornehmen, wie z. B. Datenbank-Anmeldeinformationen, Zertifikataktualisierungen oder Änderungen an der Autorisierungsrichtlinie.

1

Führen Sie auf einem lokalen Computer, auf dem Docker läuft, das HDS Setup Tool aus.

  1. Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

    In regulären Umgebungen:

    docker rmi ciscocitg/hds-setup:stabil

    In FedRAMP-Umgebungen:

    docker rmi ciscocitg/hds-setup-fedramp:stabil

    Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

  2. Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

    Docker Anmeldung -u hdscustomersro

  3. Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

    In regulären Umgebungen:

    docker pull ciscocitg/hds-setup:stable

    In FedRAMP-Umgebungen:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Stellen Sie sicher, dass Sie für hierfür per Pull das neueste Setup-Tool aufrufen. Versionen des Tools, die vor dem 22. Februar 2018 erstellt wurden, verfügen nicht über die Bildschirme zum Zurücksetzen des Passworts.

  5. Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

    • In regulären Umgebungen ohne Proxy:

      Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • In regulären Umgebungen mit einem HTTP-Proxy:

      Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • In regulären Umgebungen mit einem HTTPSproxy:

      Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • In FedRAMP-Umgebungen ohne Proxy:

      Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

      Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

      Docker run -p 8080:8080 --rm -it -e GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express server listening on port 8080) sehen.

  6. Verwenden Sie einen Browser, um sich mit dem Localhost zu http://127.0.0.1:8080verbinden.

    Das Setup-Tool unterstützt die Verbindung zu localhost über http://localhost:8080 nicht. Verwenden Sie http://127.0.0.1:8080 , um eine Verbindung zum Localhost herzustellen.

  7. Wenn Sie dazu aufgefordert werden, geben Sie Ihre Partner Hub-Kundenanmeldeinformationen ein und klicken Sie dann auf Akzeptieren , um fortzufahren.

  8. Importieren Sie die aktuelle ISO-Konfigurationsdatei.

  9. Befolgen Sie die Anweisungen, um das Tool abzuschließen und die aktualisierte Datei herunterzuladen.

    Um das Setup Tool herunterzufahren, tippen Sie STRG+C ein.

  10. Erstellen Sie eine Backup-Kopie der aktualisierten Datei in einem anderen Datenzentrum.

2

Wenn Sie nur einen HDS-Knoten ausführen, erstellen Sie eine neue VM für den Hybrid-Datensicherheitsknoten und registrieren Sie sie mithilfe der neuen ISO-Konfigurationsdatei. Detaillierte Anweisungen finden Sie unter Weitere Knoten erstellen und registrieren.

  1. Installieren des HDS Host OVA

  2. Richten Sie die HDS-VM ein.

  3. Mounten Sie die aktualisierte Konfigurationsdatei.

  4. Registrieren Sie den neuen Knoten im Partner Hub.

3

Mounten Sie bei vorhandenen HDS-Knoten, auf denen die ältere Konfigurationsdatei ausgeführt wird, die ISO-Datei. Führen Sie für jeden Knoten des Knotens folgende Schritte durch, indem Sie jeden Knoten aktualisieren, bevor Sie den nächsten Knoten deaktivieren:

  1. Deaktivieren Sie die Virtuelle Maschine.

  2. Rechtsklicken Sie im linken Navigationsbereich des VMware vSphere Client auf die VM. Klicken Sie daraufhin auf Edit Settings (Einstellungen bearbeiten).

  3. Klicken Sie auf CD/DVD-Laufwerk 1, wählen Sie die Option zum Bereitstellen einer ISO-Datei und navigieren Sie zu dem Speicherort, unter dem der Download der neuen ISO-Konfigurationsdatei abliegt.

  4. Aktivieren Sie das Kontrollkästchen Verbinden beim Einschalten.

  5. Speichern Sie Ihre Änderungen und starten Sie Sie die virtuelle Maschine.

4

Wiederholen Sie Schritt 3, um bei jedem weiteren Knoten zu ersetzen, auf dem noch die alte Konfiguration ausgeführt wird, die Konfiguration zu ersetzen.

Blockierte externe DNS Auflösungsmodus deaktivieren

Wenn Sie einen Knoten registrieren oder die Proxykonfiguration des Knotens überprüfen, testet das Verfahren die DNS und die Konnektivität der Cisco WebEx. Wenn der DNS-Server des Knotens öffentliche DNS nicht auflösen kann, geht der Knoten automatisch in den gesperrten externen DNS-Server.

Wenn Ihre Knoten öffentliche DNS über interne DNS-Server auflösen können, aktivieren Sie diesen Modus, indem Sie den Proxyverbindungstest für jeden Knoten deaktivieren.

Vorbereitungen

Stellen Sie sicher, dass Ihre internen DNS-Server öffentliche DNS und ihre Knoten mit Ihnen kommunizieren können.
1

Öffnen Sie in einem Webbrowser die Schnittstelle für den Hybrid-Datensicherheitsknoten (IP-Adresse/Einrichtung, https://192.0.2.0/setup), geben Sie beispielsweise die für den Knoten eingerichteten Admin-Anmeldeinformationen ein, und klicken Sie dann auf Anmelden.

2

Gehen Sie zu Übersicht (Standardseite).

Wenn diese Option aktiviert ist, wird die externe DNS auf "Ja" gesetzt .

3

Gehen Sie zur Seite Vertrauensspeicher und Proxy .

4

Klicken Sie auf Stellvertreterverbindung prüfen.

Wenn Sie eine Meldung sehen, dass eine externe DNS nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen und wird in diesem Modus verbleiben. Andernfalls sollte nach dem Neustart des Knotens und der Rückfahrt zur Übersichtsseite die gesperrte externe DNS auf "Nein" gesetzt werden.

Nächste Schritte

Wiederholen Sie den Proxy Verbindungstest für jeden Knoten in Ihrem Cisco Data SicherheitCluster.

Entfernen eines Knotens

Mit diesem Verfahren können Sie einen Hybrid-Datensicherheitsknoten aus der Webex-Cloud entfernen. Löschen Sie nach dem Entfernen des Knotens aus dem Cluster die virtuelle Maschine, um den weiteren Zugriff auf Ihre Sicherheitsdaten zu verhindern.
1

Melden Sie sich über den VMware vSphere-Client auf Ihrem Computer bei dem ESXi virtuellen Host an und schalten Sie die virtuelle Maschine aus.

2

Entfernen des Knotens:

  1. Melden Sie sich bei Partner Hub an und wählen Sie Dienste aus.

  2. Klicken Sie auf der Hybrid-Datensicherheitskarte auf Alle anzeigen , um die Seite „Hybrid-Datensicherheitsressourcen“ anzuzeigen.

  3. Wählen Sie Ihr Cluster aus, um den Bereich „Übersicht“ anzuzeigen.

  4. Klicken Sie auf den Knoten, den Sie entfernen möchten.

  5. Klicken Sie in dem rechts angezeigten Bereich auf Registrierung dieses Knotens aufheben .

  6. Sie können die Registrierung des Knotens auch aufheben, indem Sie auf der rechten Seite des Knotens auf Diesen Knoten entfernen klicken.

3

Löschen Sie die VM im vSphere-Client. (Klicken Sie im linken Navigationsbereich mit der rechten Maustaste auf die VM, und klicken Sie auf Löschen.)

Wenn Sie die VM nicht löschen, denken Sie daran, die Konfigurations-ISO-Datei zu deinstallieren. Ohne die ISO-Datei können Sie die VM nicht verwenden, um auf Ihre Sicherheitsdaten zuzugreifen.

Notfallwiederherstellung mit Standby-Rechenzentrum

Der wichtigste Dienst, den Ihr Hybrid-Datensicherheitscluster bietet, ist die Erstellung und Speicherung von Schlüsseln, mit denen Nachrichten und andere in der Webex-Cloud gespeicherte Inhalte verschlüsselt werden. Für jeden Benutzer innerhalb der Organisation, der der Hybrid-Datensicherheit zugewiesen ist, werden neue Anforderungen zur Schlüsselerstellung an das Cluster weitergeleitet. Der Cluster ist zudem dafür verantwortlich, die erstellten Schlüssel an Benutzer zurückzusenden, die zum Abrufen von Schlüsseln berechtigt sind. Hierzu gehören beispielsweise Mitglieder eines Gesprächsraums.

Da der Cluster die wichtige Funktion erfüllt, diese Schlüssel bereitzustellen, ist es höchst wichtig, dass der Cluster in Betrieb bleibt und korrekte Backups erstellt werden. Der Verlust der Hybrid-Datensicherheitsdatenbank oder der für das Schema verwendeten Konfigurations-ISO führt zu einem NICHT BEHEBBAREN VERLUST von Kundeninhalten. Die folgenden Praktiken sind zwingend erforderlich, um einem derartigen Verlust vorzubeugen:

Wenn eine Katastrophe dazu führt, dass die HDS-Bereitstellung im primären Rechenzentrum nicht mehr verfügbar ist, führen Sie dieses Verfahren aus, um ein manuelles Failover auf das Standby-Rechenzentrum durchzuführen.

Vorbereitungen

Heben Sie die Registrierung aller Knoten aus Partner Hub auf, wie unter Knoten entfernen erwähnt. Verwenden Sie die neueste ISO-Datei, die für die Knoten des zuvor aktiven Clusters konfiguriert wurde, um das unten genannte Failover-Verfahren durchzuführen.
1

Starten Sie das HDS-Setup-Tool und führen Sie die unter Erstellen einer Konfigurations-ISO für die HDS-Hosts beschriebenen Schritte aus.

2

Schließen Sie den Konfigurationsprozess ab und speichern Sie die ISO-Datei an einem leicht auffindbaren Speicherort.

3

Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Sichern Sie die Sicherungskopie sicher. Die Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff auf Administratoren für Hybrid-Datensicherheit, die Konfigurationsänderungen vornehmen sollten.

4

Rechtsklicken Sie im linken Navigationsbereich des VMware vSphere Client auf die VM. Klicken Sie daraufhin auf Edit Settings (Einstellungen bearbeiten).

5

Klicken Sie auf Einstellungen bearbeiten >CD/DVD-Laufwerk 1 und wählen Sie Datenspeicher-ISO-Datei.

Stellen Sie sicher, dass Verbunden und Verbinden beim Einschalten aktiviert sind, damit aktualisierte Konfigurationsänderungen nach dem Starten der Knoten wirksam werden können.

6

Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 15 Minuten lang keine Alarme vorhanden sind.

7

Registrieren Sie den Knoten im Partner Hub. Weitere Informationen finden Sie unter Ersten Knoten im Cluster registrieren.

8

Wiederholen Sie den Vorgang für jeden Knoten im Standby-Rechenzentrum.

Nächste Schritte

Wenn das primäre Rechenzentrum nach dem Failover wieder aktiv wird, die Registrierung der Knoten des Standby-Rechenzentrums aufheben und den oben genannten Prozess der ISO-Konfiguration und der Registrierung der Knoten des primären Rechenzentrums wiederholen.

(Optional) ISO nach HDS-Konfiguration aushängen

Die Standard-HDS-Konfiguration wird mit eingebauter ISO ausgeführt. Einige Kunden ziehen es jedoch vor, die ISO-Dateien nicht kontinuierlich eingebunden zu lassen. Sie können die ISO-Datei unmounten, nachdem alle HDS-Knoten die neue Konfiguration übernommen haben.

Sie verwenden weiterhin die ISO-Dateien, um Konfigurationsänderungen vorzunehmen. Wenn Sie eine neue ISO erstellen oder eine ISO über das Setup-Tool aktualisieren, müssen Sie die aktualisierte ISO auf allen HDS-Knoten mounten. Wenn alle Knoten die Konfigurationsänderungen übernommen haben, können Sie die ISO mit diesem Verfahren erneut deinstallieren.

Vorbereitungen

Aktualisieren Sie alle Ihre HDS-Knoten auf Version 2021.01.22.4720 oder höher.

1

Fahren Sie einen Ihrer HDS-Knoten herunter.

2

Wählen Sie in der vCenter Server-Appliance den HDS-Knoten aus.

3

Wählen Sie Einstellungen bearbeiten > CD/DVD-Laufwerk und deaktivieren Sie ISO-Datei für Datenspeicher.

4

Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 20 Minuten lang keine Alarme angezeigt werden.

5

Wiederholen Sie dies für jeden HDS-Knoten der Reihe nach.

Problembehandlung der Hybrid-Datensicherheit

Anzeigen von Warnungen und Beheben von Fehlern

Eine Hybrid-Datensicherheitsbereitstellung gilt als nicht verfügbar, wenn alle Knoten im Cluster nicht erreichbar sind oder der Cluster so langsam arbeitet, dass eine Zeitüberschreitung erforderlich ist. Wenn Benutzer Ihr Hybrid-Datensicherheitscluster nicht erreichen können, treten folgende Symptome auf:

  • Neue Bereiche können nicht erstellt werden (es konnten keine neuen Schlüssel erstellt werden)

  • Nachrichten- und Bereichstitel konnten für folgende Benutzer nicht entschlüsselt werden:

    • Neue zu einem Bereich hinzugefügte Benutzer (Schlüssel konnten nicht abgerufen werden)

    • Vorhandene Benutzer in einem Bereich, der einen neuen Client verwendet (Schlüssel konnten nicht abgerufen werden)

  • Vorhandene Benutzer in einem Bereich werden weiterhin erfolgreich ausgeführt, sofern ihre Clients über einen Cache für Verschlüsselungsschlüssel verfügen

Es ist wichtig, dass Sie Ihren Hybrid-Datensicherheitscluster ordnungsgemäß überwachen und alle Warnungen umgehend adressieren, um Dienstunterbrechungen zu vermeiden.

Warnungen

Wenn es ein Problem mit der Einrichtung der Hybrid-Datensicherheit gibt, zeigt Partner Hub Warnungen an den Administrator der Organisation an und sendet E-Mails an die konfigurierte E-Mail-Adresse. Die Warnungen betreffen viele gängige Szenarien.

Tabelle 1: Häufig auftretende Probleme und Schritte zur Problembehebung

Alarm

Vorgang

Fehler beim Zugriff auf die lokale Datenbank.

Überprüfen Sie das System auf Datenbankfehler oder lokale Netzwerkprobleme.

Fehler beim Herstellen einer Verbindung zur lokalen Datenbank.

Vergewissern Sie sich, dass der Datenbankserver verfügbar ist und die richtigen Dienstkonto-Anmeldeinformationen in der Knotenkonfiguration verwendet wurden.

Fehler beim Zugriff auf den Clouddienst.

Überprüfen Sie, ob die Knoten auf die Webex-Server zugreifen können, wie unter Externe Verbindungsanforderungen angegeben.

Registrierung des Clouddiensts wird erneuert.

Registrierung von Clouddiensten wurde verworfen. Erneuerung der Registrierung wird durchgeführt.

Registrierung des Clouddiensts wurde verworfen.

Registrierung von Clouddiensten wurde beendet. Dienst wird beendet.

Dienst noch nicht aktiviert.

Aktivieren Sie HDS in Partner Hub.

Konfigurierte Domäne stimmt nicht mit dem Serverzertifikat überein.

Vergewissern Sie sich, dass das Serverzertifikat mit der konfigurierten Dienstaktivierungsdomäne übereinstimmt.

Die wahrscheinlichste Ursache lautet, dass die Zertifikat-CN vor kurzem geändert wurde und nun von der CN abweicht, die während der ursprünglichen Einrichtung verwendet wurde.

Clouddienste konnten nicht authentifiziert werden.

Prüfen Sie die Daten auf korrekte Eingabe und einen möglichen Ablauf der Dienstkonto-Anmeldeinformationen.

Lokale Schlüsselspeicherdatei konnte nicht geöffnet werden.

Überprüfen Sie die lokale Schlüsselspeicherdatei auf Integrität und Kennwortgenauigkeit.

Lokales Serverzertifikat ist ungültig.

Überprüfen Sie das Ablaufdatum des Serverzertifikats und vergewissern Sie sich, dass es von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.

Metriken konnten nicht gepostet werden.

Überprüfen Sie den Zugriff des lokalen Netzwerks auf externe Clouddienste.

Das Verzeichnis /media/configdrive/hds ist nicht vorhanden.

Überprüfen Sie die ISO-Mountkonfiguration auf dem virtuellen Host. Vergewissern Sie sich, dass die ISO-Datei vorhanden ist, die beim Neustart für das Mounten konfiguriert ist und das Mounten erfolgreich ausgeführt wird.

Die Einrichtung der Mandanten-Organisation ist für die hinzugefügten Organisationen nicht abgeschlossen

Schließen Sie die Einrichtung ab, indem Sie mit dem HDS Setup Tool CMKs für neu hinzugefügte Mandantenorganisationen erstellen.

Die Einrichtung der Mandantenorganisation ist für die entfernten Organisationen nicht abgeschlossen

Schließen Sie die Einrichtung ab, indem Sie die CMKs der Mandantenorganisationen, die mit dem HDS Setup Tool entfernt wurden, widerrufen.

Problembehandlung der Hybrid-Datensicherheit

Beachten Sie bei der Behebung von Problemen mit Hybrid Data Security die folgenden allgemeinen Richtlinien.
1

Prüfen Sie Partner Hub auf Warnungen und beheben Sie alle Elemente, die Sie dort finden. Weitere Informationen finden Sie im Bild unten.

2

Überprüfen Sie die Syslog-Serverausgabe auf Aktivität aus der Hybrid-Datensicherheitsbereitstellung. Filtern Sie nach Wörtern wie „Warnung“ und „Fehler“, um bei der Fehlerbehebung zu helfen.

3

Kontaktieren Sie den Cisco-Support.

Sonstige Hinweise

Bekannte Probleme mit Hybrid-Datensicherheit

  • Wenn Sie Ihren Hybrid-Datensicherheitscluster herunterfahren (indem Sie ihn im Partner Hub löschen oder alle Knoten herunterfahren), Ihre Konfigurations-ISO-Datei verlieren oder den Zugriff auf die Keystore-Datenbank verlieren, können Webex-App-Benutzer von Kundenorganisationen keine Bereiche in ihrer Personenliste mehr verwenden, die mit Schlüsseln von Ihrem KMS erstellt wurden. Wir haben aktuell keine Problemumgehung oder Lösung für dieses Problem und empfehlen Ihnen dringend, Ihre HDS-Dienste nicht herunterzufahren, sobald sie aktive Benutzerkonten verarbeiten.

  • Ein Client, der über eine bestehende ECDH-Verbindung zu einem KMS verfügt, hält die Verbindung für einen Zeitraum aufrecht (ca. eine Stunde).

Generieren einer PKCS12-Datei mit OpenSSL

Vorbereitungen

  • OpenSSL ist eines der Tools, mit denen die PKCS12-Datei im richtigen Format für das Laden in das HDS-Setuptool erstellt werden kann. Es gibt auch andere Verfahren, keines davon wird von uns bevorzugt.

  • Wenn Sie sich für die Verwendung von OpenSSL entscheiden, stellen wir Ihnen dieses Verfahren als Richtlinie zur Verfügung, um eine Datei zu erstellen, die die X.509-Zertifikatsanforderungen in X.509-Zertifikatsanforderungen erfüllt. Machen Sie sich mit diesen Anforderungen vertraut, bevor Sie fortfahren.

  • Installieren Sie OpenSSL in einer unterstützten Umgebung. Software und Dokumentation finden Sie auf https://www.openssl.org.

  • Erstellen Sie einen privaten Schlüssel.

  • Beginnen Sie mit diesem Verfahren, wenn Sie das Serverzertifikat von Ihrer Zertifizierungsstelle (CA, Certificate Authority) erhalten.

1

Wenn Sie das Zertifikat von der CA erhalten, speichern Sie es als hdsnode.pem.

2

Zeigen Sie das Zertifikat als Text an, und überprüfen Sie die Details.

openssl x509 -text -noout -in hdsnode.pem

3

Erstellen Sie in einem Text-Editor eine Zertifikatpaketdatei namens hdsnode-bundle.pem. Die Paketdatei muss das Serverzertifikat, alle CA-Zwischenzertifikate sowie die CA-Stammzertifikate im unten angegebenen Format enthalten:

-----BEGIN CERTIFICATE------ ### Serverzertifikat. ### -----END CERTIFICATE------- BEGIN CERTIFICATE----- ### Zwischenzertifikat. ### -----END CERTIFICATE-------BEGIN CERTIFICATE----- ### Stamm-CA-Zertifikat. ### -----END CERTIFICATE-----

4

Erstellen Sie die P12-Datei mit dem Anzeigenamen kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Überprüfen Sie die Zertifikatdetails.

  1. openssl pkcs12 -in hdsnode.p12

  2. Geben Sie ein Passwort an der Eingabeaufforderung ein, um den privaten Schlüssel zu verschlüsseln, sodass er in der Ausgabe aufgeführt wird. Überprüfen Sie dann, ob der private Schlüssel und das erste Zertifikat die folgenden Zeilen enthalten: friendlyName: kms-private-key.

    Beispiel:

    bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Schlüsselattribute:  PEM-Passphrase eingeben: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY-----  -----END ENCRYPTED PRIVATE KEY----- Bag Attribute friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE-----

Nächste Schritte

Kehren Sie zurück zu Voraussetzungen für Hybrid-Datensicherheit erfüllen. Sie verwenden die Datei hdsnode.p12 und das Passwort, das Sie dafür festgelegt haben, unter Erstellen einer Konfigurations-ISO für die HDS-Hosts.

Sie können diese Dateien wiederverwenden, um ein neues Zertifikat anzufordern, wenn das ursprüngliche Zertifikat abläuft.

Datenverkehr zwischen den HDS-Knoten und der Cloud

Metriksammlung von ausgehendem Datenverkehr

Die Hybrid-Datensicherheitsknoten senden bestimmte Metriken an die Webex-Cloud. Dazu gehören Systemmetriken für max. Heap, verbrauchter Heap, CPU-Auslastung und Threadanzahl; Metriken zu synchronen und asynchronen Threads; Metriken zu Warnungen, darunter auch ein Schwellenwert der verschlüsselten Verbindungen, Latenz oder eine Anforderungswarteschlangenlänge; Metriken zum Datenspeicher; und Metriken zu verschlüsselten Verbindungen. Die Knoten senden verschlüsseltes Schlüsselmaterial über einen Out-of-Band-Kanal (separat von der Anforderung).

Eingehender Datenverkehr

Die Hybrid-Datensicherheitsknoten erhalten die folgenden Arten von eingehendem Datenverkehr von der Webex-Cloud:

  • Verschlüsselungsanforderungen von Clients, die vom Verschlüsselungsdienst umgeleitet werden

  • Upgrades für die Knoten-Software

Konfigurieren von Tintenfisch für die Hybriddatensicherheit

WebSocket kann nicht über SquID Proxy verbunden werden

Squid-Proxys, die den HTTPS-Datenverkehr prüfen, können die Einrichtung von Websocket-Verbindungen (wss:) beeinträchtigen, die für Hybrid Data Security erforderlich ist. Diese Abschnitte geben Anweisungen, wie Sie verschiedene Versionen von Squid konfigurieren, um WSS zu ignorieren: Datenverkehr für den ordnungsgemäßen Ablauf der Services.

Squid 4 und 5

Fügen Sie die on_unsupported_protocol Richtlinie zu squid.conf hinzu:

on_unsupported_protocol Alle tunnel

Squid 3.5.27

Wir haben die Hybriddatensicherheit erfolgreich mit den folgenden Regeln getestet, die zu squid .conf hinzugefügt wurden. Diese Regeln können sich geändert werden, da wir Funktionen entwickeln und die WebEx Cisco aktualisieren.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 alle ssl_bump stare step2 alle ssl_bump bump step3 alle

Mandantenorganisationen für Multi-Tenant-Hybrid-Datensicherheit verwalten

Multi-Tenant HDS in Partner Hub aktivieren

Diese Aufgabe stellt sicher, dass alle Benutzer der Kundenorganisationen HDS für lokale Verschlüsselungsschlüssel und andere Sicherheitsdienste nutzen können.

Vorbereitungen

Stellen Sie sicher, dass Sie die Einrichtung Ihres Multi-Tenant-HDS-Clusters mit der erforderlichen Anzahl an Knoten abgeschlossen haben.

1

Melden Sie sich bei https://admin.webex.com an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach „Hybrid-Datensicherheit“ und klicken Sie auf Einstellungen bearbeiten.

4

Klicken Sie auf der Karte HDS-Status auf HDS-Aktivierung .

Mandantenorganisationen in Partner Hub hinzufügen

Weisen Sie bei dieser Aufgabe Kundenorganisationen Ihrem Hybrid-Datensicherheitscluster zu.

1

Melden Sie sich bei https://admin.webex.com an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach Hybrid-Datensicherheit und klicken Sie auf Alle anzeigen.

4

Klicken Sie auf den Cluster, dem ein Kunde zugewiesen werden soll.

5

Wechseln Sie zur Registerkarte Zugewiesene Kunden .

6

Klicken Sie auf Kunden hinzufügen.

7

Wählen Sie im Dropdown-Menü den Kunden aus, den Sie hinzufügen möchten.

8

Klicken Sie auf Hinzufügen. Der Kunde wird dem Cluster hinzugefügt.

9

Wiederholen Sie die Schritte 6 bis 8, um mehrere Kunden zu Ihrem Cluster hinzuzufügen.

10

Klicken Sie auf Fertig am unteren Bildschirmrand, nachdem Sie die Kunden hinzugefügt haben.

Nächste Schritte

Führen Sie das HDS-Einrichtungstool wie unter Erstellen von Kundenhauptschlüsseln (Customer Main Keys, CMKs) mit dem HDS-Einrichtungstool beschrieben aus, um die Einrichtung abzuschließen.

Kundenhauptschlüssel (Customer Main Keys, CMKs) mit dem HDS Setup-Tool erstellen

Vorbereitungen

Weisen Sie Kunden dem entsprechenden Cluster zu, wie unter Mandantenorganisationen in Partner Hub hinzufügen beschrieben. Führen Sie das HDS Setup-Tool aus, um den Einrichtungsprozess für die neu hinzugefügten Kundenorganisationen abzuschließen.

  • Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zu zugreifen, führen Sie Docker auf diesem Computer aus. Der Einrichtungsprozess erfordert die Anmeldeinformationen eines Partner Hub-Kontos mit vollen Administratorrechten für Ihre Organisation.

    Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxy-Einstellungen (Server, Port, Anmeldeinformationen) über die Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in Schritt 5 aufrufen. Diese Tabelle enthält einige mögliche Umgebungsvariablen:

    Beschreibung

    Variable

    HTTP-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

  • Die von Ihnen generierte ISO-Konfigurationsdatei enthält den Hauptschlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die neueste Kopie dieser Datei, wenn Sie Konfigurationsänderungen wie die folgenden vornehmen:

    • Datenbank-Anmeldeinformationen

    • Zertifikats-Aktualisierungen

    • Änderungen an der Autorisierungsrichtlinie

  • Wenn Sie Datenbankverbindungen verschlüsseln möchten, richten Sie Ihre PostgreSQL- oder SQL Server-Bereitstellung für TLS ein.

Beim Einrichtungsprozess für die Hybrid-Datensicherheit wird eine ISO-Datei erstellt. Anschließend verwenden Sie die ISO, um Ihren Hybrid-Datensicherheitshost zu konfigurieren.

1

Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

In regulären Umgebungen:

docker rmi ciscocitg/hds-setup:stabil

In FedRAMP-Umgebungen:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

2

Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

Docker Anmeldung -u hdscustomersro
3

Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

In regulären Umgebungen:

docker pull ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

  • In regulären Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In FedRAMP-Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express-Server hören auf Port 8080) sehen.

6

Das Setup-Tool unterstützt die Verbindung zu localhost über http://localhost:8080 nicht. Verwenden Sie http://127.0.0.1:8080 , um eine Verbindung zum Localhost herzustellen.

Navigieren Sie in einem Webbrowser zum Localhost, http://127.0.0.1:8080, und geben Sie bei Aufforderung den Admin-Benutzernamen für Partner Hub ein.

Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto festzulegen. Das Tool zeigt dann die Standard-Anmeldeaufforderung an.

7

Wenn Sie dazu aufgefordert werden, geben Sie Ihre Partner Hub-Administratoranmeldeinformationen ein und klicken Sie dann auf Anmelden , um den Zugriff auf die für die Hybrid-Datensicherheit erforderlichen Dienste zu erlauben.

8

Klicken Sie auf der Übersichtsseite des Setup Tool auf Get Started (Erste Schritte).

9

Klicken Sie auf der Seite ISO-Import auf Ja.

10

Wählen Sie Ihre ISO-Datei im Browser aus und laden Sie sie hoch.

Stellen Sie sicher, dass die Verbindung zu Ihrer Datenbank hergestellt wird, um eine CMK-Verwaltung durchzuführen.
11

Gehen Sie zur Registerkarte Mandanten-CMK-Verwaltung , auf der Sie die folgenden drei Möglichkeiten zur Verwaltung von Mandanten-CMKs finden.

  • CMK für alle ORGs erstellen oder CMK erstellen – Klicken Sie auf diese Schaltfläche im Banner am oberen Rand des Bildschirms, um CMKs für alle neu hinzugefügten Organisationen zu erstellen.
  • Klicken Sie auf die Schaltfläche CMKs verwalten auf der rechten Seite des Bildschirms und klicken Sie auf CMKs erstellen , um CMKs für alle neu hinzugefügten Organisationen zu erstellen.
  • Klicken Sie in der Tabelle neben dem Status der ausstehenden CMK-Verwaltung einer bestimmten Organisation, und klicken Sie auf CMK erstellen , um CMK für diese Organisation zu erstellen.
12

Sobald die CMK-Erstellung erfolgreich war, ändert sich der Status in der Tabelle von CMK-Verwaltung ausstehend zu CMK-Verwaltung.

13

Wenn die CMK-Erstellung nicht erfolgreich war, wird ein Fehler angezeigt.

Mandantenorganisationen entfernen

Vorbereitungen

Nach dem Entfernen können Benutzer von Kundenorganisationen HDS nicht mehr für ihre Verschlüsselungsanforderungen nutzen und verlieren alle vorhandenen Bereiche. Wenden Sie sich an Ihren Cisco-Partner oder Ihren Account Manager, bevor Sie Kundenorganisationen entfernen.

1

Melden Sie sich bei https://admin.webex.com an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach Hybrid-Datensicherheit und klicken Sie auf Alle anzeigen.

4

Klicken Sie auf der Registerkarte Ressourcen auf den Cluster, aus dem Sie Kundenorganisationen entfernen möchten.

5

Klicken Sie auf der sich öffnenden Seite auf Zugewiesene Kunden.

6

Klicken Sie in der angezeigten Liste der Kundenorganisationen auf ... auf der rechten Seite der Kundenorganisation, die Sie entfernen möchten, und klicken Sie auf Aus Cluster entfernen.

Nächste Schritte

Schließen Sie den Löschvorgang ab, indem Sie die CMKs der Kundenorganisationen sperren, wie unter CMKs von Tenants, die aus HDS entfernt wurden, beschrieben.

Widerrufen Sie die CMKs von Mandanten, die aus HDS entfernt wurden.

Vorbereitungen

Entfernen Sie Kunden aus dem entsprechenden Cluster, wie unter Mandantenorganisationen entfernen beschrieben. Führen Sie das HDS Setup-Tool aus, um den Entfernungsprozess für die Kundenorganisationen abzuschließen, die entfernt wurden.

  • Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zu zugreifen, führen Sie Docker auf diesem Computer aus. Der Einrichtungsprozess erfordert die Anmeldeinformationen eines Partner Hub-Kontos mit vollen Administratorrechten für Ihre Organisation.

    Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxy-Einstellungen (Server, Port, Anmeldeinformationen) über die Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in Schritt 5 aufrufen. Diese Tabelle enthält einige mögliche Umgebungsvariablen:

    Beschreibung

    Variable

    HTTP-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

  • Die von Ihnen generierte ISO-Konfigurationsdatei enthält den Hauptschlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die neueste Kopie dieser Datei, wenn Sie Konfigurationsänderungen wie die folgenden vornehmen:

    • Datenbank-Anmeldeinformationen

    • Zertifikats-Aktualisierungen

    • Änderungen an der Autorisierungsrichtlinie

  • Wenn Sie Datenbankverbindungen verschlüsseln möchten, richten Sie Ihre PostgreSQL- oder SQL Server-Bereitstellung für TLS ein.

Beim Einrichtungsprozess für die Hybrid-Datensicherheit wird eine ISO-Datei erstellt. Anschließend verwenden Sie die ISO, um Ihren Hybrid-Datensicherheitshost zu konfigurieren.

1

Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

In regulären Umgebungen:

docker rmi ciscocitg/hds-setup:stabil

In FedRAMP-Umgebungen:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

2

Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

Docker Anmeldung -u hdscustomersro
3

Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

In regulären Umgebungen:

docker pull ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

  • In regulären Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In FedRAMP-Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express-Server hören auf Port 8080) sehen.

6

Das Setup-Tool unterstützt die Verbindung zu localhost über http://localhost:8080 nicht. Verwenden Sie http://127.0.0.1:8080 , um eine Verbindung zum Localhost herzustellen.

Navigieren Sie in einem Webbrowser zum Localhost, http://127.0.0.1:8080, und geben Sie bei Aufforderung den Admin-Benutzernamen für Partner Hub ein.

Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto festzulegen. Das Tool zeigt dann die Standard-Anmeldeaufforderung an.

7

Wenn Sie dazu aufgefordert werden, geben Sie Ihre Partner Hub-Administratoranmeldeinformationen ein und klicken Sie dann auf Anmelden , um den Zugriff auf die für die Hybrid-Datensicherheit erforderlichen Dienste zu erlauben.

8

Klicken Sie auf der Übersichtsseite des Setup Tool auf Get Started (Erste Schritte).

9

Klicken Sie auf der Seite ISO-Import auf Ja.

10

Wählen Sie Ihre ISO-Datei im Browser aus und laden Sie sie hoch.

11

Gehen Sie zur Registerkarte Mandanten-CMK-Verwaltung , auf der Sie die folgenden drei Möglichkeiten zur Verwaltung von Mandanten-CMKs finden.

  • CMK für alle ORGs sperren oder CMK sperren – Klicken Sie auf diese Schaltfläche im Banner am oberen Bildschirmrand, um die CMKs aller Organisationen zu sperren, die entfernt wurden.
  • Klicken Sie auf die Schaltfläche CMKs verwalten auf der rechten Seite des Bildschirms und klicken Sie auf CMKs sperren , um die CMKs aller Organisationen zu sperren, die entfernt wurden.
  • Klicken in der Nähe der CMK wird widerrufen Status einer bestimmten Organisation in der Tabelle und klicken Sie auf CMK widerrufen um CMK für diese bestimmte Organisation zu widerrufen.
12

Sobald die CMK-Sperrung erfolgreich ist, wird die Kundenorganisation nicht mehr in der Tabelle angezeigt.

13

Wenn die CMK-Sperrung nicht erfolgreich ist, wird ein Fehler angezeigt.

Testen Ihrer Hybrid-Datensicherheitsbereitstellung

Testen Ihrer Bereitstellung für die Hybrid-Datensicherheit

Mit diesem Verfahren können Sie Verschlüsselungsszenarien für die Multi-Tenant-Hybrid-Datensicherheit testen.

Vorbereitungen

  • Richten Sie die Multi-Tenant-Hybrid-Datensicherheitsbereitstellung ein.

  • Stellen Sie sicher, dass Sie auf das Syslog zugreifen können, um zu überprüfen, ob wichtige Anforderungen an Ihre Multi-Tenant-Hybrid-Datensicherheitsbereitstellung weitergeleitet werden.

1

Schlüssel für einen bestimmten Bereich werden vom Ersteller des Bereichs festgelegt. Melden Sie sich bei der Webex-App als einer der Benutzer der Kundenorganisation an und erstellen Sie einen Bereich.

Wenn Sie die Hybrid-Datensicherheitsbereitstellung deaktivieren, sind Inhalte in von Benutzern erstellten Bereichen nicht mehr verfügbar, nachdem die im Client zwischengespeicherten Kopien der Verschlüsselungscodes ersetzt wurden.

2

Senden Sie Nachrichten an den neuen Bereich.

3

Überprüfen Sie die Syslog-Ausgabe, um sicherzustellen, dass die Schlüsselanforderungen an Ihre Hybrid-Datensicherheitsbereitstellung weitergeleitet werden.

  1. Um zu prüfen, ob ein Benutzer zuerst einen sicheren Kanal zum KMS eingerichtet hat, filtern Sie nach kms.data.method=create und kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Sie sollten einen Eintrag wie den folgenden finden (IDs wurden zur besseren Lesbarkeit gekürzt):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:ANFRAGE] empfangen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Um zu überprüfen, ob ein Benutzer einen vorhandenen Schlüssel im KMS anfordert, filtern Sie nach kms.data.method=retrieve und kms.data.type=KEY:

    Sie sollten einen Eintrag wie den folgenden finden:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:ANFRAGE] empfangen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Um zu überprüfen, ob ein Benutzer die Erstellung eines neuen KMS-Schlüssels anfordert, filtern Sie nach kms.data.method=create und kms.data.type=KEY_COLLECTION:

    Sie sollten einen Eintrag wie den folgenden finden:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:ANFRAGE] empfangen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Um zu überprüfen, ob ein Benutzer die Erstellung eines neuen KMS-Ressourcenobjekts (KRO) anfordert, wenn ein Bereich oder eine andere geschützte Ressource erstellt wird, filtern Sie kms.data.method=create und kms.data.type=RESOURCE_COLLECTION:

    Sie sollten einen Eintrag wie den folgenden finden: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:ANFRAGE] empfangen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Überwachen des Status der Hybrid-Datensicherheit

Eine Statusanzeige in Partner Hub zeigt Ihnen an, ob die Multi-Tenant-Hybrid-Datensicherheitsbereitstellung gut funktioniert. Für stärker proaktive Warnungen können Sie sich für E-Mail-Benachrichtigungen anmelden. Sie werden benachrichtigt, wenn Alarme oder Software-Upgrades den Dienst beeinträchtigen.
1

Wählen Sie in Partner Hub im Menü auf der linken Seite des Bildschirms die Option Dienste aus.

2

Suchen Sie im Abschnitt „Cloud-Dienste“ nach „Hybrid-Datensicherheit“ und klicken Sie auf Einstellungen bearbeiten.

Die Seite „Hybrid Data Security Settings“ (Einstellungen für Hybrid-Datensicherheit) wird angezeigt.
3

Geben Sie im Abschnitt zu E-Mail-Benachrichtigungen eine oder mehrere Adressen durch Komma getrennt ein und drücken Sie Enter.

HDS-Bereitstellung verwalten

Verwalten der HDS-Bereitstellung

Verwenden Sie die hier beschriebenen Aufgaben, um Ihre Hybrid-Datensicherheitsbereitstellung zu verwalten.

Festlegen des Upgrade-Zeitplans für Cluster

Software-Upgrades für Hybrid Data Security werden automatisch auf Cluster-Ebene ausgeführt, um sicherzustellen, dass auf allen Knoten immer die gleiche Software-Version ausgeführt wird. Die Upgrades werden gemäß des Upgrade-Zeitplans für den Cluster ausgeführt. Sie können neue verfügbare Software-Upgrades optional auch vor dem geplanten Upgrade-Zeitpunkt manuell installieren. Sie können einen eigenen Upgrade-Zeitplan festlegen oder den Standardzeitplan um 3:00 Uhr morgens täglich für USA: Amerika/Los Angeles verwenden. Bei Bedarf können Sie anstehende Upgrades auch verzögern.

So legen Sie den Upgrade-Zeitplan fest:

1

Melden Sie sich bei Partner Hub an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach „Hybrid-Datensicherheit“ und klicken Sie auf Einrichten.

4

Wählen Sie auf der Seite „Hybrid-Datensicherheitsressourcen“ den Cluster aus.

5

Klicken Sie auf die Registerkarte Cluster-Einstellungen .

6

Wählen Sie auf der Seite „Cluster-Einstellungen“ unter „Upgrade-Zeitplan“ die Uhrzeit und die Zeitzone für den Upgrade-Zeitplan aus.

Hinweis: Unter der Zeitzone wird der nächste verfügbare Zeitpunkt für ein Upgrade angezeigt. Sie können das Upgrade bei Bedarf auf den folgenden Tag verschieben, indem Sie auf Um 24 Stunden verschieben klicken.

Ändern der Knotenkonfiguration

Gelegentlich kann es erforderlich sein, die Konfiguration Ihres Hybrid-Datensicherheitsknotens zu ändern, z. B.:

  • Änderung der x.509-Zertifikate aufgrund Ablaufs oder anderer Gründe.

    Wir unterstützen keine Änderung des CN-Domänennamens eines Zertifikats. Die Domäne muss mit der Originaldomäne übereinstimmen, die zur Registrierung des Clusters verwendet wurde.

  • Datenbankeinstellungen werden aktualisiert, um auf eine Replik der PostgreSQL- oder Microsoft SQL Server-Datenbank zu wechseln.

    Wir unterstützen keine Migration von Daten von PostgreSQL zu Microsoft SQL Server oder auf den entgegengesetzten Weg. Um die Datenbankumgebung zu wechseln, starten Sie eine neue Bereitstellung von Hybrid Data Security.

  • Erstellen einer neuen Konfiguration, um ein neues Datenzentrum vorzubereiten.

Aus Sicherheitsgründen verwendet Hybrid Data Security Dienstkonto-Passwörter mit einer Laufzeit von neun Monaten. Nachdem das HDS Setup Tool diese Passwörter generiert hat, stellen Sie sie für jeden Ihrer HDS-Knoten in der ISO-Konfigurationsdatei bereit. Wenn die Kennwörter Ihrer Organisation fast ablaufen, erhalten Sie eine Benachrichtigung vom Webex-Team, mit der Sie das Passwort für Ihr Computerkonto zurücksetzen können. (Die E-Mail enthält den Text "Verwenden Sie die Maschinenkonto-API, um das Passwort zu aktualisieren"). Wenn Ihre Passwörter noch nicht abgelaufen sind, bietet Ihnen das Tool zwei Optionen:

  • Weiches Zurücksetzen – Das alte und das neue Kennwort können beide bis zu 10 Tage lang verwendet werden. Verwenden Sie diesen Zeitraum, um die ISO-Datei der Knoten schrittweise zu ersetzen.

  • Harte Zurücksetzung: Die alten Passwörter funktionieren sofort nicht mehr.

Wenn Ihre Passwörter ohne Zurücksetzen ablaufen, wirkt sich dies auf Ihren HDS-Dienst aus, was ein sofortiges Zurücksetzen und Ersetzen der ISO-Datei auf allen Knoten erfordert.

Verwenden Sie dieses Verfahren, um eine neue ISO-Konfigurationsdatei zu generieren und auf Ihren Cluster anzuwenden.

Vorbereitungen

  • Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zu zugreifen, führen Sie Docker auf diesem Computer aus. Der Einrichtungsprozess erfordert die Anmeldeinformationen eines Partner Hub-Kontos mit vollen Partneradministratorrechten.

    Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxy-Einstellungen (Server, Port, Anmeldeinformationen) über die Docker-Umgebungsvariablen an, wenn Sie den Docker Container in 1.e aufrufen. Diese Tabelle enthält einige mögliche Umgebungsvariablen:

    Beschreibung

    Variable

    HTTP-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

  • Um eine neue Konfiguration zu erstellen, benötigen Sie eine Kopie der aktuellen ISO-Konfigurationsdatei. Die ISO enthält den Masterschlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die ISO-Datei, wenn Sie Konfigurationsänderungen vornehmen, wie z. B. Datenbank-Anmeldeinformationen, Zertifikataktualisierungen oder Änderungen an der Autorisierungsrichtlinie.

1

Führen Sie auf einem lokalen Computer, auf dem Docker läuft, das HDS Setup Tool aus.

  1. Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

    In regulären Umgebungen:

    docker rmi ciscocitg/hds-setup:stabil

    In FedRAMP-Umgebungen:

    docker rmi ciscocitg/hds-setup-fedramp:stabil

    Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

  2. Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

    Docker Anmeldung -u hdscustomersro

  3. Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

    In regulären Umgebungen:

    docker pull ciscocitg/hds-setup:stable

    In FedRAMP-Umgebungen:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Stellen Sie sicher, dass Sie für hierfür per Pull das neueste Setup-Tool aufrufen. Versionen des Tools, die vor dem 22. Februar 2018 erstellt wurden, verfügen nicht über die Bildschirme zum Zurücksetzen des Passworts.

  5. Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

    • In regulären Umgebungen ohne Proxy:

      Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • In regulären Umgebungen mit einem HTTP-Proxy:

      Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • In regulären Umgebungen mit einem HTTPSproxy:

      Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • In FedRAMP-Umgebungen ohne Proxy:

      Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

      Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

      Docker run -p 8080:8080 --rm -it -e GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express server listening on port 8080) sehen.

  6. Verwenden Sie einen Browser, um sich mit dem Localhost zu http://127.0.0.1:8080verbinden.

    Das Setup-Tool unterstützt die Verbindung zu localhost über http://localhost:8080 nicht. Verwenden Sie http://127.0.0.1:8080 , um eine Verbindung zum Localhost herzustellen.

  7. Wenn Sie dazu aufgefordert werden, geben Sie Ihre Partner Hub-Kundenanmeldeinformationen ein und klicken Sie dann auf Akzeptieren , um fortzufahren.

  8. Importieren Sie die aktuelle ISO-Konfigurationsdatei.

  9. Befolgen Sie die Anweisungen, um das Tool abzuschließen und die aktualisierte Datei herunterzuladen.

    Um das Setup Tool herunterzufahren, tippen Sie STRG+C ein.

  10. Erstellen Sie eine Backup-Kopie der aktualisierten Datei in einem anderen Datenzentrum.

2

Wenn Sie nur einen HDS-Knoten ausführen, erstellen Sie eine neue VM für den Hybrid-Datensicherheitsknoten und registrieren Sie sie mithilfe der neuen ISO-Konfigurationsdatei. Detaillierte Anweisungen finden Sie unter Weitere Knoten erstellen und registrieren.

  1. Installieren des HDS Host OVA

  2. Richten Sie die HDS-VM ein.

  3. Mounten Sie die aktualisierte Konfigurationsdatei.

  4. Registrieren Sie den neuen Knoten im Partner Hub.

3

Mounten Sie bei vorhandenen HDS-Knoten, auf denen die ältere Konfigurationsdatei ausgeführt wird, die ISO-Datei. Führen Sie für jeden Knoten des Knotens folgende Schritte durch, indem Sie jeden Knoten aktualisieren, bevor Sie den nächsten Knoten deaktivieren:

  1. Deaktivieren Sie die Virtuelle Maschine.

  2. Rechtsklicken Sie im linken Navigationsbereich des VMware vSphere Client auf die VM. Klicken Sie daraufhin auf Edit Settings (Einstellungen bearbeiten).

  3. Klicken Sie auf CD/DVD-Laufwerk 1, wählen Sie die Option zum Bereitstellen einer ISO-Datei und navigieren Sie zu dem Speicherort, unter dem der Download der neuen ISO-Konfigurationsdatei abliegt.

  4. Aktivieren Sie das Kontrollkästchen Verbinden beim Einschalten.

  5. Speichern Sie Ihre Änderungen und starten Sie Sie die virtuelle Maschine.

4

Wiederholen Sie Schritt 3, um bei jedem weiteren Knoten zu ersetzen, auf dem noch die alte Konfiguration ausgeführt wird, die Konfiguration zu ersetzen.

Blockierte externe DNS Auflösungsmodus deaktivieren

Wenn Sie einen Knoten registrieren oder die Proxykonfiguration des Knotens überprüfen, testet das Verfahren die DNS und die Konnektivität der Cisco WebEx. Wenn der DNS-Server des Knotens öffentliche DNS nicht auflösen kann, geht der Knoten automatisch in den gesperrten externen DNS-Server.

Wenn Ihre Knoten öffentliche DNS über interne DNS-Server auflösen können, aktivieren Sie diesen Modus, indem Sie den Proxyverbindungstest für jeden Knoten deaktivieren.

Vorbereitungen

Stellen Sie sicher, dass Ihre internen DNS-Server öffentliche DNS und ihre Knoten mit Ihnen kommunizieren können.
1

Öffnen Sie in einem Webbrowser die Schnittstelle für den Hybrid-Datensicherheitsknoten (IP-Adresse/Einrichtung, https://192.0.2.0/setup), geben Sie beispielsweise die für den Knoten eingerichteten Admin-Anmeldeinformationen ein, und klicken Sie dann auf Anmelden.

2

Gehen Sie zu Übersicht (Standardseite).

Wenn diese Option aktiviert ist, wird die externe DNS auf "Ja" gesetzt .

3

Gehen Sie zur Seite Vertrauensspeicher und Proxy .

4

Klicken Sie auf Stellvertreterverbindung prüfen.

Wenn Sie eine Meldung sehen, dass eine externe DNS nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen und wird in diesem Modus verbleiben. Andernfalls sollte nach dem Neustart des Knotens und der Rückfahrt zur Übersichtsseite die gesperrte externe DNS auf "Nein" gesetzt werden.

Nächste Schritte

Wiederholen Sie den Proxy Verbindungstest für jeden Knoten in Ihrem Cisco Data SicherheitCluster.

Entfernen eines Knotens

Mit diesem Verfahren können Sie einen Hybrid-Datensicherheitsknoten aus der Webex-Cloud entfernen. Löschen Sie nach dem Entfernen des Knotens aus dem Cluster die virtuelle Maschine, um den weiteren Zugriff auf Ihre Sicherheitsdaten zu verhindern.
1

Melden Sie sich über den VMware vSphere-Client auf Ihrem Computer bei dem ESXi virtuellen Host an und schalten Sie die virtuelle Maschine aus.

2

Entfernen des Knotens:

  1. Melden Sie sich bei Partner Hub an und wählen Sie Dienste aus.

  2. Klicken Sie auf der Hybrid-Datensicherheitskarte auf Alle anzeigen , um die Seite „Hybrid-Datensicherheitsressourcen“ anzuzeigen.

  3. Wählen Sie Ihr Cluster aus, um den Bereich „Übersicht“ anzuzeigen.

  4. Klicken Sie auf den Knoten, den Sie entfernen möchten.

  5. Klicken Sie in dem rechts angezeigten Bereich auf Registrierung dieses Knotens aufheben .

  6. Sie können die Registrierung des Knotens auch aufheben, indem Sie auf der rechten Seite des Knotens auf Diesen Knoten entfernen klicken.

3

Löschen Sie die VM im vSphere-Client. (Klicken Sie im linken Navigationsbereich mit der rechten Maustaste auf die VM, und klicken Sie auf Löschen.)

Wenn Sie die VM nicht löschen, denken Sie daran, die Konfigurations-ISO-Datei zu deinstallieren. Ohne die ISO-Datei können Sie die VM nicht verwenden, um auf Ihre Sicherheitsdaten zuzugreifen.

Notfallwiederherstellung mit Standby-Rechenzentrum

Der wichtigste Dienst, den Ihr Hybrid-Datensicherheitscluster bietet, ist die Erstellung und Speicherung von Schlüsseln, mit denen Nachrichten und andere in der Webex-Cloud gespeicherte Inhalte verschlüsselt werden. Für jeden Benutzer innerhalb der Organisation, der der Hybrid-Datensicherheit zugewiesen ist, werden neue Anforderungen zur Schlüsselerstellung an das Cluster weitergeleitet. Der Cluster ist zudem dafür verantwortlich, die erstellten Schlüssel an Benutzer zurückzusenden, die zum Abrufen von Schlüsseln berechtigt sind. Hierzu gehören beispielsweise Mitglieder eines Gesprächsraums.

Da der Cluster die wichtige Funktion erfüllt, diese Schlüssel bereitzustellen, ist es höchst wichtig, dass der Cluster in Betrieb bleibt und korrekte Backups erstellt werden. Der Verlust der Hybrid-Datensicherheitsdatenbank oder der für das Schema verwendeten Konfigurations-ISO führt zu einem NICHT BEHEBBAREN VERLUST von Kundeninhalten. Die folgenden Praktiken sind zwingend erforderlich, um einem derartigen Verlust vorzubeugen:

Wenn eine Katastrophe dazu führt, dass die HDS-Bereitstellung im primären Rechenzentrum nicht mehr verfügbar ist, führen Sie dieses Verfahren aus, um ein manuelles Failover auf das Standby-Rechenzentrum durchzuführen.

Vorbereitungen

Heben Sie die Registrierung aller Knoten aus Partner Hub auf, wie unter Knoten entfernen erwähnt. Verwenden Sie die neueste ISO-Datei, die für die Knoten des zuvor aktiven Clusters konfiguriert wurde, um das unten genannte Failover-Verfahren durchzuführen.
1

Starten Sie das HDS-Setup-Tool und führen Sie die unter Erstellen einer Konfigurations-ISO für die HDS-Hosts beschriebenen Schritte aus.

2

Schließen Sie den Konfigurationsprozess ab und speichern Sie die ISO-Datei an einem leicht auffindbaren Speicherort.

3

Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Sichern Sie die Sicherungskopie sicher. Die Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff auf Administratoren für Hybrid-Datensicherheit, die Konfigurationsänderungen vornehmen sollten.

4

Rechtsklicken Sie im linken Navigationsbereich des VMware vSphere Client auf die VM. Klicken Sie daraufhin auf Edit Settings (Einstellungen bearbeiten).

5

Klicken Sie auf Einstellungen bearbeiten >CD/DVD-Laufwerk 1 und wählen Sie Datenspeicher-ISO-Datei.

Stellen Sie sicher, dass Verbunden und Verbinden beim Einschalten aktiviert sind, damit aktualisierte Konfigurationsänderungen nach dem Starten der Knoten wirksam werden können.

6

Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 15 Minuten lang keine Alarme vorhanden sind.

7

Registrieren Sie den Knoten im Partner Hub. Weitere Informationen finden Sie unter Ersten Knoten im Cluster registrieren.

8

Wiederholen Sie den Vorgang für jeden Knoten im Standby-Rechenzentrum.

Nächste Schritte

Wenn das primäre Rechenzentrum nach dem Failover wieder aktiv wird, die Registrierung der Knoten des Standby-Rechenzentrums aufheben und den oben genannten Prozess der ISO-Konfiguration und der Registrierung der Knoten des primären Rechenzentrums wiederholen.

(Optional) ISO nach HDS-Konfiguration aushängen

Die Standard-HDS-Konfiguration wird mit eingebauter ISO ausgeführt. Einige Kunden ziehen es jedoch vor, die ISO-Dateien nicht kontinuierlich eingebunden zu lassen. Sie können die ISO-Datei unmounten, nachdem alle HDS-Knoten die neue Konfiguration übernommen haben.

Sie verwenden weiterhin die ISO-Dateien, um Konfigurationsänderungen vorzunehmen. Wenn Sie eine neue ISO erstellen oder eine ISO über das Setup-Tool aktualisieren, müssen Sie die aktualisierte ISO auf allen HDS-Knoten mounten. Wenn alle Knoten die Konfigurationsänderungen übernommen haben, können Sie die ISO mit diesem Verfahren erneut deinstallieren.

Vorbereitungen

Aktualisieren Sie alle Ihre HDS-Knoten auf Version 2021.01.22.4720 oder höher.

1

Fahren Sie einen Ihrer HDS-Knoten herunter.

2

Wählen Sie in der vCenter Server-Appliance den HDS-Knoten aus.

3

Wählen Sie Einstellungen bearbeiten > CD/DVD-Laufwerk und deaktivieren Sie ISO-Datei für Datenspeicher.

4

Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 20 Minuten lang keine Alarme angezeigt werden.

5

Wiederholen Sie dies für jeden HDS-Knoten der Reihe nach.

Problembehandlung der Hybrid-Datensicherheit

Anzeigen von Warnungen und Beheben von Fehlern

Eine Hybrid-Datensicherheitsbereitstellung gilt als nicht verfügbar, wenn alle Knoten im Cluster nicht erreichbar sind oder der Cluster so langsam arbeitet, dass eine Zeitüberschreitung erforderlich ist. Wenn Benutzer Ihr Hybrid-Datensicherheitscluster nicht erreichen können, treten folgende Symptome auf:

  • Neue Bereiche können nicht erstellt werden (es konnten keine neuen Schlüssel erstellt werden)

  • Nachrichten- und Bereichstitel konnten für folgende Benutzer nicht entschlüsselt werden:

    • Neue zu einem Bereich hinzugefügte Benutzer (Schlüssel konnten nicht abgerufen werden)

    • Vorhandene Benutzer in einem Bereich, der einen neuen Client verwendet (Schlüssel konnten nicht abgerufen werden)

  • Vorhandene Benutzer in einem Bereich werden weiterhin erfolgreich ausgeführt, sofern ihre Clients über einen Cache für Verschlüsselungsschlüssel verfügen

Es ist wichtig, dass Sie Ihren Hybrid-Datensicherheitscluster ordnungsgemäß überwachen und alle Warnungen umgehend adressieren, um Dienstunterbrechungen zu vermeiden.

Warnungen

Wenn es ein Problem mit der Einrichtung der Hybrid-Datensicherheit gibt, zeigt Partner Hub Warnungen an den Administrator der Organisation an und sendet E-Mails an die konfigurierte E-Mail-Adresse. Die Warnungen betreffen viele gängige Szenarien.

Tabelle 1: Häufig auftretende Probleme und Schritte zur Problembehebung

Alarm

Vorgang

Fehler beim Zugriff auf die lokale Datenbank.

Überprüfen Sie das System auf Datenbankfehler oder lokale Netzwerkprobleme.

Fehler beim Herstellen einer Verbindung zur lokalen Datenbank.

Vergewissern Sie sich, dass der Datenbankserver verfügbar ist und die richtigen Dienstkonto-Anmeldeinformationen in der Knotenkonfiguration verwendet wurden.

Fehler beim Zugriff auf den Clouddienst.

Überprüfen Sie, ob die Knoten auf die Webex-Server zugreifen können, wie unter Externe Verbindungsanforderungen angegeben.

Registrierung des Clouddiensts wird erneuert.

Registrierung von Clouddiensten wurde verworfen. Erneuerung der Registrierung wird durchgeführt.

Registrierung des Clouddiensts wurde verworfen.

Registrierung von Clouddiensten wurde beendet. Dienst wird beendet.

Dienst noch nicht aktiviert.

Aktivieren Sie HDS in Partner Hub.

Konfigurierte Domäne stimmt nicht mit dem Serverzertifikat überein.

Vergewissern Sie sich, dass das Serverzertifikat mit der konfigurierten Dienstaktivierungsdomäne übereinstimmt.

Die wahrscheinlichste Ursache lautet, dass die Zertifikat-CN vor kurzem geändert wurde und nun von der CN abweicht, die während der ursprünglichen Einrichtung verwendet wurde.

Clouddienste konnten nicht authentifiziert werden.

Prüfen Sie die Daten auf korrekte Eingabe und einen möglichen Ablauf der Dienstkonto-Anmeldeinformationen.

Lokale Schlüsselspeicherdatei konnte nicht geöffnet werden.

Überprüfen Sie die lokale Schlüsselspeicherdatei auf Integrität und Kennwortgenauigkeit.

Lokales Serverzertifikat ist ungültig.

Überprüfen Sie das Ablaufdatum des Serverzertifikats und vergewissern Sie sich, dass es von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.

Metriken konnten nicht gepostet werden.

Überprüfen Sie den Zugriff des lokalen Netzwerks auf externe Clouddienste.

Das Verzeichnis /media/configdrive/hds ist nicht vorhanden.

Überprüfen Sie die ISO-Mountkonfiguration auf dem virtuellen Host. Vergewissern Sie sich, dass die ISO-Datei vorhanden ist, die beim Neustart für das Mounten konfiguriert ist und das Mounten erfolgreich ausgeführt wird.

Die Einrichtung der Mandanten-Organisation ist für die hinzugefügten Organisationen nicht abgeschlossen

Schließen Sie die Einrichtung ab, indem Sie mit dem HDS Setup Tool CMKs für neu hinzugefügte Mandantenorganisationen erstellen.

Die Einrichtung der Mandantenorganisation ist für die entfernten Organisationen nicht abgeschlossen

Schließen Sie die Einrichtung ab, indem Sie die CMKs der Mandantenorganisationen, die mit dem HDS Setup Tool entfernt wurden, widerrufen.

Problembehandlung der Hybrid-Datensicherheit

Beachten Sie bei der Behebung von Problemen mit Hybrid Data Security die folgenden allgemeinen Richtlinien.
1

Prüfen Sie Partner Hub auf Warnungen und beheben Sie alle Elemente, die Sie dort finden. Weitere Informationen finden Sie im Bild unten.

2

Überprüfen Sie die Syslog-Serverausgabe auf Aktivität aus der Hybrid-Datensicherheitsbereitstellung. Filtern Sie nach Wörtern wie „Warnung“ und „Fehler“, um bei der Fehlerbehebung zu helfen.

3

Kontaktieren Sie den Cisco-Support.

Sonstige Hinweise

Bekannte Probleme mit Hybrid-Datensicherheit

  • Wenn Sie Ihren Hybrid-Datensicherheitscluster herunterfahren (indem Sie ihn im Partner Hub löschen oder alle Knoten herunterfahren), Ihre Konfigurations-ISO-Datei verlieren oder den Zugriff auf die Keystore-Datenbank verlieren, können Webex-App-Benutzer von Kundenorganisationen keine Bereiche in ihrer Personenliste mehr verwenden, die mit Schlüsseln von Ihrem KMS erstellt wurden. Wir haben aktuell keine Problemumgehung oder Lösung für dieses Problem und empfehlen Ihnen dringend, Ihre HDS-Dienste nicht herunterzufahren, sobald sie aktive Benutzerkonten verarbeiten.

  • Ein Client, der über eine bestehende ECDH-Verbindung zu einem KMS verfügt, hält die Verbindung für einen Zeitraum aufrecht (ca. eine Stunde).

Generieren einer PKCS12-Datei mit OpenSSL

Vorbereitungen

  • OpenSSL ist eines der Tools, mit denen die PKCS12-Datei im richtigen Format für das Laden in das HDS-Setuptool erstellt werden kann. Es gibt auch andere Verfahren, keines davon wird von uns bevorzugt.

  • Wenn Sie sich für die Verwendung von OpenSSL entscheiden, stellen wir Ihnen dieses Verfahren als Richtlinie zur Verfügung, um eine Datei zu erstellen, die die X.509-Zertifikatsanforderungen in X.509-Zertifikatsanforderungen erfüllt. Machen Sie sich mit diesen Anforderungen vertraut, bevor Sie fortfahren.

  • Installieren Sie OpenSSL in einer unterstützten Umgebung. Software und Dokumentation finden Sie auf https://www.openssl.org.

  • Erstellen Sie einen privaten Schlüssel.

  • Beginnen Sie mit diesem Verfahren, wenn Sie das Serverzertifikat von Ihrer Zertifizierungsstelle (CA, Certificate Authority) erhalten.

1

Wenn Sie das Zertifikat von der CA erhalten, speichern Sie es als hdsnode.pem.

2

Zeigen Sie das Zertifikat als Text an, und überprüfen Sie die Details.

openssl x509 -text -noout -in hdsnode.pem

3

Erstellen Sie in einem Text-Editor eine Zertifikatpaketdatei namens hdsnode-bundle.pem. Die Paketdatei muss das Serverzertifikat, alle CA-Zwischenzertifikate sowie die CA-Stammzertifikate im unten angegebenen Format enthalten:

-----BEGIN CERTIFICATE------ ### Serverzertifikat. ### -----END CERTIFICATE------- BEGIN CERTIFICATE----- ### Zwischenzertifikat. ### -----END CERTIFICATE-------BEGIN CERTIFICATE----- ### Stamm-CA-Zertifikat. ### -----END CERTIFICATE-----

4

Erstellen Sie die P12-Datei mit dem Anzeigenamen kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Überprüfen Sie die Zertifikatdetails.

  1. openssl pkcs12 -in hdsnode.p12

  2. Geben Sie ein Passwort an der Eingabeaufforderung ein, um den privaten Schlüssel zu verschlüsseln, sodass er in der Ausgabe aufgeführt wird. Überprüfen Sie dann, ob der private Schlüssel und das erste Zertifikat die folgenden Zeilen enthalten: friendlyName: kms-private-key.

    Beispiel:

    bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Schlüsselattribute:  PEM-Passphrase eingeben: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY-----  -----END ENCRYPTED PRIVATE KEY----- Bag Attribute friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE-----

Nächste Schritte

Kehren Sie zurück zu Voraussetzungen für Hybrid-Datensicherheit erfüllen. Sie verwenden die Datei hdsnode.p12 und das Passwort, das Sie dafür festgelegt haben, unter Erstellen einer Konfigurations-ISO für die HDS-Hosts.

Sie können diese Dateien wiederverwenden, um ein neues Zertifikat anzufordern, wenn das ursprüngliche Zertifikat abläuft.

Datenverkehr zwischen den HDS-Knoten und der Cloud

Metriksammlung von ausgehendem Datenverkehr

Die Hybrid-Datensicherheitsknoten senden bestimmte Metriken an die Webex-Cloud. Dazu gehören Systemmetriken für max. Heap, verbrauchter Heap, CPU-Auslastung und Threadanzahl; Metriken zu synchronen und asynchronen Threads; Metriken zu Warnungen, darunter auch ein Schwellenwert der verschlüsselten Verbindungen, Latenz oder eine Anforderungswarteschlangenlänge; Metriken zum Datenspeicher; und Metriken zu verschlüsselten Verbindungen. Die Knoten senden verschlüsseltes Schlüsselmaterial über einen Out-of-Band-Kanal (separat von der Anforderung).

Eingehender Datenverkehr

Die Hybrid-Datensicherheitsknoten erhalten die folgenden Arten von eingehendem Datenverkehr von der Webex-Cloud:

  • Verschlüsselungsanforderungen von Clients, die vom Verschlüsselungsdienst umgeleitet werden

  • Upgrades für die Knoten-Software

Konfigurieren von Tintenfisch für die Hybriddatensicherheit

WebSocket kann nicht über SquID Proxy verbunden werden

Squid-Proxys, die den HTTPS-Datenverkehr prüfen, können die Einrichtung von Websocket-Verbindungen (wss:) beeinträchtigen, die für Hybrid Data Security erforderlich ist. Diese Abschnitte geben Anweisungen, wie Sie verschiedene Versionen von Squid konfigurieren, um WSS zu ignorieren: Datenverkehr für den ordnungsgemäßen Ablauf der Services.

Squid 4 und 5

Fügen Sie die on_unsupported_protocol Richtlinie zu squid.conf hinzu:

on_unsupported_protocol Alle tunnel

Squid 3.5.27

Wir haben die Hybriddatensicherheit erfolgreich mit den folgenden Regeln getestet, die zu squid .conf hinzugefügt wurden. Diese Regeln können sich geändert werden, da wir Funktionen entwickeln und die WebEx Cisco aktualisieren.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 alle ssl_bump stare step2 alle ssl_bump bump step3 alle

Neue und geänderte Informationen

Neue und geänderte Informationen

In dieser Tabelle werden neue Funktionen, Änderungen an vorhandenen Inhalten und alle wichtigen Fehler beschrieben, die im Bereitstellungsleitfaden für Multi-Tenant-Hybrid-Datensicherheit behoben wurden.

Datum

Vorgenommenen Änderungen

30. Januar 2025

Die SQL-Serverversion 2022 wurde zur Liste der unterstützten SQL-Server unter Anforderungen für Datenbankserver hinzugefügt.

15. Januar 2025

Einschränkungen der Multi-Tenant-Hybrid-Datensicherheit hinzugefügt.

08. Januar 2025

In Erste Einrichtung durchführen und Installationsdateien herunterladen wurde ein Hinweis hinzugefügt, dass das Klicken auf Einrichten auf der HDS-Karte in Partner Hub ein wichtiger Schritt des Installationsprozesses ist.

07. Januar 2025

Aktualisierte Anforderungen für virtuelle Gastgeber, Bereitstellungsaufgaben für Hybrid-Datensicherheit und Installieren der HDS-Host-OVA , um neue Anforderungen von ESXi 7.0 anzuzeigen.

13. Dezember 2024

Erste Veröffentlichung.

Multi-Tenant Hybrid-Datensicherheit deaktivieren

Multi-Tenant-HDS-Deaktivierungsaufgabenablauf

Führen Sie diese Schritte aus, um Multi-Tenant-HDS vollständig zu deaktivieren.

Vorbereitungen

Diese Aufgabe sollte nur von einem Partnervolladministrator ausgeführt werden.
1

Entfernen Sie alle Kunden aus allen Ihren Clustern, wie unter Mandantenorganisationen entfernen erwähnt.

2

Widerrufen Sie die CMKs aller Kunden, wie unter CMKs von Tenants, die aus HDS entfernt wurden erwähnt.

3

Entfernen Sie alle Knoten aus all Ihren Clustern, wie unter Einen Knoten entfernen erwähnt.

4

Löschen Sie alle Ihre Cluster aus Partner Hub mithilfe einer der folgenden beiden Methoden.

  • Klicken Sie auf den Cluster, den Sie löschen möchten, und wählen Sie Diesen Cluster löschen in der oberen rechten Ecke der Übersichtsseite.
  • Klicken Sie auf der Seite „Ressourcen“ auf der rechten Seite eines Clusters auf ... und wählen Sie Cluster entfernen aus.
5

Klicken Sie auf der Übersichtsseite zur Hybrid-Datensicherheit auf die Registerkarte Einstellungen und klicken Sie auf der HDS-Statuskarte auf HDS deaktivieren .

Erste Schritte mit der Multi-Tenant-Hybrid-Datensicherheit

Multi-Tenant Hybrid-Datensicherheit – Übersicht

Vom ersten Tag an stand die Datensicherheit im Mittelpunkt der Entwicklung der Webex-App. Der Eckpfeiler dieser Sicherheit ist die durchgängige Verschlüsselung von Inhalten, die durch die Interaktion der Webex-App-Clients mit dem Schlüsselverwaltungsdienst (Key Management Service, KMS) ermöglicht wird. Der KMS erstellt und verwaltet die Kryptografieschlüssel, mit denen die Clients ihre Nachrichten und Dateien dynamisch ver- und entschlüsseln.

Standardmäßig erhalten alle Webex-App-Kunden eine durchgängige Verschlüsselung mit dynamischen Schlüsseln, die im Cloud-KMS im Sicherheitsbereich von Cisco gespeichert werden. Mit Hybrid Data Security werden KMS und andere Sicherheitsfunktionen in das Rechenzentrum Ihres Unternehmens verschoben, damit die Schlüssel zu ihren verschlüsselten Inhalten ausschließlich bei Ihnen liegen.

Multi-Tenant Hybrid Data Security ermöglicht es Unternehmen, HDS über einen vertrauenswürdigen lokalen Partner zu nutzen, der als Dienstleister fungieren und lokale Verschlüsselungs- und andere Sicherheitsdienste verwalten kann. Diese Einrichtung ermöglicht der Partnerorganisation die vollständige Kontrolle über die Bereitstellung und Verwaltung von Verschlüsselungscodes und stellt sicher, dass die Benutzerdaten von Kundenorganisationen vor externem Zugriff geschützt sind. Partnerorganisationen richten HDS-Instanzen ein und erstellen nach Bedarf HDS-Cluster. Im Gegensatz zu einer normalen HDS-Bereitstellung, die auf eine einzelne Organisation beschränkt ist, kann jede Instanz mehrere Kundenorganisationen unterstützen.

Partnerorganisationen haben zwar die Kontrolle über die Bereitstellung und Verwaltung, sie haben jedoch keinen Zugriff auf von Kunden generierte Daten und Inhalte. Dieser Zugriff ist auf Kundenorganisationen und ihre Benutzer beschränkt.

Dadurch können kleinere Organisationen auch HDS nutzen, da Schlüsselverwaltungsdienst und Sicherheitsinfrastruktur wie Rechenzentren im Besitz des vertrauenswürdigen lokalen Partners sind.

So bietet Multi-Tenant Hybrid Data Security Datensouveränität und Datenkontrolle

  • Benutzergenerierte Inhalte sind wie Cloud-Dienstanbieter vor externem Zugriff geschützt.
  • Vertrauenswürdige Partner vor Ort verwalten die Verschlüsselungscodes von Kunden, mit denen sie bereits eine bestehende Beziehung haben.
  • Option für lokalen technischen Support, falls vom Partner bereitgestellt.
  • Unterstützt Meeting-, Messaging- und Calling-Inhalte.

Dieses Dokument soll Partnerorganisationen bei der Einrichtung und Verwaltung von Kunden in einem Multi-Tenant-Hybrid-Datensicherheitssystem unterstützen.

Einschränkungen der Multi-Tenant-Hybrid-Datensicherheit

  • Partnerorganisationen dürfen keine vorhandene HDS-Bereitstellung in Control Hub aktiv haben.
  • Mandanten- oder Kundenorganisationen, die von einem Partner verwaltet werden möchten, dürfen keine vorhandene HDS-Bereitstellung in Control Hub haben.
  • Sobald der Partner Multi-Tenant-HDS bereitgestellt hat, können alle Benutzer von Kundenorganisationen sowie Benutzer der Partnerorganisation Multi-Tenant-HDS für ihre Verschlüsselungsdienste nutzen.

    Die von ihnen verwaltete Partnerorganisation und Kundenorganisationen werden sich in derselben Multi-Tenant-HDS-Bereitstellung befinden.

    Die Partnerorganisation verwendet Cloud-KMS nicht mehr, nachdem Multi-Tenant-HDS bereitgestellt wurde.

  • Es gibt keinen Mechanismus, um Schlüssel nach einer HDS-Bereitstellung wieder in das Cloud-KMS zu verschieben.
  • Derzeit kann jede Multi-Tenant-HDS-Bereitstellung nur über einen Cluster mit mehreren Knoten verfügen.
  • Administratorrollen haben bestimmte Einschränkungen. Weitere Informationen finden Sie im Abschnitt unten.

Rollen in der Multi-Tenant-Hybrid-Datensicherheit

  • Partner-Volladministrator – Kann Einstellungen für alle Kunden verwalten, die der Partner verwaltet. Außerdem können Sie bereits vorhandenen Benutzern in der Organisation Administratorrollen zuweisen und bestimmte Kunden für die Verwaltung durch Partneradministratoren zuweisen.
  • Partneradministrator – Kann Einstellungen für Kunden verwalten, die der Administrator bereitgestellt hat oder die dem Benutzer zugewiesen wurden.
  • Volladministrator – Administrator der Partnerorganisation, der berechtigt ist, Aufgaben auszuführen, z. B. die Änderung von Organisationseinstellungen, die Verwaltung von Lizenzen und das Zuweisen von Rollen.
  • Durchgängige Multi-Tenant-HDS-Einrichtung und -Verwaltung aller Kundenorganisationen – Partner-Volladministrator und Volle Administratorrechte erforderlich.
  • Verwaltung zugewiesener Mandanten-Organisationen – Partneradministrator und volle Administratorrechte erforderlich.

Sicherheitsbereichsarchitektur

Die Webex-Cloud-Architektur unterteilt verschiedene Arten von Diensten in separate Bereiche oder Vertrauensdomänen, wie unten dargestellt.

Bereiche der Trennung (ohne Hybrid-Datensicherheit)

Um die Hybrid-Datensicherheit besser zu verstehen, schauen wir uns zunächst diesen reinen Cloud-Fall an, bei dem Cisco alle Funktionen in seinen Cloud-Bereichen bereitstellt. Der Identitätsdienst, der einzige Ort, an dem Benutzer direkt mit ihren persönlichen Informationen in Verbindung gebracht werden können, wie z. B. die E-Mail-Adresse, ist logisch und physisch vom Sicherheitsbereich in Rechenzentrum B getrennt. Er ist wiederum von dem Bereich getrennt, in dem verschlüsselte Inhalte letztendlich gespeichert werden, in Rechenzentrum C.

In diesem Diagramm ist der Client die Webex-App, die auf dem Laptop eines Benutzers ausgeführt wird und sich mit dem Identitätsdienst authentifiziert hat. Wenn der Benutzer eine Nachricht verfasst, die er an einen Bereich senden möchte, finden folgende Schritte statt:

  1. Der Client stellt eine sichere Verbindung zum Schlüsselverwaltungsdienst her, und fordert anschließend einen Schlüssel zum Verschlüsseln der Nachricht an. Die sichere Verbindung verwendet ECDH und der Schlüsselverwaltungsdienst verschlüsselt den Schlüssel mit einem AES-256-Hauptschlüssel.

  2. Die Nachricht wird verschlüsselt, bevor sie den Client verlässt. Der Client sendet sie an den Indexdienst, der verschlüsselte Suchindizes erstellt, um zukünftige Suchvorgänge nach Inhalten zu unterstützen.

  3. Die verschlüsselte Nachricht wird an den Compliancedienst gesendet, damit Complianceprüfungen vorgenommen werden können.

  4. Die verschlüsselte Nachricht wird im Speicherbereich abgelegt.

Wenn Sie die Hybrid-Datensicherheit bereitstellen, verschieben Sie die Sicherheitsbereichsfunktionen (KMS, Indexierung und Compliance) in Ihr lokales Rechenzentrum. Die anderen Cloud-Dienste, aus denen Webex besteht (einschließlich Identitätsspeicher und Inhaltsspeicher), verbleiben in den Bereichen von Cisco.

Zusammenarbeit mit anderen Organisationen

Benutzer in Ihrer Organisation können die Webex-App regelmäßig verwenden, um mit externen Teilnehmern in anderen Organisationen zusammenzuarbeiten. Wenn einer Ihrer Benutzer einen Schlüssel für einen Bereich anfordert, der Ihrer Organisation gehört (da er von einem Ihrer Benutzer erstellt wurde) sendet Ihr Schlüsselverwaltungsdienst den Schlüssel über einen mit ECDH gesicherten Kanal an den Client. Wenn eine andere Organisation jedoch den Schlüssel für den Bereich besitzt, leitet Ihr KMS die Anforderung über einen separaten ECDH-Kanal an die Webex-Cloud weiter, um den Schlüssel vom entsprechenden KMS zu erhalten, und gibt den Schlüssel dann an Ihren Benutzer im ursprünglichen Kanal zurück.

Der KMS-Dienst, der unter Organisation A ausgeführt wird, überprüft die Verbindungen zu KMSs in anderen Organisationen mit x.509-PKI-Zertifikaten. Weitere Informationen zur Erzeugung eines x.509-Zertifikats für die Verwendung mit Ihrer Multi-Tenant-Hybrid-Datensicherheitsbereitstellung finden Sie unter Vorbereiten Ihrer Umgebung .

Erwartungen an die Bereitstellung der Hybrid-Datensicherheit

Eine Bereitstellung der Hybrid-Datensicherheit erfordert ein erhebliches Engagement und ein Bewusstsein für die Risiken, die mit dem Besitz von Verschlüsselungscodes einhergehen.

Zur Bereitstellung der Hybrid-Datensicherheit müssen Sie Folgendes bereitstellen:

Der vollständige Verlust der Konfigurations-ISO, die Sie für Hybrid Data Security erstellen, oder der von Ihnen bereitgestellten Datenbank führt zum Verlust der Schlüssel. Der Schlüsselverlust verhindert, dass Benutzer Bereichsinhalte und andere verschlüsselte Daten in der Webex-App entschlüsseln. Falls dies geschieht, können Sie eine neue Bereitstellung erstellen, es werden dabei jedoch nur neue Inhalte angezeigt. Gehen Sie folgendermaßen vor, damit Sie nicht den Zugriff auf die Daten verlieren:

  • Verwalten Sie die Sicherung und Wiederherstellung der Datenbank und die ISO-Konfigurationsdatei.

  • Bereiten Sie sich darauf vor, eine schnelle Notfallwiederherstellung durchzuführen, wenn eine Katastrophe eintritt, z. B. ein Fehler der Datenbank oder ein Absturz des Rechenzentrums.

Es gibt keinen Mechanismus, um Schlüssel nach einer HDS-Bereitstellung zurück in die Cloud zu verschieben.

Übergeordneter Einrichtungsprozess

Dieses Dokument behandelt die Einrichtung und Verwaltung einer Multi-Tenant-Hybrid-Datensicherheitsbereitstellung:

  • Hybrid-Datensicherheit einrichten – Dazu gehört die Vorbereitung der erforderlichen Infrastruktur und die Installation der Hybrid-Datensicherheitssoftware, der Aufbau eines HDS-Clusters, das Hinzufügen von Tenant-Organisationen zum Cluster und die Verwaltung ihrer Customer Main Keys (CMKs). Damit können alle Benutzer Ihrer Kundenorganisationen Ihr Hybrid-Datensicherheitscluster für Sicherheitsfunktionen verwenden.

    Die Einrichtungs-, Aktivierungs- und Verwaltungsphase werden in den nächsten drei Kapiteln ausführlich behandelt.

  • Aufrechterhaltung Ihrer Hybrid-Datensicherheitsbereitstellung – Die Webex-Cloud stellt automatisch laufende Upgrades bereit. Ihre IT-Abteilung kann Ebene-1-Support anbieten und bei Bedarf den Cisco-Support hinzuziehen. Sie können Benachrichtigungen auf dem Bildschirm verwenden und E-Mail-basierte Warnungen in Partner Hub einrichten.

  • Allgemeine Warnungen, Schritte zur Fehlerbehebung und bekannte Probleme verstehen: Wenn bei der Bereitstellung oder Verwendung von Hybrid-Datensicherheit Probleme auftreten, können Sie das letzte Kapitel dieses Leitfadens und der Anhang „Bekannte Probleme“ bei der Ermittlung und Behebung des Problems helfen.

Bereitstellungsmodell für die Hybrid-Datensicherheit

Im Rechenzentrum Ihres Unternehmens stellen Sie die hybride Datensicherheit als ein Cluster von Knoten auf separaten virtuellen Hosts bereit. Die Knoten kommunizieren mit der Webex Cloud über sichere Websockets und sicheres HTTP.

Während des Installationsvorgangs stellen wir Ihnen die OVA-Datei bereit, mit der Sie die virtuelle Appliance auf den von Ihnen angegebenen VMs einrichten können. Mit dem HDS-Setuptool erstellen Sie eine benutzerdefinierte ISO-Clusterkonfigurationsdatei, die Sie bei den einzelnen Knoten mounten. Der Hybrid-Datensicherheitscluster verwendet den von Ihnen bereitgestellten Syslogd-Server und die PostgreSQL- oder Microsoft SQL Server-Datenbank. (Sie konfigurieren die Syslogd- und Datenbankverbindungsdetails im HDS Setup Tool.)

Bereitstellungsmodell für die Hybrid-Datensicherheit

Die Mindestanzahl von Knoten in einem Cluster lautet zwei. Wir empfehlen mindestens drei pro Cluster. Die Tatsache, dass mehrere Knoten vorhanden sind, stellt sicher, dass der Dienst während eines Software-Upgrades oder anderer Wartungsaktivitäten auf einem Knoten nicht unterbrochen wird. (Die Webex-Cloud aktualisiert jeweils nur einen Knoten.)

Alle Knoten in einem Cluster greifen auf denselben Schlüsseldatenspeicher zu und sie protokollieren Aktivitäten auf demselben Syslog-Server. Die Knoten selbst besitzen keinen Status und verarbeiten Schlüsselanfragen nach dem Round-Robin-Verfahren, wie von der Cloud vorgegeben.

Knoten werden aktiv, wenn Sie sie in Partner Hub registrieren. Um einen einzelnen Knoten zu deaktivieren, können Sie die Registrierung aufheben und ggf. zu einem späteren Zeitpunkt erneut registrieren.

Standby-Rechenzentrum für die Notfallwiederherstellung

Während der Bereitstellung richten Sie ein sicheres Standby-Rechenzentrum ein. Bei einem Absturz des Rechenzentrums können Sie die Bereitstellung manuell auf das Standby-Rechenzentrum umstellen.

Vor dem Failover verfügt Rechenzentrum A über aktive HDS-Knoten und die primäre PostgreSQL- oder Microsoft SQL Server-Datenbank, während B über eine Kopie der ISO-Datei mit zusätzlichen Konfigurationen, in der Organisation registrierte VMs und eine Standby-Datenbank verfügt. Nach dem Failover verfügt Rechenzentrum B über aktive HDS-Knoten und die primäre Datenbank, während A über nicht registrierte VMs und eine Kopie der ISO-Datei verfügt und sich die Datenbank im Standby-Modus befindet.
Manuelles Failover zum Standby-Rechenzentrum

Die Datenbanken der aktiven und Standby-Rechenzentren sind synchronisiert, wodurch die Zeit für die Durchführung des Failovers minimiert wird.

Die aktiven Hybrid-Datensicherheitsknoten müssen sich immer im selben Rechenzentrum wie der aktive Datenbankserver befinden.

Proxy-Support

Die Hybriddatensicherheit unterstützt explizite, transparente Inspektionen und Nichtinspizierungsproxys. Sie können diese Proxys an Ihre Bereitstellung binden, damit Sie den Datenverkehr aus dem Unternehmen heraus in die-Cisco sichern und überwachen können. Sie können eine Netzwerkverwaltung auf den Knoten für Zertifikats-Management verwenden und den Status der gesamten Konnektivität überprüfen, nachdem Sie den Proxy auf den Knoten eingerichtet haben.

Die Hybrid Data Sicherheitshinweis unterstützt die folgenden Proxyoptionen:

  • Kein Proxy: Der Standardwert, wenn Sie nicht die Konfiguration von Vertrauensspeicher und Proxy für die Integration eines Proxys beim Einrichten des HDS-Knotens verwenden. Es ist keine Zertifikatsaktualisierung erforderlich.

  • Transparenter Proxy ohne Prüfung – Die Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert und sollten keine Änderungen erfordern, um mit einem Proxy ohne Prüfung zu arbeiten. Es ist keine Zertifikatsaktualisierung erforderlich.

  • Transparentes Tunneln oder Proxyprüfen: Die Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert. Es sind keine Änderungen bei der Konfigurationänderung von http oder HTTPS Allerdings benötigen die Knoten eine Stammzertifikat, sodass Sie dem Proxy Vertrauen. Die Inspektion von Proxys wird in der Regel von ihm verwendet, um Strategien durchzusetzen, welche Websites besichtigt werden können und welche Arten von Inhalten nicht zulässig sind. Diese Art von Proxy entschlüsselt den gesamten Datenverkehr (auch HTTPS).

  • Expliziter Proxy: Mit explizitem Proxy teilen Sie den HDS-Knoten mit, welcher Proxyserver und welches Authentifizierungsschema verwendet werden sollen. Um einen expliziten Proxy zu konfigurieren, müssen Sie die folgenden Informationen zu den einzelnen Knoten eingeben:

    1. Proxy-IP/FQDN: Adresse, die verwendet werden kann, um die Proxy-Maschine zu erreichen.

    2. Proxy-Port: Eine Portnummer, die der Proxy verwendet, um nach proxyem Datenverkehr zu suchen.

    3. Proxy-Protokoll: Wählen Sie je nachdem, was Ihr Proxy-Server unterstützt, zwischen den folgenden Protokollen aus:

      • – Und steuert alle Anfragen, die der Client sendet.

      • HTTPS – stellt einen Kanal zum Server bereit. Der Client erhält und prüft das Zertifikat des Servers.

    4. Authentifizierungstyp: Wählen Sie aus den folgenden Authentifizierungstypen aus:

      • Keine: Es ist keine weitere Authentifizierung erforderlich.

        Verfügbar, wenn Sie entweder http oder HTTPS als Proxyprotokoll auswählen.

      • Basic – wird für einen HTTP-Benutzeragenten verwendet, um bei einer Anfrage einen Benutzernamen und ein Kennwort anzugeben. Zertifikatsformat verwendet.

        Verfügbar, wenn Sie entweder http oder HTTPS als Proxyprotokoll auswählen.

        Hiermit müssen Sie die Benutzername und das Passwort eines jeden Knotens eingeben.

      • Digest – wird verwendet, um das Konto vor dem Senden sensibler Informationen zu bestätigen. Gibt eine Hashfunktion auf die Benutzername und das Passwort ein, bevor Sie über das Netzwerk senden.

        Nur verfügbar, wenn Sie HTTPS als Proxyprotokoll auswählen.

        Hiermit müssen Sie die Benutzername und das Passwort eines jeden Knotens eingeben.

Beispiel für hybride Datensicherheitsknoten und Proxy

Dieses Diagramm zeigt eine Beispielverbindung zwischen der Hybriddatensicherheit, dem Netzwerk und einem Proxy. Für die transparente Inspektion und HTTPS explizite Überprüfung der Proxyoptionen müssen dieselben Stammzertifikat auf dem Proxy und auf den Hybriden Datensicherheitsknoten installiert sein.

Externer DNS Auflösungsmodus blockiert (explizite Proxykonfigurationen)

Wenn Sie einen Knoten registrieren oder die Proxykonfiguration des Knotens überprüfen, testet das Verfahren die DNS und die Konnektivität der Cisco WebEx. Bei Bereitstellungen mit expliziten Proxykonfigurationen, die keine externe DNS für interne Clients zulassen, wenn der Knoten die DNS-Server nicht Abfragen kann, geht er automatisch in den gesperrten externen DNS-Server. In diesem Modus können Knotenregistrierungen und andere Proxyverbindungstests fortgeführt werden.

Umgebung vorbereiten

Anforderungen für die Multi-Tenant-Hybrid-Datensicherheit

Cisco Webex-Lizenzanforderungen

So stellen Sie Multi-Tenant Hybrid Data Security bereit:

  • Partnerorganisationen: Wenden Sie sich an Ihren Cisco-Partner oder Account Manager und stellen Sie sicher, dass die Multi-Tenant-Funktion aktiviert ist.

  • Mandantenorganisationen: Sie benötigen Pro Pack für Cisco Webex Control Hub. (Siehe https://www.cisco.com/go/pro-pack.)

Docker Desktop-Anforderungen

Bevor Sie Ihre HDS-Knoten installieren, benötigen Sie Docker Desktop, um ein Setup-Programm auszuführen. Docker hat kürzlich sein Lizenzierungsmodell aktualisiert. Ihre Organisation benötigt möglicherweise ein kostenpflichtiges Abonnement für Docker Desktop. Weitere Informationen finden Sie im Docker-Blog-Post: " Docker aktualisiert und erweitert unsere Produktabonnements".

Anforderungen an das X.509-Zertifikat

Diese Zertifikatskette muss die folgenden Anforderungen erfüllen:

Tabelle 1: X.509-Zertifikatsanforderungen für die Hybrid-Datensicherheitsbereitstellung

Anforderung

Details

  • Von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert

Standardmäßig vertrauen wir den Zertifizierungsstellen in der Mozilla-Liste (mit Ausnahme von WoSign und StartCom) unter https://wiki.mozilla.org/CA:IncludedCAs.

  • Trägt einen CN-Domänennamen (Common Name), der Ihre Hybrid-Datensicherheitsbereitstellung identifiziert

  • Ist kein Platzhalterzertifikat

Der CN muss nicht erreichbar und kein Live-Host sein. Wir empfehlen die Verwendung eines Namens, der Ihre Organisation widerspiegelt, z. B. hds.unternehmen.com.

Der CN darf kein * (Platzhalter) enthalten.

Der CN wird verwendet, um die Hybrid-Datensicherheitsknoten für Webex-App-Clients zu verifizieren. Alle Hybrid-Datensicherheitsknoten in Ihrem Cluster verwenden das gleiche Zertifikat. Ihr KMS identifiziert sich selbst unter Verwendung der CN-Domäne, nicht einer beliebigen Domäne, die in den x.509v3-SAN-Feldern definiert ist.

Nachdem Sie einen Knoten mit diesem Zertifikat registriert haben, kann der CN-Domänenname nicht mehr geändert werden.

  • Keine SHA1-Signatur

Die KMS-Software unterstützt keine SHA1-Signaturen zum Validieren von Verbindungen zu KMS anderer Organisationen.

  • Als passwortgeschützte PKCS #12-Datei formatiert

  • Verwenden Sie den Anzeigenamen kms-private-key zum Kennzeichnen des Zertifikats, des privaten Schlüssels und aller Zwischenzertifikate, die hochgeladen werden sollen.

Sie können das Format Ihres Zertifikats mithilfe einer Konvertierungssoftware wie OpenSSL ändern.

Sie müssen das Passwort eingeben, wenn Sie das HDS-Setuptool ausführen.

Die KMS-Software erzwingt keine Schlüsselnutzung und beschränkt erweiterte Schlüsselnutzung nicht. Einige Zertifizierungsstellen erfordern Beschränkungen einer erweiterten Schlüsselnutzung für jedes Zertifikat, wie z. B. Server-Authentifizierung. Die Server-Authentifizierung oder andere Einstellungen zu verwenden, ist zulässig.

Anforderungen für virtuelle Gastgeber

Die virtuellen Hosts, die Sie als Hybrid-Datensicherheitsknoten in Ihrem Cluster einrichten, haben die folgenden Anforderungen:

  • Mindestens zwei separate Hosts (3 empfohlen) befinden sich im gleichen sicheren Rechenzentrum

  • VMware ESXi 7.0 (oder höher) installiert und ausgeführt.

    Sie müssen ein Upgrade durchführen, wenn Sie über eine frühere Version von ESXi verfügen.

  • Mindestens 4 vCPUs, 8 GB Hauptspeicher, 30 GB lokaler Festplattenspeicher pro Server

Datenbankserveranforderungen

Erstellen Sie eine neue Datenbank für die Schlüsselspeicherung. Verwenden Sie nicht die Standarddatenbank. Die HDS-Anwendungen erstellen bei Installation das Datenbankschema.

Für den Datenbankserver gibt es zwei Optionen. Die Anforderungen für jede dieser Komponenten lauten wie folgt:

Tabelle 2. Anforderungen für Datenbankserver nach Datenbanktyp

PostgreSQL

Microsoft SQL-Server

  • PostgreSQL 14, 15 oder 16, installiert und ausgeführt.

  • SQL Server 2016, 2017, 2019 oder 2022 (Enterprise oder Standard) installiert.

    SQL Server 2016 erfordert Service Pack 2 und kumulatives Update 2 oder höher.

Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichend Festplattenkapazität und Überwachung zur Sicherstellung, dass dieser nicht überschritten wird (2 TB empfohlen, falls die Datenbank über längere Zeit ohne Erweiterung der Festplattenkapazität ausgeführt werden soll)

Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichend Festplattenkapazität und Überwachung zur Sicherstellung, dass dieser nicht überschritten wird (2 TB empfohlen, falls die Datenbank über längere Zeit ohne Erweiterung der Festplattenkapazität ausgeführt werden soll)

Die HDS-Software installiert derzeit die folgenden Treiberversionen für die Kommunikation mit dem Datenbankserver:

PostgreSQL

Microsoft SQL-Server

Der Treiber Postgres JDBC 42.2.5

SQL Server JDBC-Treiber 4.6

Diese Treiberversion unterstützt SQL Server Always On (Always On Failover Cluster Instances und Always On-Verfügbarkeitsgruppen).

Zusätzliche Anforderungen für die Windows-Authentifizierung gegen Microsoft SQL Server

Wenn Sie möchten, dass HDS-Knoten die Windows-Authentifizierung verwenden, um Zugriff auf Ihre Keystore-Datenbank auf Microsoft SQL Server zu erhalten, benötigen Sie die folgende Konfiguration in Ihrer Umgebung:

  • Die HDS-Knoten, die Active Directory-Infrastruktur und der MS SQL Server müssen alle mit dem NTP synchronisiert werden.

  • Das Windows-Konto, das Sie auf HDS-Knoten bereitstellen, muss Lese-/Schreibzugriff auf die Datenbank haben.

  • Die DNS-Server, die Sie für HDS-Knoten bereitstellen, müssen in der Lage sein, Ihr Key Distribution Center (KDC) aufzulösen.

  • Sie können die HDS-Datenbankinstanz auf Ihrem Microsoft SQL Server als Service Principal Name (SPN) in Ihrem Active Directory registrieren. Siehe Registrieren eines Dienstprinzipalnamens für Kerberos-Verbindungen.

    Das HDS-Setup-Tool, der HDS-Launcher und das lokale KMS müssen für den Zugriff auf die Keystore-Datenbank die Windows-Authentifizierung verwenden. Sie verwenden die Details aus Ihrer ISO-Konfiguration, um die SPN zu konstruieren, wenn sie den Zugriff mit der Kerberos-Authentifizierung anfordern.

Anforderungen an externe Konnektivität

Konfigurieren Sie Ihre Firewall so, dass die folgende Konnektivität für die HDS-Anwendungen zugelassen ist:

Anwendung

Protokoll

Port

Richtung von der App

Ziel

Hybrid-Datensicherheitsknoten

TCP

443

Ausgehend HTTPS und WSS

  • Webex-Server:

    • *.wbx2.com

    • *.ciscospark.com

  • Alle Common Identity-Hosts

  • Weitere URLs, die für die Hybrid-Datensicherheit in der Tabelle Zusätzliche URLs für Webex-Hybriddienste unter Netzwerkanforderungen für Webex-Dienste aufgeführt sind

HDS-Einrichtungstool

TCP

443

Ausgehendes HTTPS

  • *.wbx2.com

  • Alle Common Identity-Hosts

  • hub.docker.com

Die Hybrid-Datensicherheitsknoten funktionieren mit NAT (Network Access Translation) oder hinter einer Firewall, solange NAT oder Firewall die erforderlichen ausgehenden Verbindungen zu den in der vorangehenden Tabelle aufgeführten Domänenzielen zulässt. Für eingehende Verbindungen zu den Hybrid-Datensicherheitsknoten sollten keine Ports aus dem Internet sichtbar sein. In Ihrem Rechenzentrum benötigen Clients aus administrativen Gründen Zugriff auf die Hybrid-Datensicherheitsknoten auf den TCP-Ports 443 und 22.

Die URLs für die CI-Hosts (Common Identity) sind regionsspezifisch. Dies sind die aktuellen CI-Hosts:

Region

Host-URLs der allgemeinen Identität

Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Europäische Union

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Vereinigte Arabische Emirate

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Vorgaben für Proxy-Server

  • Wir unterstützen offiziell die folgenden Proxylösungen, die in ihre Hybriden Sicherheitsknoten integriert werden können.

    • Transparenter Proxy – Cisco Web Sicherheitsgerät (WSA).

    • Explizite –.

      Squid-Proxys, die den HTTPS-Datenverkehr untersuchen, können die Einrichtung von Websocket-Verbindungen (wss:) beeinträchtigen. Informationen zur Behebung dieses Problems finden Sie unter Konfigurieren von Squid-Proxys für Hybrid-Datensicherheit.

  • Wir unterstützen die folgenden Authentifizierungskombinationen für explizite Proxys:

    • Keine Authentifizierung mit http oder HTTPS

    • Grundlegende Authentifizierung mit http oder HTTPS

    • Verdauungsauthentifizierung nur mit HTTPS

  • Um einen transparenten Proxy oder einen HTTPS expliziten Proxy zu erhalten, müssen Sie eine Kopie des Stammzertifikat des Stellvertreters besitzen. Die Bereitstellungsanweisungen in diesem Handbuch zeigen Ihnen, wie Sie die Kopie in die Vertrauensspeicher der Hybriden Datensicherheitsknoten hochladen können.

  • Das Netzwerk, das die HDS Nodes hostet, muss so konfiguriert sein, dass es den ausgehenden TCP Traffic auf Port 443 durch den Proxy zwingt

  • Proxys, die den Webverkehr inspizieren, können die Websteckverbindung beeinträchtigen. Wenn dieses Problem auftritt, wird das Problem durch Umgehung des Datenverkehrs zu wbx2.com und ciscospark.com gelöst.

Erfüllen der Voraussetzungen für die Hybrid-Datensicherheit

Stellen Sie mit dieser Checkliste sicher, dass Sie bereit für die Installation und Konfiguration Ihres Hybrid-Datensicherheitsclusters sind.
1

Stellen Sie sicher, dass Ihre Partnerorganisation die Multi-Tenant-HDS-Funktion aktiviert hat, und sichern Sie sich die Anmeldeinformationen für ein Konto mit vollen Partneradministratorrechten und vollen Administratorrechten. Stellen Sie sicher, dass Ihre Webex-Kundenorganisation für Pro Pack für Cisco Webex Control Hub aktiviert ist. Wenden Sie sich an Ihren Cisco-Partner oder an Ihren Account Manager, falls Sie Hilfe bei diesem Verfahren benötigen.

Kundenorganisationen sollten keine vorhandene HDS-Bereitstellung haben.

2

Wählen Sie einen Domänennamen für Ihre HDS-Bereitstellung (z. B. hds.company.com) aus und rufen Sie eine Zertifikatskette ab, die ein X.509-Zertifikat, einen privaten Schlüssel und alle Zwischenzertifikate enthält. Die Zertifikatskette muss die Anforderungen in X.509-Zertifikatsanforderungen erfüllen.

3

Bereiten Sie identische virtuelle Hosts vor, die Sie als Hybrid-Datensicherheitsknoten in Ihrem Cluster einrichten werden. Sie benötigen mindestens zwei separate Hosts (3 empfohlen), die sich im selben sicheren Rechenzentrum befinden und die Anforderungen unter Anforderungen für virtuelle Hosts erfüllen.

4

Bereiten Sie den Datenbankserver vor, der als Schlüsseldatenspeicher für den Cluster dient, gemäß den Anforderungen für den Datenbankserver. Der Datenbankserver muss sich im sicheren Rechenzentrum mit den virtuellen Hosts befinden.

  1. Erstellen Sie eine Datenbank für die Schlüsselspeicherung. (Sie müssen diese Datenbank erstellen. Verwenden Sie nicht die Standarddatenbank. Die HDS-Anwendungen erstellen bei Installation das Datenbankschema.)

  2. Sammeln Sie die Informationen, die die Knoten zur Kommunikation mit dem Datenbankserver benötigen:

    • Der Hostname oder die IP-Adresse (Host) und der Port

    • Der Name der Datenbank (dbname) zur Schlüsselspeicherung

    • Der Benutzername und das Kennwort eines Benutzers mit allen Rechten in der Schlüsseldatenbank

5

Richten Sie für eine schnelle Notfallwiederherstellung eine Backup-Umgebung in einem anderen Rechenzentrum ein. Die Backup-Umgebung spiegelt die Produktionsumgebung von VMs und eines Backup-Datenbankservers wider. Wenn beispielsweise in der Produktion 3 VMs HDS-Knoten ausführen, sollte die Backup-Umgebung 3 VMs haben.

6

Richten Sie einen syslog-Host ein, um Protokolle aus den Knoten im Cluster zu sammeln. Dokumentieren Sie dessen Netzwerkadresse und syslog-Port (Standard ist UDP 514).

7

Erstellen Sie eine sichere Backup-Richtlinie für die Hybrid-Datensicherheitsknoten, den Datenbankserver und den Syslog-Host. Um einen nicht behebbaren Datenverlust zu vermeiden, müssen Sie mindestens die Datenbank und die für die Hybrid-Datensicherheitsknoten generierte Konfigurations-ISO-Datei sichern.

Da auf den Hybrid-Datensicherheitsknoten die für die Ver- und Entschlüsselung von Inhalten verwendeten Schlüssel gespeichert werden, führt das Versäumnis, eine betriebliche Bereitstellung aufrechtzuerhalten, zum NICHT BEHEBBAREN VERLUST dieser Inhalte.

Webex-App-Clients speichern ihre Schlüssel im Zwischenspeicher, sodass ein Ausfall möglicherweise nicht sofort spürbar ist, aber mit der Zeit offensichtlich wird. Vorübergehende Ausfälle sind unvermeidlich, aber behebbar. Bei einem vollständigen Verlust (keine Backups verfügbar) entweder der Datenbank oder der ISO-Konfigurationsdatei gehen jedoch Kundendaten unwiederbringlich verloren. Von den Betreibern der Hybrid-Datensicherheitsknoten wird erwartet, dass sie häufige Sicherungen der Datenbank und der Konfigurations-ISO-Datei erstellen und im Falle eines katastrophalen Ausfalls das Rechenzentrum für die Hybrid-Datensicherheit neu erstellen.

8

Stellen Sie sicher, dass Ihre Firewall-Konfiguration eine Verbindung für Ihre Hybrid-Datensicherheitsknoten ermöglicht, wie unter Externe Verbindungsanforderungen beschrieben.

9

Installieren Sie Docker ( https://www.docker.com) auf jedem lokalen Computer, auf dem ein unterstütztes Betriebssystem ausgeführt wird (Microsoft Windows 10 Professional, Enterprise 64-Bit oder Mac OSX Yosemite 10.10.3 oder höher) und ein Webbrowser, der unter http://127.0.0.1:8080. darauf zugreifen kann.

Mit der Docker-Instanz können Sie das HDS Setup Tool herunterladen und ausführen, das die lokalen Konfigurationsinformationen für alle Hybrid-Datensicherheitsknoten erstellt. Möglicherweise benötigen Sie eine Docker Desktop-Lizenz. Weitere Informationen finden Sie unter Anforderungen für Docker Desktop .

Um das HDS Setup Tool zu installieren und auszuführen, muss der lokale Computer über die unter Anforderungen an externe Konnektivität beschriebenen Konnektivität verfügen.

10

Wenn Sie einen Proxy mit Hybrid Data Security integrieren, stellen Sie sicher, dass er die Anforderungen für den Proxy-Server erfüllt.

Hybrid-Datensicherheitscluster einrichten

Ablauf der Bereitstellungsaufgabe für die Hybrid-Datensicherheit

Vorbereitungen

1

Erste Einrichtung durchführen und Installationsdateien herunterladen

Laden Sie die OVA-Datei für eine spätere Verwendung auf Ihren lokalen Computer herunter.

2

Erstellen einer ISO-Konfigurationsdatei für die HDS-Hosts

Erstellen Sie mit dem HDS Setup Tool eine ISO-Konfigurationsdatei für die Hybrid-Datensicherheitsknoten.

3

Installieren des HDS Host OVA

Erstellen Sie eine virtuelle Maschine aus der OVA-Datei und führen Sie eine erste Konfiguration durch, z. B. Netzwerkeinstellungen.

Die Option zum Konfigurieren der Netzwerkeinstellungen während der OVA-Bereitstellung wurde mit ESXi 7.0 getestet. In früheren Versionen ist diese Option möglicherweise nicht verfügbar.

4

Einrichten der Hybrid-Datensicherheits-VM

Melden Sie sich bei der VM-Konsole an und legen Sie die Anmeldeinformationen fest. Konfigurieren Sie die Netzwerkeinstellungen für den Knoten, falls Sie diese bei der OVA-Bereitstellung nicht konfiguriert haben.

5

Hochladen und Mounten der HDS-Konfigurations-ISO

Konfigurieren Sie die VM aus der ISO-Konfigurationsdatei, die Sie mit dem HDS Setup Tool erstellt haben.

6

Konfigurieren des HDS Knotens für Proxyintegration

Wenn für die Netzwerkumgebung eine Proxy-Konfiguration erforderlich ist, geben Sie den Proxy-Typ an, den Sie für den Knoten verwenden möchten, und fügen Sie das Proxy-Zertifikat ggf. zum Vertrauensspeicher hinzu.

7

Ersten Knoten im Cluster registrieren

Registrieren Sie die VM in der Cisco Webex Cloud als Hybrid-Datensicherheitsknoten.

8

Weitere Knoten erstellen und registrieren

Schließen Sie die Cluster-Einrichtung ab.

9

Aktivieren Sie Multi-Tenant-HDS in Partner Hub.

Aktivieren Sie HDS und verwalten Sie Mandantenorganisationen in Partner Hub.

Erste Einrichtung durchführen und Installationsdateien herunterladen

Bei dieser Aufgabe laden Sie eine OVA-Datei auf Ihren Computer herunter (nicht auf die Server, die Sie als Hybrid-Datensicherheitsknoten eingerichtet haben). Sie können diese Datei zu einem späteren Zeitpunkt im Installationsprozess verwenden.

1

Melden Sie sich bei Partner Hub an und klicken Sie auf Dienste.

2

Suchen Sie im Abschnitt „Cloud-Dienste“ nach der Hybrid-Datensicherheitskarte und klicken Sie auf Einrichten.

Das Klicken auf Einrichten in Partner Hub ist entscheidend für den Bereitstellungsprozess. Fahren Sie mit der Installation nicht fort, ohne diesen Schritt abzuschließen.

3

Klicken Sie auf Ressource hinzufügen und dann auf OVA-Datei herunterladen auf der Karte Software installieren und konfigurieren .

Ältere Versionen des Softwarepakets (OVA) sind mit den neuesten Upgrades für die Hybrid-Datensicherheit nicht kompatibel. Dies kann zu Problemen beim Upgrade der Anwendung führen. Stellen Sie sicher, dass Sie die neueste Version der OVA-Datei herunterladen.

Sie können die OVA auch jederzeit im Abschnitt Hilfe herunterladen. Klicken Sie auf Einstellungen > Hilfe > Hybrid-Datensicherheitssoftware herunterladen.

Der Download der OVA-Datei beginnt automatisch. Speichern Sie die Datei auf Ihrem Computer.
4

Klicken Sie optional auf Bereitstellungsleitfaden zur Hybrid-Datensicherheit anzeigen , um zu überprüfen, ob eine spätere Version dieses Leitfadens verfügbar ist.

Erstellen einer ISO-Konfigurationsdatei für die HDS-Hosts

Beim Einrichtungsprozess für die Hybrid-Datensicherheit wird eine ISO-Datei erstellt. Anschließend verwenden Sie die ISO, um Ihren Hybrid-Datensicherheitshost zu konfigurieren.

Vorbereitungen
1

Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

In regulären Umgebungen:

docker rmi ciscocitg/hds-setup:stabil

In FedRAMP-Umgebungen:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

2

Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

Docker Anmeldung -u hdscustomersro
3

Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

In regulären Umgebungen:

docker pull ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

  • In regulären Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In FedRAMP-Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express-Server hören auf Port 8080) sehen.

6

Das Setup-Tool unterstützt die Verbindung zu localhost über http://localhost:8080 nicht. Verwenden Sie http://127.0.0.1:8080 , um eine Verbindung zum Localhost herzustellen.

Navigieren Sie in einem Webbrowser zum Localhost, http://127.0.0.1:8080, und geben Sie bei Aufforderung den Admin-Benutzernamen für Partner Hub ein.

Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto festzulegen. Das Tool zeigt dann die Standard-Anmeldeaufforderung an.

7

Wenn Sie dazu aufgefordert werden, geben Sie Ihre Partner Hub-Administratoranmeldeinformationen ein und klicken Sie dann auf Anmelden , um den Zugriff auf die für die Hybrid-Datensicherheit erforderlichen Dienste zu erlauben.

8

Klicken Sie auf der Übersichtsseite des Setup Tool auf Get Started (Erste Schritte).

9

Auf der Seite ISO-Import stehen Ihnen folgende Optionen zur Verfügung:

  • Nein – Wenn Sie Ihren ersten HDS-Knoten erstellen, müssen Sie keine ISO-Datei hochladen.
  • Ja: Wenn Sie bereits HDS-Knoten erstellt haben, wählen Sie Ihre ISO-Datei im Browse aus und laden Sie sie hoch.
10

Überprüfen Sie, ob Ihr X.509-Zertifikat die Anforderungen in X.509-Zertifikatsanforderungen erfüllt.

  • Wenn Sie noch nie ein Zertifikat hochgeladen haben, laden Sie das X.509-Zertifikat hoch, geben Sie das Passwort ein und klicken Sie auf Weiter.
  • Wenn Ihr Zertifikat in Ordnung ist, klicken Sie auf Weiter.
  • Wenn Ihr Zertifikat abgelaufen ist oder Sie es ersetzen möchten, wählen Sie Nein für Weiterhin HDS-Zertifikatskette und privaten Schlüssel aus vorheriger ISO verwenden? aus. Laden Sie ein neues X.509-Zertifikat hoch, geben Sie das Passwort ein und klicken Sie auf Weiter.
11

Geben Sie die Datenbankadresse und das Konto für HDS ein, um auf Ihren Schlüsseldatenspeicher zuzugreifen:

  1. Wählen Sie Ihren Datenbanktyp (PostgreSQL oder Microsoft SQL Server) aus.

    Wenn Sie Microsoft SQL Server auswählen, wird das Feld „Authentifizierungstyp“ angezeigt.

  2. (Nur Microsoft SQL Server ) Wählen Sie Ihren Authentifizierungstyp aus:

    • Basisauthentifizierung: Sie benötigen einen lokalen SQL-Server-Kontonamen im Feld Benutzername .

    • Windows-Authentifizierung: Sie benötigen ein Windows-Konto im Format Benutzername@DOMÄNE im Feld Benutzername .

  3. Geben Sie die Adresse des Datenbankservers im Format : oder : ein.

    Beispiel:
    dbhost.example.org:1433 oder 198.51.100.17:1433

    Sie können eine IP-Adresse für die Basisauthentifizierung verwenden, wenn die Knoten nicht DNS zur Auflösung des Hostnamens verwenden können.

    Wenn Sie die Windows-Authentifizierung verwenden, müssen Sie einen vollständig qualifizierten Domänennamen im Format dbhost.example.org:1433 eingeben.

  4. Geben Sie den Datenbanknamen ein.

  5. Geben Sie den Benutzernamen und das Kennwort eines Benutzers mit allen Berechtigungen in der Schlüsselspeicherdatenbank ein.

12

Wählen Sie einen TLS-Datenbankverbindungsmodus aus:

Modus

Beschreibung

TLS bevorzugen (Standardoption)

HDS-Knoten benötigen kein TLS, um eine Verbindung zum Datenbankserver herzustellen. Wenn Sie TLS auf dem Datenbankserver aktivieren, versuchen die Knoten eine verschlüsselte Verbindung.

TLS erforderlich

HDS-Knoten verbinden sich nur, wenn der Datenbankserver TLS aushandeln kann.

TLS erforderlich und Zertifikat signer überprüfen

Dieser Modus gilt nicht für SQL Server-Datenbanken.

  • HDS-Knoten verbinden sich nur, wenn der Datenbankserver TLS aushandeln kann.

  • Nach dem Herstellen einer TLS-Verbindung vergleicht der Knoten den Unterzeichner des Zertifikats vom Datenbankserver mit der Zertifizierungsstelle im Datenbank-Stammzertifikat. Wenn sie nicht übereinstimmen, wird die Verbindung durch den Knoten hergestellt.

Verwenden Sie die Stammzertifikat-Steuerung unterhalb des Dropdown-Dropdowns, um den Stammzertifikat Option hochzuladen.

TLS erforderlich und Zertifikats signer und Hostname überprüfen

  • HDS-Knoten verbinden sich nur, wenn der Datenbankserver TLS aushandeln kann.

  • Nach dem Herstellen einer TLS-Verbindung vergleicht der Knoten den Unterzeichner des Zertifikats vom Datenbankserver mit der Zertifizierungsstelle im Datenbank-Stammzertifikat. Wenn sie nicht übereinstimmen, wird die Verbindung durch den Knoten hergestellt.

  • Die Knoten überprüfen außerdem, ob der Host-Name im Serverzertifikat mit dem Host-Namen im Feld Datenbank-Host und Port übereinstimmt. Die Namen müssen genau mit den Namen übereinstimmen, oder der Knoten unterfällt die Verbindung.

Verwenden Sie die Stammzertifikat-Steuerung unterhalb des Dropdown-Dropdowns, um den Stammzertifikat Option hochzuladen.

Wenn Sie das Stammzertifikat hochladen (falls erforderlich) und auf Weiter klicken, testet das HDS Setup Tool die TLS-Verbindung zum Datenbankserver. Das Tool überprüft auch den Zertifikat signer und den Hostnamen, falls vorhanden. Wenn ein Test fehlschlägt, zeigt das Tool eine Fehlermeldung an, in der das Problem beschrieben wird. Sie können auswählen, ob Sie den Fehler ignorieren und mit der Einrichtung fortfahren möchten. (Aufgrund von Verbindungsunterschieden können die HDS-Knoten möglicherweise eine TLS-Verbindung herstellen, auch wenn das HDS Setup Tool diese nicht erfolgreich testen kann.)

13

Konfigurieren Sie auf der Seite Systemprotokolle Ihren Syslogd-Server:

  1. Geben Sie die URL des Syslog-Servers ein.

    Wenn der Server nicht über die Knoten für Ihr HDS-Cluster DNS-aufgelöst werden kann, verwenden Sie eine IP-Adresse in der URL.

    Beispiel:
    udp://10.92.43.23:514 zeigt die Protokollierung auf dem Syslogd-Host 10.92.43.23 auf UDP-Port 514 an.

  2. Wenn Sie Ihren Server für die Verwendung der TLS-Verschlüsselung einrichten, aktivieren Sie das Kontrollkästchen Ist Ihr Syslog-Server für die SSL-Verschlüsselung konfiguriert?.

    Wenn Sie dieses Kontrollkästchen aktivieren, stellen Sie sicher, dass Sie eine TCP-URL eingeben, z. B. tcp://10.92.43.23:514.

  3. Wählen Sie in der Dropdown-Liste Syslog-Aufzeichnungsbeendigung auswählen die entsprechende Einstellung für Ihre ISO-Datei aus: Choose or NewLine wird für Graylog und Rsyslog TCP verwendet

    • Null-Byte -- \x00

    • Neue Zeile -- \n– Wählen Sie diese Auswahl für Graylog und Rsyslog TCP.

  4. Klicken Sie auf Weiter.

14

(Optional) Sie können den Standardwert für einige Datenbankverbindungsparameter unter Erweiterte Einstellungen ändern. Im Allgemeinen ist dieser Parameter der einzige, den Sie ändern möchten:

app_datasource_connection_pool_maxGröße: 10
15

Klicken Sie im Bildschirm Kennwort für Dienstkonten zurücksetzen auf Weiter .

Passwörter für Dienstkonten haben eine Lebensdauer von neun Monaten. Verwenden Sie diesen Bildschirm, wenn Ihre Passwörter bald ablaufen oder Sie sie zurücksetzen möchten, um frühere ISO-Dateien ungültig zu machen.

16

Klicken Sie auf Download ISO File (ISO-Datei herunterladen). Speichern Sie die Datei an einem leicht auffindbaren Speicherort.

17

Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System.

Sichern Sie die Sicherungskopie sicher. Die Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff auf Administratoren für Hybrid-Datensicherheit, die Konfigurationsänderungen vornehmen sollten.

18

Um das Setup Tool herunterzufahren, tippen Sie STRG+C ein.

Nächste Schritte

Sichern Sie die ISO-Konfigurationsdatei. Sie benötigen sie, um weitere Knoten für die Wiederherstellung zu erstellen oder Konfigurationsänderungen vorzunehmen. Wenn Sie alle Kopien der ISO-Datei verlieren, haben Sie auch den Hauptschlüssel verloren. Die Schlüssel aus Ihrer PostgreSQL- oder Microsoft SQL Server-Datenbank können nicht wiederhergestellt werden.

Wir haben nie eine Kopie dieses Schlüssels und können nicht helfen, wenn Sie ihn verlieren.

Installieren des HDS Host OVA

Verwenden Sie dieses Verfahren, um eine virtuelle Maschine aus der OVA-Datei zu erstellen.
1

Melden Sie sich über den VMware vSphere-Client auf Ihrem Computer bei dem ESXi virtuellen Host an.

2

Wählen Sie Datei > OVF-Vorlage bereitstellen aus.

3

Geben Sie im Assistenten den Speicherort der OVA-Datei an, die Sie zuvor heruntergeladen haben, und klicken Sie auf Weiter.

4

Geben Sie auf der Seite Name und Ordner auswählen einen Namen der virtuellen Maschine für den Knoten ein (z. B. „HDS_Node_1“), wählen Sie einen Ort aus, an dem sich die Knotenbereitstellung der virtuellen Maschine befinden kann, und klicken Sie auf Weiter.

5

Wählen Sie auf der Seite Berechnungsressource auswählen die Ziel-Berechnungsressource aus, und klicken Sie auf Weiter.

Eine Validierungsprüfung wird ausgeführt. Nach Abschluss werden die Vorlagendetails angezeigt.

6

Überprüfen Sie die Vorlagendetails, und klicken Sie dann auf Weiter.

7

Wenn Sie aufgefordert werden, die Ressourcenkonfiguration auf der Seite Konfiguration auszuwählen, klicken Sie auf 4 CPU und dann auf Weiter.

8

Klicken Sie auf der Seite Speicher auswählen auf Weiter , um das standardmäßige Festplattenformat und die VM-Speicherrichtlinie zu akzeptieren.

9

Wählen Sie auf der Seite Netzwerke auswählen die Netzwerkoption aus der Liste der Einträge aus, um die gewünschte Konnektivität für die VM bereitzustellen.

10

Konfigurieren Sie auf der Seite Vorlage anpassen die folgenden Netzwerkeinstellungen:

  • Host-Name: Geben Sie den FQDN (Host-Name und Domäne) oder ein Wort des Host-Namens für den Knoten ein.

    • Sie müssen die Domäne nicht auf die Domäne ändern, über die Sie das X.509-Zertifikat erhalten haben.

    • Um eine erfolgreiche Registrierung in der Cloud sicherzustellen, verwenden Sie im FQDN oder dem Hostnamen, den Sie für den Knoten festgelegt haben, nur Kleinbuchstaben. Großbuchstaben werden derzeit nicht unterstützt.

    • Der FQDN darf insgesamt nicht länger als 64 Zeichen sein.

  • IP-Adresse: Geben Sie die IP-Adresse für die interne Schnittstelle des Knotens ein.

    Ihr Knoten hat jetzt eine interne IP-Adresse und einen DNS-Namen. DHCP wird nicht unterstützt.

  • Maske: Geben Sie die Adresse der Subnetzmaske in Punkt-Dezimalschrift ein. Beispiel: 255.255.255.0.
  • Gateway: Geben Sie die Gateway-IP-Adresse ein. Ein Gateway ist ein Netzwerkknoten, der als Zugangspunkt zu einem anderen Netzwerk dient.
  • DNS-Server: Geben Sie eine durch Kommas getrennte Liste von DNS-Servern ein, die die Übersetzung von Domänennamen in numerische IP-Adressen verarbeiten. (Es sind bis zu 4 DNS-Einträge zulässig.)
  • NTP-Server – Geben Sie den NTP-Server Ihrer Organisation oder einen anderen externen NTP-Server ein, der in Ihrer Organisation verwendet werden kann. Die Standard-NTP-Server funktionieren möglicherweise nicht für alle Unternehmen. Sie können auch eine durch Kommas getrennte Liste verwenden, um mehrere NTP-Server einzugeben.

  • Stellen Sie alle Knoten im selben Subnetz oder VLAN bereit, damit alle Knoten in einem Cluster zu Verwaltungszwecken von Clients in Ihrem Netzwerk aus erreichbar sind.

Wenn Sie dies vorziehen, können Sie die Konfiguration der Netzwerkeinstellungen überspringen und die Schritte unter Einrichten der Hybrid-Datensicherheit-VM befolgen, um die Einstellungen über die Knotenkonsole zu konfigurieren.

Die Option zum Konfigurieren der Netzwerkeinstellungen während der OVA-Bereitstellung wurde mit ESXi 7.0 getestet. In früheren Versionen ist diese Option möglicherweise nicht verfügbar.

11

Klicken Sie mit der rechten Maustaste auf die Knoten-VM, und wählen Sie Ein/Aus > Einschalten.

Die Hybrid-Datensicherheitssoftware wird als Gast auf dem VM-Host installiert. Sie können sich jetzt bei der Konsole anmelden und den Knoten konfigurieren.

Leitfaden zur Fehlerbehebung

Es kann zu einer Verzögerung von einigen Minuten kommen, bis die Knotencontainer angezeigt werden. Beim erstmaligen Start wird eine Bridge-Firewall-Nachricht angezeigt, während der Sie sich anmelden können.

Einrichten der Hybrid-Datensicherheits-VM

Mit diesem Verfahren können Sie sich zum ersten Mal bei der VM-Konsole des Hybrid-Datensicherheitsknotens anmelden und die Anmeldeinformationen festlegen. Sie können auch die Konsole verwenden, um die Netzwerkeinstellungen für den Knoten zu konfigurieren, falls Sie diese bei der OVA-Bereitstellung nicht konfiguriert haben.

1

Wählen Sie im VMware vSphere-Client, Ihre Hybrid-Datensicherheitsknoten-VM und daraufhin die Registerkarte Console (Konsole) aus.

Die VM fährt hoch und ein Anmeldebildschirm erscheint. Drücken Sie die Eingabetaste, falls der Anmeldebildschirm nicht angezeigt wird.
2

Verwenden Sie den folgenden Standard-Anmeldenamen und das Standardkennwort, um sich anzumelden und die Anmeldedaten zu ändern:

  1. Benutzername: admin

  2. Passwort: Cisco

Da Sie sich zum ersten Mal bei der VM anmelden, müssen Sie das Administratorkennwort ändern.

3

Wenn Sie die Netzwerkeinstellungen bereits unter Installieren der HDS-Host-OVA konfiguriert haben, überspringen Sie den Rest dieses Verfahrens. Wählen Sie andernfalls im Hauptmenü die Option Konfiguration bearbeiten aus.

4

Richten Sie eine statische Konfiguration ein und geben Sie die Daten für IP-Adresse, Maske, Gateway und DNS ein. Ihr Knoten hat jetzt eine interne IP-Adresse und einen DNS-Namen. DHCP wird nicht unterstützt.

5

(Optional) Ändern Sie die Werte für Hostname, Domäne oder NTP-Server, wenn dies gemäß Ihren Netzwerkrichtlinien erforderlich ist.

Sie müssen die Domäne nicht auf die Domäne ändern, über die Sie das X.509-Zertifikat erhalten haben.

6

Speichern Sie die Netzwerkkonfiguration und starten Sie die VM neu, damit die Änderungen in Kraft treten.

Hochladen und Mounten der HDS-Konfigurations-ISO

Verwenden Sie dieses Verfahren, um die virtuelle Maschine über die ISO-Datei, die Sie mit dem HDS Setup Tool erstellt haben, zu konfigurieren.

Vorbereitungen

Da die ISO-Datei den Hauptschlüssel enthält, sollte sie nur auf Basis eines "Need-to-Know"-Basis zugänglich gemacht werden, für den Zugriff durch die Hybrid Data Security-VMs und alle Administratoren, die möglicherweise Änderungen vornehmen müssen. Stellen Sie sicher, dass nur diese Administratoren Zugriff auf den Datenspeicher haben.

1

Laden Sie die ISO-Datei von Ihrem Computer hoch:

  1. Klicken Sie im linken Navigationsbereich des VMware vSphere Client auf den ESXi-Server.

  2. Klicken Sie in der Hardwareliste der Registerkarte „Configuration“ (Konfiguration) auf Storage (Speicher).

  3. Rechtsklicken Sie in der Datenspeicher-Liste auf den Datenspeicher Ihrer VMs. Klicken Sie daraufhin auf Browse Datastore (Datenspeicher durchsuchen).

  4. Klicken Sie auf das Symbol „Upload Files“ (Dateien hochladen) und daraufhin auf Upload File (Datei hochladen).

  5. Navigieren Sie zum Speicherort der ISO-Datei auf Ihrem Computer und klicken Sie auf Open (Öffnen).

  6. Klicken Sie auf Yes (Ja), um die Upload/Download-Warnung zu bestätigen und schließen Sie den Datenspeicherdialog.

2

Mounten Sie die ISO-Datei:

  1. Rechtsklicken Sie im linken Navigationsbereich des VMware vSphere Client auf die VM. Klicken Sie daraufhin auf Edit Settings (Einstellungen bearbeiten).

  2. Klicken Sie auf OK, um die Warnung zu eingeschränkten Optionen zu bestätigen.

  3. Klicken Sie auf CD/DVD-Laufwerk 1, wählen Sie die Option zum Mounten einer Datenspeicher-ISO-Datei aus und navigieren Sie zu dem Speicherort, zu dem Sie die ISO-Konfigurationsdatei hochgeladen haben.

  4. Aktivieren Sie die Kontrollkästchen Connected (Verbunden) und Connect at power on (Beim Einschalten verbinden).

  5. Speichern Sie Ihre Änderungen und starten Sie die virtuelle Maschine neu.

Nächste Schritte

Wenn Ihre IT-Richtlinie dies erfordert, können Sie optional die ISO-Datei unmounten, nachdem alle Knoten die Konfigurationsänderungen übernommen haben. Weitere Informationen finden Sie unter (Optional) ISO nach HDS-Konfiguration unmounten .

Konfigurieren des HDS Knotens für Proxyintegration

Wenn die Netzwerkumgebung einen Proxy erfordert, geben Sie mit diesem Vorgang den Typ des Proxy an, den Sie in die Hybriddatensicherheit integrieren möchten. Wenn Sie einen transparenten Anrufproxy oder einen HTTPS expliziten Proxy wählen, können Sie die Stammzertifikat über die Schnittstelle des Knotens hochladen und installiert werden. Sie können auch die Proxyverbindung über die Schnittstelle überprüfen und mögliche Probleme beheben.

Vorbereitungen

1

Geben Sie den HDS Knoten Setup URL https://[HDS Node IP oder FQDN]/Setup in einem Webbrowser ein, geben Sie die Administrationsdaten ein, die Sie für den Knoten eingerichtet haben, und klicken Sie dann auf Anmelden.

2

Gehen Sie zu Trust Store & Proxyund wählen Sie dann eine Option:

  • Kein Proxy – Die Standardoption, bevor Sie einen Proxy integrieren. Es ist keine Zertifikatsaktualisierung erforderlich.
  • Transparenter Proxy ohne Prüfung: Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert und sollten keine Änderungen erfordern, um mit einem Proxy ohne Prüfung zu arbeiten. Es ist keine Zertifikatsaktualisierung erforderlich.
  • Transparentes Prüfen des Proxys: Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert. Bei der Bereitstellung der Hybriden Datensicherheit sind keine HTTPS-Konfigurationshinstellungsänderungen erforderlich, allerdings benötigen die Hägg-Knoten eine Stammzertifikat, damit Sie dem Proxy Vertrauen. Die Inspektion von Proxys wird in der Regel von ihm verwendet, um Strategien durchzusetzen, welche Websites besichtigt werden können und welche Arten von Inhalten nicht zulässig sind. Diese Art von Proxy entschlüsselt den gesamten Datenverkehr (auch HTTPS).
  • Expliziter Proxy – Mit explizitem Proxy können Sie dem Client (HDS-Knoten) mitteilen, welcher Proxyserver verwendet werden soll. Diese Option unterstützt mehrere Authentifizierungstypen. Nachdem Sie diese Option aktiviert haben, müssen Sie folgende Informationen eingeben:

    1. Proxy-IP/FQDN: Adresse, die verwendet werden kann, um die Proxy-Maschine zu erreichen.

    2. Proxy-Port: Eine Portnummer, die der Proxy verwendet, um nach proxyem Datenverkehr zu suchen.

    3. Proxy-Protokoll – Wählen Sie http (zeigt alle Anforderungen an und steuert sie, die vom Client empfangen werden) oder https (stellt einen Kanal zum Server bereit, und der Client empfängt und validiert das Serverzertifikat). Wählen Sie eine Option, basierend auf Ihren Proxy-Server unterstützt.

    4. Authentifizierungstyp: Wählen Sie aus den folgenden Authentifizierungstypen aus:

      • Keine: Es ist keine weitere Authentifizierung erforderlich.

        Verfügbar für http oder HTTPS.

      • Basic – wird für einen HTTP-Benutzeragenten verwendet, um bei einer Anfrage einen Benutzernamen und ein Kennwort anzugeben. Zertifikatsformat verwendet.

        Verfügbar für http oder HTTPS.

        Wenn Sie diese Option auswählen, müssen Sie auch die Benutzername und das Passwort eingeben.

      • Digest – wird verwendet, um das Konto vor dem Senden sensibler Informationen zu bestätigen. Gibt eine Hashfunktion auf die Benutzername und das Passwort ein, bevor Sie über das Netzwerk senden.

        Nur für HTTPS Proxies verfügbar.

        Wenn Sie diese Option auswählen, müssen Sie auch die Benutzername und das Passwort eingeben.

Befolgen Sie die nächsten Schritte für einen transparenten Inspektionsproxy, einen HTTP expliziten Proxy mit Basisauthentifizierung oder einen HTTPS expliziten Proxy

3

Klicken Sie auf ein Zertifikat für das Stammzertifikat oder Endnutzerzertifikat hochladen, und navigieren Sie dann zu einer Stammzertifikat für den Proxy.

Das Zertifikat ist hochgeladen, aber noch nicht installiert, da Sie den Knoten neu starten müssen, um das Zertifikat zu installieren. Klicken Sie auf den Chevron Pfeil unter dem Namen des Zertifikats, um weitere Details zu erhalten, oder klicken Sie auf löschen, Wenn Sie Fehler gemacht haben und die Datei erneut hochladen möchten.

4

Klicken Sie auf Stellvertreterverbindung prüfen , um die Netzwerkverbindung zwischen dem Knoten und dem Proxy zu testen.

Wenn der Verbindungstest ausfällt, wird eine Fehlermeldung angezeigt, die den Grund und die Frage, wie Sie das Problem beheben können, anzeigt.

Wenn Sie eine Meldung sehen, dass eine externe DNS nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen. Diese Bedingung wird in vielen expliziten Proxykonfigurationen erwartet. Sie können mit dem Setup fortfahren, und der Knoten wird im gesperrten externen DNS-Server funktionieren. Wenn Sie glauben, dass es sich um einen Fehler handelt, führen Sie die folgenden Schritte aus. Siehe Modus für blockierte externe DNS-Auflösung deaktivieren.

5

Nach dem Durchführen des Verbindungstests, für expliziten Proxy, der nur auf HTTPS gesetzt ist, aktivieren Sie die Option so schalten Sie alle Port 443/444 https Anfragen aus diesem Knoten durch den expliziten Proxy Diese Einstellung benötigt 15 Sekunden, um wirksam zu werden.

6

Klicken Sie auf alle-Zertifizierungsstellen in den Trust Store installieren (erscheint für einen HTTPS expliziten Proxy oder einen transparenten Inspektionskrimi) oder Neustart (erscheint für einen HTTP expliziten Proxy), lesen Sie die Aufforderung, und klicken Sie dann auf in

Der Knoten startet innerhalb weniger Minuten.

7

Nachdem der Knoten erneut gestartet wurde, melden Sie sich bei Bedarf erneut an, und öffnen Sie dann die Übersichtsseite, um die Verbindungsüberprüfungen zu überprüfen, um sicherzustellen, dass Sie alle im grünen Status sind.

Die Proxyverbindung prüft nur eine Unterdomäne von WebEx.com. Wenn es Verbindungsprobleme gibt, ist ein häufiges Problem, dass einige der in den instructions aufgeführten-C-Domänen beim Proxy gesperrt werden.

Ersten Knoten im Cluster registrieren

Diese Aufgabe übernimmt den generischen Knoten, den Sie unter Einrichten der Hybrid Data Security-VM erstellt haben, registriert den Knoten bei der Webex Cloud und wandelt ihn in einen Hybrid Data Security-Knoten um.

Bei der Registrierung Ihres ersten Knotens erstellen Sie ein Cluster, zu dem der Knoten zugewiesen wird. Ein Cluster umfasst einen oder mehrere Knoten, die aus Redundanzgründen bereitgestellt werden.

Vorbereitungen

  • Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.

  • Stellen Sie sicher, dass alle Popupblocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.

1

Melden Sie sich bei https://admin.webex.com an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach der Karte „Hybrid-Datensicherheit“, und klicken Sie auf Einrichten.

4

Klicken Sie auf der sich öffnenden Seite auf Ressource hinzufügen.

5

Geben Sie im ersten Feld der Karte Knoten hinzufügen einen Namen für das Cluster ein, dem Sie Ihren Hybrid-Datensicherheitsknoten zuweisen möchten.

Benennen Sie Ihre Cluster nach Möglichkeit nach dem geografischen Standort der Clusterknoten. Beispiele: „San Francisco“ oder „New York“ oder „Dallas“

6

Geben Sie im zweiten Feld die interne IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) Ihres Knotens ein und klicken Sie unten auf dem Bildschirm auf Hinzufügen .

Diese IP-Adresse oder FQDN sollte mit der IP-Adresse oder dem Hostnamen und der Domäne übereinstimmen, die Sie beim Einrichten der Hybrid-Datensicherheit-VM verwendet haben.

Es wird eine Meldung angezeigt, dass Sie Ihren Knoten in Webex registrieren können.
7

Klicken Sie auf Go to Node (Zum Knoten wechseln).

Nach einigen Augenblicken werden Sie zu den Knoten-Konnektivitätstests für Webex-Dienste umgeleitet. Sind alle Tests erfolgreich, wird die Seite „Allow Access to Hybrid Data Security Node“ (Zugriff zu Hybrid-Datensicherheits-Knoten gewähren) angezeigt. Bestätigen Sie dort, dass Sie Ihrer Webex-Organisation die Zugriffsberechtigungen für Ihren Knoten erteilen möchten.

8

Aktivieren Sie das Kontrollkästchen Allow Access to Your Hybrid Data Security Node (Zugriff zu Ihrem Hybrid-Datensicherheits-Knoten gewähren) und klicken Sie anschließend auf Continue (Weiter).

Ihr Konto wird validiert, und die Meldung „Registrierung abgeschlossen“ zeigt an, dass Ihr Knoten jetzt in der Webex Cloud registriert ist.
9

Klicken Sie auf den Link oder schließen Sie die Registerkarte, um zur Partner Hub-Hybrid-Datensicherheitsseite zurückzukehren.

Auf der Seite Hybrid-Datensicherheit wird das neue Cluster mit dem registrierten Knoten auf der Registerkarte Ressourcen angezeigt. Der Knoten lädt die aktuelle Software automatisch aus der Cloud herunter.

Weitere Knoten erstellen und registrieren

Um Ihrem Cluster weitere Knoten hinzuzufügen, erstellen Sie einfach weitere VMs, mounten die ISO-Konfigurationsdatei und registrieren daraufhin den Knoten. Wir empfehlen, mindestens 3 Knoten zu betreiben.

Vorbereitungen

  • Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.

  • Stellen Sie sicher, dass alle Popupblocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.

1

Erstellen Sie eine neue virtuelle Maschine über die OVA und wiederholen Sie die Schritte unter Installieren der HDS-Host-OVA.

2

Richten Sie die Erstkonfiguration für die neue VM ein. Wiederholen Sie die Schritte unter Einrichten der Hybrid-Datensicherheit-VM.

3

Wiederholen Sie auf der neuen VM die Schritte unter HDS-Konfigurations-ISO hochladen und mounten.

4

Wenn Sie einen Proxy für Ihre Bereitstellung einrichten, wiederholen Sie die Schritte unter Konfigurieren des HDS-Knotens für die Proxy-Integration nach Bedarf für den neuen Knoten.

5

Registrieren Sie den Knoten.

  1. Wählen Sie unter https://admin.webex.com Services (Dienste) aus dem Menü auf der linken Bildschirmseite aus.

  2. Suchen Sie im Abschnitt „Cloud-Dienste“ nach der Hybrid-Datensicherheitskarte und klicken Sie auf Alle anzeigen.

    Die Seite „Hybrid-Datensicherheitsressourcen“ wird angezeigt.

  3. Der neu erstellte Cluster wird auf der Seite Ressourcen angezeigt.

  4. Klicken Sie auf den Cluster, um die dem Cluster zugewiesenen Knoten anzuzeigen.

  5. Klicken Sie rechts auf dem Bildschirm auf Knoten hinzufügen .

  6. Geben Sie die interne IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) Ihres Knotens ein und klicken Sie auf Hinzufügen.

    Es wird eine Seite mit einer Meldung geöffnet, die angibt, dass Sie Ihren Knoten in der Webex-Cloud registrieren können. Nach einigen Augenblicken werden Sie zu den Knoten-Konnektivitätstests für Webex-Dienste umgeleitet. Sind alle Tests erfolgreich, wird die Seite „Allow Access to Hybrid Data Security Node“ (Zugriff zu Hybrid-Datensicherheits-Knoten gewähren) angezeigt. Bestätigen Sie dort, dass Sie Ihrer Organisation die Zugriffsberechtigungen für Ihren Knoten erteilen möchten.

  7. Aktivieren Sie das Kontrollkästchen Allow Access to Your Hybrid Data Security Node (Zugriff zu Ihrem Hybrid-Datensicherheits-Knoten gewähren) und klicken Sie anschließend auf Continue (Weiter).

    Ihr Konto wird validiert, und die Meldung „Registrierung abgeschlossen“ zeigt an, dass Ihr Knoten jetzt in der Webex Cloud registriert ist.

  8. Klicken Sie auf den Link oder schließen Sie die Registerkarte, um zur Partner Hub-Hybrid-Datensicherheitsseite zurückzukehren.

    Die Popup-Meldung Knoten hinzugefügt wird auch unten auf dem Bildschirm in Partner Hub angezeigt.

    Ihr Knoten ist registriert.

Mandantenorganisationen für Multi-Tenant-Hybrid-Datensicherheit verwalten

Multi-Tenant HDS in Partner Hub aktivieren

Diese Aufgabe stellt sicher, dass alle Benutzer der Kundenorganisationen HDS für lokale Verschlüsselungsschlüssel und andere Sicherheitsdienste nutzen können.

Vorbereitungen

Stellen Sie sicher, dass Sie die Einrichtung Ihres Multi-Tenant-HDS-Clusters mit der erforderlichen Anzahl an Knoten abgeschlossen haben.

1

Melden Sie sich bei https://admin.webex.com an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach „Hybrid-Datensicherheit“ und klicken Sie auf Einstellungen bearbeiten.

4

Klicken Sie auf der Karte HDS-Status auf HDS-Aktivierung .

Mandantenorganisationen in Partner Hub hinzufügen

Weisen Sie bei dieser Aufgabe Kundenorganisationen Ihrem Hybrid-Datensicherheitscluster zu.

1

Melden Sie sich bei https://admin.webex.com an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach Hybrid-Datensicherheit und klicken Sie auf Alle anzeigen.

4

Klicken Sie auf den Cluster, dem ein Kunde zugewiesen werden soll.

5

Wechseln Sie zur Registerkarte Zugewiesene Kunden .

6

Klicken Sie auf Kunden hinzufügen.

7

Wählen Sie im Dropdown-Menü den Kunden aus, den Sie hinzufügen möchten.

8

Klicken Sie auf Hinzufügen. Der Kunde wird dem Cluster hinzugefügt.

9

Wiederholen Sie die Schritte 6 bis 8, um mehrere Kunden zu Ihrem Cluster hinzuzufügen.

10

Klicken Sie auf Fertig am unteren Bildschirmrand, nachdem Sie die Kunden hinzugefügt haben.

Nächste Schritte

Führen Sie das HDS-Einrichtungstool wie unter Erstellen von Kundenhauptschlüsseln (Customer Main Keys, CMKs) mit dem HDS-Einrichtungstool beschrieben aus, um die Einrichtung abzuschließen.

Kundenhauptschlüssel (Customer Main Keys, CMKs) mit dem HDS Setup-Tool erstellen

Vorbereitungen

Weisen Sie Kunden dem entsprechenden Cluster zu, wie unter Mandantenorganisationen in Partner Hub hinzufügen beschrieben. Führen Sie das HDS Setup-Tool aus, um den Einrichtungsprozess für die neu hinzugefügten Kundenorganisationen abzuschließen.

  • Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zu zugreifen, führen Sie Docker auf diesem Computer aus. Der Einrichtungsprozess erfordert die Anmeldeinformationen eines Partner Hub-Kontos mit vollen Administratorrechten für Ihre Organisation.

    Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxy-Einstellungen (Server, Port, Anmeldeinformationen) über die Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in Schritt 5 aufrufen. Diese Tabelle enthält einige mögliche Umgebungsvariablen:

    Beschreibung

    Variable

    HTTP-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

  • Die von Ihnen generierte ISO-Konfigurationsdatei enthält den Hauptschlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die neueste Kopie dieser Datei, wenn Sie Konfigurationsänderungen wie die folgenden vornehmen:

    • Datenbank-Anmeldeinformationen

    • Zertifikats-Aktualisierungen

    • Änderungen an der Autorisierungsrichtlinie

  • Wenn Sie Datenbankverbindungen verschlüsseln möchten, richten Sie Ihre PostgreSQL- oder SQL Server-Bereitstellung für TLS ein.

Beim Einrichtungsprozess für die Hybrid-Datensicherheit wird eine ISO-Datei erstellt. Anschließend verwenden Sie die ISO, um Ihren Hybrid-Datensicherheitshost zu konfigurieren.

1

Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

In regulären Umgebungen:

docker rmi ciscocitg/hds-setup:stabil

In FedRAMP-Umgebungen:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

2

Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

Docker Anmeldung -u hdscustomersro
3

Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

In regulären Umgebungen:

docker pull ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

  • In regulären Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In FedRAMP-Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express-Server hören auf Port 8080) sehen.

6

Das Setup-Tool unterstützt die Verbindung zu localhost über http://localhost:8080 nicht. Verwenden Sie http://127.0.0.1:8080 , um eine Verbindung zum Localhost herzustellen.

Navigieren Sie in einem Webbrowser zum Localhost, http://127.0.0.1:8080, und geben Sie bei Aufforderung den Admin-Benutzernamen für Partner Hub ein.

Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto festzulegen. Das Tool zeigt dann die Standard-Anmeldeaufforderung an.

7

Wenn Sie dazu aufgefordert werden, geben Sie Ihre Partner Hub-Administratoranmeldeinformationen ein und klicken Sie dann auf Anmelden , um den Zugriff auf die für die Hybrid-Datensicherheit erforderlichen Dienste zu erlauben.

8

Klicken Sie auf der Übersichtsseite des Setup Tool auf Get Started (Erste Schritte).

9

Klicken Sie auf der Seite ISO-Import auf Ja.

10

Wählen Sie Ihre ISO-Datei im Browser aus und laden Sie sie hoch.

Stellen Sie sicher, dass die Verbindung zu Ihrer Datenbank hergestellt wird, um eine CMK-Verwaltung durchzuführen.
11

Gehen Sie zur Registerkarte Mandanten-CMK-Verwaltung , auf der Sie die folgenden drei Möglichkeiten zur Verwaltung von Mandanten-CMKs finden.

  • CMK für alle ORGs erstellen oder CMK erstellen – Klicken Sie auf diese Schaltfläche im Banner am oberen Rand des Bildschirms, um CMKs für alle neu hinzugefügten Organisationen zu erstellen.
  • Klicken Sie auf die Schaltfläche CMKs verwalten auf der rechten Seite des Bildschirms und klicken Sie auf CMKs erstellen , um CMKs für alle neu hinzugefügten Organisationen zu erstellen.
  • Klicken Sie in der Tabelle neben dem Status der ausstehenden CMK-Verwaltung einer bestimmten Organisation, und klicken Sie auf CMK erstellen , um CMK für diese Organisation zu erstellen.
12

Sobald die CMK-Erstellung erfolgreich war, ändert sich der Status in der Tabelle von CMK-Verwaltung ausstehend zu CMK-Verwaltung.

13

Wenn die CMK-Erstellung nicht erfolgreich war, wird ein Fehler angezeigt.

Mandantenorganisationen entfernen

Vorbereitungen

Nach dem Entfernen können Benutzer von Kundenorganisationen HDS nicht mehr für ihre Verschlüsselungsanforderungen nutzen und verlieren alle vorhandenen Bereiche. Wenden Sie sich an Ihren Cisco-Partner oder Ihren Account Manager, bevor Sie Kundenorganisationen entfernen.

1

Melden Sie sich bei https://admin.webex.com an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach Hybrid-Datensicherheit und klicken Sie auf Alle anzeigen.

4

Klicken Sie auf der Registerkarte Ressourcen auf den Cluster, aus dem Sie Kundenorganisationen entfernen möchten.

5

Klicken Sie auf der sich öffnenden Seite auf Zugewiesene Kunden.

6

Klicken Sie in der angezeigten Liste der Kundenorganisationen auf ... auf der rechten Seite der Kundenorganisation, die Sie entfernen möchten, und klicken Sie auf Aus Cluster entfernen.

Nächste Schritte

Schließen Sie den Löschvorgang ab, indem Sie die CMKs der Kundenorganisationen sperren, wie unter CMKs von Tenants, die aus HDS entfernt wurden, beschrieben.

Widerrufen Sie die CMKs von Mandanten, die aus HDS entfernt wurden.

Vorbereitungen

Entfernen Sie Kunden aus dem entsprechenden Cluster, wie unter Mandantenorganisationen entfernen beschrieben. Führen Sie das HDS Setup-Tool aus, um den Entfernungsprozess für die Kundenorganisationen abzuschließen, die entfernt wurden.

  • Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zu zugreifen, führen Sie Docker auf diesem Computer aus. Der Einrichtungsprozess erfordert die Anmeldeinformationen eines Partner Hub-Kontos mit vollen Administratorrechten für Ihre Organisation.

    Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxy-Einstellungen (Server, Port, Anmeldeinformationen) über die Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in Schritt 5 aufrufen. Diese Tabelle enthält einige mögliche Umgebungsvariablen:

    Beschreibung

    Variable

    HTTP-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

  • Die von Ihnen generierte ISO-Konfigurationsdatei enthält den Hauptschlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die neueste Kopie dieser Datei, wenn Sie Konfigurationsänderungen wie die folgenden vornehmen:

    • Datenbank-Anmeldeinformationen

    • Zertifikats-Aktualisierungen

    • Änderungen an der Autorisierungsrichtlinie

  • Wenn Sie Datenbankverbindungen verschlüsseln möchten, richten Sie Ihre PostgreSQL- oder SQL Server-Bereitstellung für TLS ein.

Beim Einrichtungsprozess für die Hybrid-Datensicherheit wird eine ISO-Datei erstellt. Anschließend verwenden Sie die ISO, um Ihren Hybrid-Datensicherheitshost zu konfigurieren.

1

Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

In regulären Umgebungen:

docker rmi ciscocitg/hds-setup:stabil

In FedRAMP-Umgebungen:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

2

Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

Docker Anmeldung -u hdscustomersro
3

Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

In regulären Umgebungen:

docker pull ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

  • In regulären Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In FedRAMP-Umgebungen ohne Proxy:

    Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

    Docker run -p 8080:8080 --rm -it -e GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express-Server hören auf Port 8080) sehen.

6

Das Setup-Tool unterstützt die Verbindung zu localhost über http://localhost:8080 nicht. Verwenden Sie http://127.0.0.1:8080 , um eine Verbindung zum Localhost herzustellen.

Navigieren Sie in einem Webbrowser zum Localhost, http://127.0.0.1:8080, und geben Sie bei Aufforderung den Admin-Benutzernamen für Partner Hub ein.

Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto festzulegen. Das Tool zeigt dann die Standard-Anmeldeaufforderung an.

7

Wenn Sie dazu aufgefordert werden, geben Sie Ihre Partner Hub-Administratoranmeldeinformationen ein und klicken Sie dann auf Anmelden , um den Zugriff auf die für die Hybrid-Datensicherheit erforderlichen Dienste zu erlauben.

8

Klicken Sie auf der Übersichtsseite des Setup Tool auf Get Started (Erste Schritte).

9

Klicken Sie auf der Seite ISO-Import auf Ja.

10

Wählen Sie Ihre ISO-Datei im Browser aus und laden Sie sie hoch.

11

Gehen Sie zur Registerkarte Mandanten-CMK-Verwaltung , auf der Sie die folgenden drei Möglichkeiten zur Verwaltung von Mandanten-CMKs finden.

  • CMK für alle ORGs sperren oder CMK sperren – Klicken Sie auf diese Schaltfläche im Banner am oberen Bildschirmrand, um die CMKs aller Organisationen zu sperren, die entfernt wurden.
  • Klicken Sie auf die Schaltfläche CMKs verwalten auf der rechten Seite des Bildschirms und klicken Sie auf CMKs sperren , um die CMKs aller Organisationen zu sperren, die entfernt wurden.
  • Klicken in der Nähe der CMK wird widerrufen Status einer bestimmten Organisation in der Tabelle und klicken Sie auf CMK widerrufen um CMK für diese bestimmte Organisation zu widerrufen.
12

Sobald die CMK-Sperrung erfolgreich ist, wird die Kundenorganisation nicht mehr in der Tabelle angezeigt.

13

Wenn die CMK-Sperrung nicht erfolgreich ist, wird ein Fehler angezeigt.

Testen Ihrer Hybrid-Datensicherheitsbereitstellung

Testen Ihrer Bereitstellung für die Hybrid-Datensicherheit

Mit diesem Verfahren können Sie Verschlüsselungsszenarien für die Multi-Tenant-Hybrid-Datensicherheit testen.

Vorbereitungen

  • Richten Sie die Multi-Tenant-Hybrid-Datensicherheitsbereitstellung ein.

  • Stellen Sie sicher, dass Sie auf das Syslog zugreifen können, um zu überprüfen, ob wichtige Anforderungen an Ihre Multi-Tenant-Hybrid-Datensicherheitsbereitstellung weitergeleitet werden.

1

Schlüssel für einen bestimmten Bereich werden vom Ersteller des Bereichs festgelegt. Melden Sie sich bei der Webex-App als einer der Benutzer der Kundenorganisation an und erstellen Sie einen Bereich.

Wenn Sie die Hybrid-Datensicherheitsbereitstellung deaktivieren, sind Inhalte in von Benutzern erstellten Bereichen nicht mehr verfügbar, nachdem die im Client zwischengespeicherten Kopien der Verschlüsselungscodes ersetzt wurden.

2

Senden Sie Nachrichten an den neuen Bereich.

3

Überprüfen Sie die Syslog-Ausgabe, um sicherzustellen, dass die Schlüsselanforderungen an Ihre Hybrid-Datensicherheitsbereitstellung weitergeleitet werden.

  1. Um zu prüfen, ob ein Benutzer zuerst einen sicheren Kanal zum KMS eingerichtet hat, filtern Sie nach kms.data.method=create und kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Sie sollten einen Eintrag wie den folgenden finden (IDs wurden zur besseren Lesbarkeit gekürzt):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:ANFRAGE] empfangen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Um zu überprüfen, ob ein Benutzer einen vorhandenen Schlüssel im KMS anfordert, filtern Sie nach kms.data.method=retrieve und kms.data.type=KEY:

    Sie sollten einen Eintrag wie den folgenden finden:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:ANFRAGE] empfangen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Um zu überprüfen, ob ein Benutzer die Erstellung eines neuen KMS-Schlüssels anfordert, filtern Sie nach kms.data.method=create und kms.data.type=KEY_COLLECTION:

    Sie sollten einen Eintrag wie den folgenden finden:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:ANFRAGE] empfangen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Um zu überprüfen, ob ein Benutzer die Erstellung eines neuen KMS-Ressourcenobjekts (KRO) anfordert, wenn ein Bereich oder eine andere geschützte Ressource erstellt wird, filtern Sie kms.data.method=create und kms.data.type=RESOURCE_COLLECTION:

    Sie sollten einen Eintrag wie den folgenden finden: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:ANFRAGE] empfangen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Überwachen des Status der Hybrid-Datensicherheit

Eine Statusanzeige in Partner Hub zeigt Ihnen an, ob die Multi-Tenant-Hybrid-Datensicherheitsbereitstellung gut funktioniert. Für stärker proaktive Warnungen können Sie sich für E-Mail-Benachrichtigungen anmelden. Sie werden benachrichtigt, wenn Alarme oder Software-Upgrades den Dienst beeinträchtigen.
1

Wählen Sie in Partner Hub im Menü auf der linken Seite des Bildschirms die Option Dienste aus.

2

Suchen Sie im Abschnitt „Cloud-Dienste“ nach „Hybrid-Datensicherheit“ und klicken Sie auf Einstellungen bearbeiten.

Die Seite „Hybrid Data Security Settings“ (Einstellungen für Hybrid-Datensicherheit) wird angezeigt.
3

Geben Sie im Abschnitt zu E-Mail-Benachrichtigungen eine oder mehrere Adressen durch Komma getrennt ein und drücken Sie Enter.

HDS-Bereitstellung verwalten

Verwalten der HDS-Bereitstellung

Verwenden Sie die hier beschriebenen Aufgaben, um Ihre Hybrid-Datensicherheitsbereitstellung zu verwalten.

Festlegen des Upgrade-Zeitplans für Cluster

Software-Upgrades für Hybrid Data Security werden automatisch auf Cluster-Ebene ausgeführt, um sicherzustellen, dass auf allen Knoten immer die gleiche Software-Version ausgeführt wird. Die Upgrades werden gemäß des Upgrade-Zeitplans für den Cluster ausgeführt. Sie können neue verfügbare Software-Upgrades optional auch vor dem geplanten Upgrade-Zeitpunkt manuell installieren. Sie können einen eigenen Upgrade-Zeitplan festlegen oder den Standardzeitplan um 3:00 Uhr morgens täglich für USA: Amerika/Los Angeles verwenden. Bei Bedarf können Sie anstehende Upgrades auch verzögern.

So legen Sie den Upgrade-Zeitplan fest:

1

Melden Sie sich bei Partner Hub an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach „Hybrid-Datensicherheit“ und klicken Sie auf Einrichten.

4

Wählen Sie auf der Seite „Hybrid-Datensicherheitsressourcen“ den Cluster aus.

5

Klicken Sie auf die Registerkarte Cluster-Einstellungen .

6

Wählen Sie auf der Seite „Cluster-Einstellungen“ unter „Upgrade-Zeitplan“ die Uhrzeit und die Zeitzone für den Upgrade-Zeitplan aus.

Hinweis: Unter der Zeitzone wird der nächste verfügbare Zeitpunkt für ein Upgrade angezeigt. Sie können das Upgrade bei Bedarf auf den folgenden Tag verschieben, indem Sie auf Um 24 Stunden verschieben klicken.

Ändern der Knotenkonfiguration

Gelegentlich kann es erforderlich sein, die Konfiguration Ihres Hybrid-Datensicherheitsknotens zu ändern, z. B.:

  • Änderung der x.509-Zertifikate aufgrund Ablaufs oder anderer Gründe.

    Wir unterstützen keine Änderung des CN-Domänennamens eines Zertifikats. Die Domäne muss mit der Originaldomäne übereinstimmen, die zur Registrierung des Clusters verwendet wurde.

  • Datenbankeinstellungen werden aktualisiert, um auf eine Replik der PostgreSQL- oder Microsoft SQL Server-Datenbank zu wechseln.

    Wir unterstützen keine Migration von Daten von PostgreSQL zu Microsoft SQL Server oder auf den entgegengesetzten Weg. Um die Datenbankumgebung zu wechseln, starten Sie eine neue Bereitstellung von Hybrid Data Security.

  • Erstellen einer neuen Konfiguration, um ein neues Datenzentrum vorzubereiten.

Aus Sicherheitsgründen verwendet Hybrid Data Security Dienstkonto-Passwörter mit einer Laufzeit von neun Monaten. Nachdem das HDS Setup Tool diese Passwörter generiert hat, stellen Sie sie für jeden Ihrer HDS-Knoten in der ISO-Konfigurationsdatei bereit. Wenn die Kennwörter Ihrer Organisation fast ablaufen, erhalten Sie eine Benachrichtigung vom Webex-Team, mit der Sie das Passwort für Ihr Computerkonto zurücksetzen können. (Die E-Mail enthält den Text "Verwenden Sie die Maschinenkonto-API, um das Passwort zu aktualisieren"). Wenn Ihre Passwörter noch nicht abgelaufen sind, bietet Ihnen das Tool zwei Optionen:

  • Weiches Zurücksetzen – Das alte und das neue Kennwort können beide bis zu 10 Tage lang verwendet werden. Verwenden Sie diesen Zeitraum, um die ISO-Datei der Knoten schrittweise zu ersetzen.

  • Harte Zurücksetzung: Die alten Passwörter funktionieren sofort nicht mehr.

Wenn Ihre Passwörter ohne Zurücksetzen ablaufen, wirkt sich dies auf Ihren HDS-Dienst aus, was ein sofortiges Zurücksetzen und Ersetzen der ISO-Datei auf allen Knoten erfordert.

Verwenden Sie dieses Verfahren, um eine neue ISO-Konfigurationsdatei zu generieren und auf Ihren Cluster anzuwenden.

Vorbereitungen

  • Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zu zugreifen, führen Sie Docker auf diesem Computer aus. Der Einrichtungsprozess erfordert die Anmeldeinformationen eines Partner Hub-Kontos mit vollen Partneradministratorrechten.

    Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxy-Einstellungen (Server, Port, Anmeldeinformationen) über die Docker-Umgebungsvariablen an, wenn Sie den Docker Container in 1.e aufrufen. Diese Tabelle enthält einige mögliche Umgebungsvariablen:

    Beschreibung

    Variable

    HTTP-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-Proxy ohne Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTP_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-Proxy mit Authentifizierung

    GLOBALER_AGENT_HTTPS_PROXY=http://BENUTZERNAME:PASSWORD@SERVER_IP:PORT

  • Um eine neue Konfiguration zu erstellen, benötigen Sie eine Kopie der aktuellen ISO-Konfigurationsdatei. Die ISO enthält den Masterschlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die ISO-Datei, wenn Sie Konfigurationsänderungen vornehmen, wie z. B. Datenbank-Anmeldeinformationen, Zertifikataktualisierungen oder Änderungen an der Autorisierungsrichtlinie.

1

Führen Sie auf einem lokalen Computer, auf dem Docker läuft, das HDS Setup Tool aus.

  1. Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

    In regulären Umgebungen:

    docker rmi ciscocitg/hds-setup:stabil

    In FedRAMP-Umgebungen:

    docker rmi ciscocitg/hds-setup-fedramp:stabil

    Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

  2. Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

    Docker Anmeldung -u hdscustomersro

  3. Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

    In regulären Umgebungen:

    docker pull ciscocitg/hds-setup:stable

    In FedRAMP-Umgebungen:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Stellen Sie sicher, dass Sie für hierfür per Pull das neueste Setup-Tool aufrufen. Versionen des Tools, die vor dem 22. Februar 2018 erstellt wurden, verfügen nicht über die Bildschirme zum Zurücksetzen des Passworts.

  5. Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

    • In regulären Umgebungen ohne Proxy:

      Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • In regulären Umgebungen mit einem HTTP-Proxy:

      Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • In regulären Umgebungen mit einem HTTPSproxy:

      Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • In FedRAMP-Umgebungen ohne Proxy:

      Docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

      Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

      Docker run -p 8080:8080 --rm -it -e GLOBALER_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express server listening on port 8080) sehen.

  6. Verwenden Sie einen Browser, um sich mit dem Localhost zu http://127.0.0.1:8080verbinden.

    Das Setup-Tool unterstützt die Verbindung zu localhost über http://localhost:8080 nicht. Verwenden Sie http://127.0.0.1:8080 , um eine Verbindung zum Localhost herzustellen.

  7. Wenn Sie dazu aufgefordert werden, geben Sie Ihre Partner Hub-Kundenanmeldeinformationen ein und klicken Sie dann auf Akzeptieren , um fortzufahren.

  8. Importieren Sie die aktuelle ISO-Konfigurationsdatei.

  9. Befolgen Sie die Anweisungen, um das Tool abzuschließen und die aktualisierte Datei herunterzuladen.

    Um das Setup Tool herunterzufahren, tippen Sie STRG+C ein.

  10. Erstellen Sie eine Backup-Kopie der aktualisierten Datei in einem anderen Datenzentrum.

2

Wenn Sie nur einen HDS-Knoten ausführen, erstellen Sie eine neue VM für den Hybrid-Datensicherheitsknoten und registrieren Sie sie mithilfe der neuen ISO-Konfigurationsdatei. Detaillierte Anweisungen finden Sie unter Weitere Knoten erstellen und registrieren.

  1. Installieren des HDS Host OVA

  2. Richten Sie die HDS-VM ein.

  3. Mounten Sie die aktualisierte Konfigurationsdatei.

  4. Registrieren Sie den neuen Knoten im Partner Hub.

3

Mounten Sie bei vorhandenen HDS-Knoten, auf denen die ältere Konfigurationsdatei ausgeführt wird, die ISO-Datei. Führen Sie für jeden Knoten des Knotens folgende Schritte durch, indem Sie jeden Knoten aktualisieren, bevor Sie den nächsten Knoten deaktivieren:

  1. Deaktivieren Sie die Virtuelle Maschine.

  2. Rechtsklicken Sie im linken Navigationsbereich des VMware vSphere Client auf die VM. Klicken Sie daraufhin auf Edit Settings (Einstellungen bearbeiten).

  3. Klicken Sie auf CD/DVD-Laufwerk 1, wählen Sie die Option zum Bereitstellen einer ISO-Datei und navigieren Sie zu dem Speicherort, unter dem der Download der neuen ISO-Konfigurationsdatei abliegt.

  4. Aktivieren Sie das Kontrollkästchen Verbinden beim Einschalten.

  5. Speichern Sie Ihre Änderungen und starten Sie Sie die virtuelle Maschine.

4

Wiederholen Sie Schritt 3, um bei jedem weiteren Knoten zu ersetzen, auf dem noch die alte Konfiguration ausgeführt wird, die Konfiguration zu ersetzen.

Blockierte externe DNS Auflösungsmodus deaktivieren

Wenn Sie einen Knoten registrieren oder die Proxykonfiguration des Knotens überprüfen, testet das Verfahren die DNS und die Konnektivität der Cisco WebEx. Wenn der DNS-Server des Knotens öffentliche DNS nicht auflösen kann, geht der Knoten automatisch in den gesperrten externen DNS-Server.

Wenn Ihre Knoten öffentliche DNS über interne DNS-Server auflösen können, aktivieren Sie diesen Modus, indem Sie den Proxyverbindungstest für jeden Knoten deaktivieren.

Vorbereitungen

Stellen Sie sicher, dass Ihre internen DNS-Server öffentliche DNS und ihre Knoten mit Ihnen kommunizieren können.
1

Öffnen Sie in einem Webbrowser die Schnittstelle für den Hybrid-Datensicherheitsknoten (IP-Adresse/Einrichtung, https://192.0.2.0/setup), geben Sie beispielsweise die für den Knoten eingerichteten Admin-Anmeldeinformationen ein, und klicken Sie dann auf Anmelden.

2

Gehen Sie zu Übersicht (Standardseite).

Wenn diese Option aktiviert ist, wird die externe DNS auf "Ja" gesetzt .

3

Gehen Sie zur Seite Vertrauensspeicher und Proxy .

4

Klicken Sie auf Stellvertreterverbindung prüfen.

Wenn Sie eine Meldung sehen, dass eine externe DNS nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen und wird in diesem Modus verbleiben. Andernfalls sollte nach dem Neustart des Knotens und der Rückfahrt zur Übersichtsseite die gesperrte externe DNS auf "Nein" gesetzt werden.

Nächste Schritte

Wiederholen Sie den Proxy Verbindungstest für jeden Knoten in Ihrem Cisco Data SicherheitCluster.

Entfernen eines Knotens

Mit diesem Verfahren können Sie einen Hybrid-Datensicherheitsknoten aus der Webex-Cloud entfernen. Löschen Sie nach dem Entfernen des Knotens aus dem Cluster die virtuelle Maschine, um den weiteren Zugriff auf Ihre Sicherheitsdaten zu verhindern.
1

Melden Sie sich über den VMware vSphere-Client auf Ihrem Computer bei dem ESXi virtuellen Host an und schalten Sie die virtuelle Maschine aus.

2

Entfernen des Knotens:

  1. Melden Sie sich bei Partner Hub an und wählen Sie Dienste aus.

  2. Klicken Sie auf der Hybrid-Datensicherheitskarte auf Alle anzeigen , um die Seite „Hybrid-Datensicherheitsressourcen“ anzuzeigen.

  3. Wählen Sie Ihr Cluster aus, um den Bereich „Übersicht“ anzuzeigen.

  4. Klicken Sie auf den Knoten, den Sie entfernen möchten.

  5. Klicken Sie in dem rechts angezeigten Bereich auf Registrierung dieses Knotens aufheben .

  6. Sie können die Registrierung des Knotens auch aufheben, indem Sie auf der rechten Seite des Knotens auf Diesen Knoten entfernen klicken.

3

Löschen Sie die VM im vSphere-Client. (Klicken Sie im linken Navigationsbereich mit der rechten Maustaste auf die VM, und klicken Sie auf Löschen.)

Wenn Sie die VM nicht löschen, denken Sie daran, die Konfigurations-ISO-Datei zu deinstallieren. Ohne die ISO-Datei können Sie die VM nicht verwenden, um auf Ihre Sicherheitsdaten zuzugreifen.

Notfallwiederherstellung mit Standby-Rechenzentrum

Der wichtigste Dienst, den Ihr Hybrid-Datensicherheitscluster bietet, ist die Erstellung und Speicherung von Schlüsseln, mit denen Nachrichten und andere in der Webex-Cloud gespeicherte Inhalte verschlüsselt werden. Für jeden Benutzer innerhalb der Organisation, der der Hybrid-Datensicherheit zugewiesen ist, werden neue Anforderungen zur Schlüsselerstellung an das Cluster weitergeleitet. Der Cluster ist zudem dafür verantwortlich, die erstellten Schlüssel an Benutzer zurückzusenden, die zum Abrufen von Schlüsseln berechtigt sind. Hierzu gehören beispielsweise Mitglieder eines Gesprächsraums.

Da der Cluster die wichtige Funktion erfüllt, diese Schlüssel bereitzustellen, ist es höchst wichtig, dass der Cluster in Betrieb bleibt und korrekte Backups erstellt werden. Der Verlust der Hybrid-Datensicherheitsdatenbank oder der für das Schema verwendeten Konfigurations-ISO führt zu einem NICHT BEHEBBAREN VERLUST von Kundeninhalten. Die folgenden Praktiken sind zwingend erforderlich, um einem derartigen Verlust vorzubeugen:

Wenn eine Katastrophe dazu führt, dass die HDS-Bereitstellung im primären Rechenzentrum nicht mehr verfügbar ist, führen Sie dieses Verfahren aus, um ein manuelles Failover auf das Standby-Rechenzentrum durchzuführen.

Vorbereitungen

Heben Sie die Registrierung aller Knoten aus Partner Hub auf, wie unter Knoten entfernen erwähnt. Verwenden Sie die neueste ISO-Datei, die für die Knoten des zuvor aktiven Clusters konfiguriert wurde, um das unten genannte Failover-Verfahren durchzuführen.
1

Starten Sie das HDS-Setup-Tool und führen Sie die unter Erstellen einer Konfigurations-ISO für die HDS-Hosts beschriebenen Schritte aus.

2

Schließen Sie den Konfigurationsprozess ab und speichern Sie die ISO-Datei an einem leicht auffindbaren Speicherort.

3

Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Sichern Sie die Sicherungskopie sicher. Die Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff auf Administratoren für Hybrid-Datensicherheit, die Konfigurationsänderungen vornehmen sollten.

4

Rechtsklicken Sie im linken Navigationsbereich des VMware vSphere Client auf die VM. Klicken Sie daraufhin auf Edit Settings (Einstellungen bearbeiten).

5

Klicken Sie auf Einstellungen bearbeiten >CD/DVD-Laufwerk 1 und wählen Sie Datenspeicher-ISO-Datei.

Stellen Sie sicher, dass Verbunden und Verbinden beim Einschalten aktiviert sind, damit aktualisierte Konfigurationsänderungen nach dem Starten der Knoten wirksam werden können.

6

Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 15 Minuten lang keine Alarme vorhanden sind.

7

Registrieren Sie den Knoten im Partner Hub. Weitere Informationen finden Sie unter Ersten Knoten im Cluster registrieren.

8

Wiederholen Sie den Vorgang für jeden Knoten im Standby-Rechenzentrum.

Nächste Schritte

Wenn das primäre Rechenzentrum nach dem Failover wieder aktiv wird, die Registrierung der Knoten des Standby-Rechenzentrums aufheben und den oben genannten Prozess der ISO-Konfiguration und der Registrierung der Knoten des primären Rechenzentrums wiederholen.

(Optional) ISO nach HDS-Konfiguration aushängen

Die Standard-HDS-Konfiguration wird mit eingebauter ISO ausgeführt. Einige Kunden ziehen es jedoch vor, die ISO-Dateien nicht kontinuierlich eingebunden zu lassen. Sie können die ISO-Datei unmounten, nachdem alle HDS-Knoten die neue Konfiguration übernommen haben.

Sie verwenden weiterhin die ISO-Dateien, um Konfigurationsänderungen vorzunehmen. Wenn Sie eine neue ISO erstellen oder eine ISO über das Setup-Tool aktualisieren, müssen Sie die aktualisierte ISO auf allen HDS-Knoten mounten. Wenn alle Knoten die Konfigurationsänderungen übernommen haben, können Sie die ISO mit diesem Verfahren erneut deinstallieren.

Vorbereitungen

Aktualisieren Sie alle Ihre HDS-Knoten auf Version 2021.01.22.4720 oder höher.

1

Fahren Sie einen Ihrer HDS-Knoten herunter.

2

Wählen Sie in der vCenter Server-Appliance den HDS-Knoten aus.

3

Wählen Sie Einstellungen bearbeiten > CD/DVD-Laufwerk und deaktivieren Sie ISO-Datei für Datenspeicher.

4

Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 20 Minuten lang keine Alarme angezeigt werden.

5

Wiederholen Sie dies für jeden HDS-Knoten der Reihe nach.

Problembehandlung der Hybrid-Datensicherheit

Anzeigen von Warnungen und Beheben von Fehlern

Eine Hybrid-Datensicherheitsbereitstellung gilt als nicht verfügbar, wenn alle Knoten im Cluster nicht erreichbar sind oder der Cluster so langsam arbeitet, dass eine Zeitüberschreitung erforderlich ist. Wenn Benutzer Ihr Hybrid-Datensicherheitscluster nicht erreichen können, treten folgende Symptome auf:

  • Neue Bereiche können nicht erstellt werden (es konnten keine neuen Schlüssel erstellt werden)

  • Nachrichten- und Bereichstitel konnten für folgende Benutzer nicht entschlüsselt werden:

    • Neue zu einem Bereich hinzugefügte Benutzer (Schlüssel konnten nicht abgerufen werden)

    • Vorhandene Benutzer in einem Bereich, der einen neuen Client verwendet (Schlüssel konnten nicht abgerufen werden)

  • Vorhandene Benutzer in einem Bereich werden weiterhin erfolgreich ausgeführt, sofern ihre Clients über einen Cache für Verschlüsselungsschlüssel verfügen

Es ist wichtig, dass Sie Ihren Hybrid-Datensicherheitscluster ordnungsgemäß überwachen und alle Warnungen umgehend adressieren, um Dienstunterbrechungen zu vermeiden.

Warnungen

Wenn es ein Problem mit der Einrichtung der Hybrid-Datensicherheit gibt, zeigt Partner Hub Warnungen an den Administrator der Organisation an und sendet E-Mails an die konfigurierte E-Mail-Adresse. Die Warnungen betreffen viele gängige Szenarien.

Tabelle 1: Häufig auftretende Probleme und Schritte zur Problembehebung

Alarm

Vorgang

Fehler beim Zugriff auf die lokale Datenbank.

Überprüfen Sie das System auf Datenbankfehler oder lokale Netzwerkprobleme.

Fehler beim Herstellen einer Verbindung zur lokalen Datenbank.

Vergewissern Sie sich, dass der Datenbankserver verfügbar ist und die richtigen Dienstkonto-Anmeldeinformationen in der Knotenkonfiguration verwendet wurden.

Fehler beim Zugriff auf den Clouddienst.

Überprüfen Sie, ob die Knoten auf die Webex-Server zugreifen können, wie unter Externe Verbindungsanforderungen angegeben.

Registrierung des Clouddiensts wird erneuert.

Registrierung von Clouddiensten wurde verworfen. Erneuerung der Registrierung wird durchgeführt.

Registrierung des Clouddiensts wurde verworfen.

Registrierung von Clouddiensten wurde beendet. Dienst wird beendet.

Dienst noch nicht aktiviert.

Aktivieren Sie HDS in Partner Hub.

Konfigurierte Domäne stimmt nicht mit dem Serverzertifikat überein.

Vergewissern Sie sich, dass das Serverzertifikat mit der konfigurierten Dienstaktivierungsdomäne übereinstimmt.

Die wahrscheinlichste Ursache lautet, dass die Zertifikat-CN vor kurzem geändert wurde und nun von der CN abweicht, die während der ursprünglichen Einrichtung verwendet wurde.

Clouddienste konnten nicht authentifiziert werden.

Prüfen Sie die Daten auf korrekte Eingabe und einen möglichen Ablauf der Dienstkonto-Anmeldeinformationen.

Lokale Schlüsselspeicherdatei konnte nicht geöffnet werden.

Überprüfen Sie die lokale Schlüsselspeicherdatei auf Integrität und Kennwortgenauigkeit.

Lokales Serverzertifikat ist ungültig.

Überprüfen Sie das Ablaufdatum des Serverzertifikats und vergewissern Sie sich, dass es von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.

Metriken konnten nicht gepostet werden.

Überprüfen Sie den Zugriff des lokalen Netzwerks auf externe Clouddienste.

Das Verzeichnis /media/configdrive/hds ist nicht vorhanden.

Überprüfen Sie die ISO-Mountkonfiguration auf dem virtuellen Host. Vergewissern Sie sich, dass die ISO-Datei vorhanden ist, die beim Neustart für das Mounten konfiguriert ist und das Mounten erfolgreich ausgeführt wird.

Die Einrichtung der Mandanten-Organisation ist für die hinzugefügten Organisationen nicht abgeschlossen

Schließen Sie die Einrichtung ab, indem Sie mit dem HDS Setup Tool CMKs für neu hinzugefügte Mandantenorganisationen erstellen.

Die Einrichtung der Mandantenorganisation ist für die entfernten Organisationen nicht abgeschlossen

Schließen Sie die Einrichtung ab, indem Sie die CMKs der Mandantenorganisationen, die mit dem HDS Setup Tool entfernt wurden, widerrufen.

Problembehandlung der Hybrid-Datensicherheit

Beachten Sie bei der Behebung von Problemen mit Hybrid Data Security die folgenden allgemeinen Richtlinien.
1

Prüfen Sie Partner Hub auf Warnungen und beheben Sie alle Elemente, die Sie dort finden. Weitere Informationen finden Sie im Bild unten.

2

Überprüfen Sie die Syslog-Serverausgabe auf Aktivität aus der Hybrid-Datensicherheitsbereitstellung. Filtern Sie nach Wörtern wie „Warnung“ und „Fehler“, um bei der Fehlerbehebung zu helfen.

3

Kontaktieren Sie den Cisco-Support.

Sonstige Hinweise

Bekannte Probleme mit Hybrid-Datensicherheit

  • Wenn Sie Ihren Hybrid-Datensicherheitscluster herunterfahren (indem Sie ihn im Partner Hub löschen oder alle Knoten herunterfahren), Ihre Konfigurations-ISO-Datei verlieren oder den Zugriff auf die Keystore-Datenbank verlieren, können Webex-App-Benutzer von Kundenorganisationen keine Bereiche in ihrer Personenliste mehr verwenden, die mit Schlüsseln von Ihrem KMS erstellt wurden. Wir haben aktuell keine Problemumgehung oder Lösung für dieses Problem und empfehlen Ihnen dringend, Ihre HDS-Dienste nicht herunterzufahren, sobald sie aktive Benutzerkonten verarbeiten.

  • Ein Client, der über eine bestehende ECDH-Verbindung zu einem KMS verfügt, hält die Verbindung für einen Zeitraum aufrecht (ca. eine Stunde).

Generieren einer PKCS12-Datei mit OpenSSL

Vorbereitungen

  • OpenSSL ist eines der Tools, mit denen die PKCS12-Datei im richtigen Format für das Laden in das HDS-Setuptool erstellt werden kann. Es gibt auch andere Verfahren, keines davon wird von uns bevorzugt.

  • Wenn Sie sich für die Verwendung von OpenSSL entscheiden, stellen wir Ihnen dieses Verfahren als Richtlinie zur Verfügung, um eine Datei zu erstellen, die die X.509-Zertifikatsanforderungen in X.509-Zertifikatsanforderungen erfüllt. Machen Sie sich mit diesen Anforderungen vertraut, bevor Sie fortfahren.

  • Installieren Sie OpenSSL in einer unterstützten Umgebung. Software und Dokumentation finden Sie auf https://www.openssl.org.

  • Erstellen Sie einen privaten Schlüssel.

  • Beginnen Sie mit diesem Verfahren, wenn Sie das Serverzertifikat von Ihrer Zertifizierungsstelle (CA, Certificate Authority) erhalten.

1

Wenn Sie das Zertifikat von der CA erhalten, speichern Sie es als hdsnode.pem.

2

Zeigen Sie das Zertifikat als Text an, und überprüfen Sie die Details.

openssl x509 -text -noout -in hdsnode.pem

3

Erstellen Sie in einem Text-Editor eine Zertifikatpaketdatei namens hdsnode-bundle.pem. Die Paketdatei muss das Serverzertifikat, alle CA-Zwischenzertifikate sowie die CA-Stammzertifikate im unten angegebenen Format enthalten:

-----BEGIN CERTIFICATE------ ### Serverzertifikat. ### -----END CERTIFICATE------- BEGIN CERTIFICATE----- ### Zwischenzertifikat. ### -----END CERTIFICATE-------BEGIN CERTIFICATE----- ### Stamm-CA-Zertifikat. ### -----END CERTIFICATE-----

4

Erstellen Sie die P12-Datei mit dem Anzeigenamen kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Überprüfen Sie die Zertifikatdetails.

  1. openssl pkcs12 -in hdsnode.p12

  2. Geben Sie ein Passwort an der Eingabeaufforderung ein, um den privaten Schlüssel zu verschlüsseln, sodass er in der Ausgabe aufgeführt wird. Überprüfen Sie dann, ob der private Schlüssel und das erste Zertifikat die folgenden Zeilen enthalten: friendlyName: kms-private-key.

    Beispiel:

    bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Schlüsselattribute:  PEM-Passphrase eingeben: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY-----  -----END ENCRYPTED PRIVATE KEY----- Bag Attribute friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE-----

Nächste Schritte

Kehren Sie zurück zu Voraussetzungen für Hybrid-Datensicherheit erfüllen. Sie verwenden die Datei hdsnode.p12 und das Passwort, das Sie dafür festgelegt haben, unter Erstellen einer Konfigurations-ISO für die HDS-Hosts.

Sie können diese Dateien wiederverwenden, um ein neues Zertifikat anzufordern, wenn das ursprüngliche Zertifikat abläuft.

Datenverkehr zwischen den HDS-Knoten und der Cloud

Metriksammlung von ausgehendem Datenverkehr

Die Hybrid-Datensicherheitsknoten senden bestimmte Metriken an die Webex-Cloud. Dazu gehören Systemmetriken für max. Heap, verbrauchter Heap, CPU-Auslastung und Threadanzahl; Metriken zu synchronen und asynchronen Threads; Metriken zu Warnungen, darunter auch ein Schwellenwert der verschlüsselten Verbindungen, Latenz oder eine Anforderungswarteschlangenlänge; Metriken zum Datenspeicher; und Metriken zu verschlüsselten Verbindungen. Die Knoten senden verschlüsseltes Schlüsselmaterial über einen Out-of-Band-Kanal (separat von der Anforderung).

Eingehender Datenverkehr

Die Hybrid-Datensicherheitsknoten erhalten die folgenden Arten von eingehendem Datenverkehr von der Webex-Cloud:

  • Verschlüsselungsanforderungen von Clients, die vom Verschlüsselungsdienst umgeleitet werden

  • Upgrades für die Knoten-Software

Konfigurieren von Tintenfisch für die Hybriddatensicherheit

WebSocket kann nicht über SquID Proxy verbunden werden

Squid-Proxys, die den HTTPS-Datenverkehr prüfen, können die Einrichtung von Websocket-Verbindungen (wss:) beeinträchtigen, die für Hybrid Data Security erforderlich ist. Diese Abschnitte geben Anweisungen, wie Sie verschiedene Versionen von Squid konfigurieren, um WSS zu ignorieren: Datenverkehr für den ordnungsgemäßen Ablauf der Services.

Squid 4 und 5

Fügen Sie die on_unsupported_protocol Richtlinie zu squid.conf hinzu:

on_unsupported_protocol Alle tunnel

Squid 3.5.27

Wir haben die Hybriddatensicherheit erfolgreich mit den folgenden Regeln getestet, die zu squid .conf hinzugefügt wurden. Diese Regeln können sich geändert werden, da wir Funktionen entwickeln und die WebEx Cisco aktualisieren.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 alle ssl_bump stare step2 alle ssl_bump bump step3 alle

Neue und geänderte Informationen

Neue und geänderte Informationen

In dieser Tabelle werden neue Funktionen, Änderungen an vorhandenen Inhalten und alle wichtigen Fehler beschrieben, die im Bereitstellungsleitfaden für Multi-Tenant-Hybrid-Datensicherheit behoben wurden.

Datum

Vorgenommenen Änderungen

4. März 2025

30. Januar 2025

Die SQL-Serverversion 2022 wurde zur Liste der unterstützten SQL-Server unter Anforderungen für Datenbankserver hinzugefügt.

15. Januar 2025

Einschränkungen der Multi-Tenant-Hybrid-Datensicherheit hinzugefügt.

08. Januar 2025

In Erste Einrichtung durchführen und Installationsdateien herunterladen wurde ein Hinweis hinzugefügt, dass das Klicken auf Einrichten auf der HDS-Karte in Partner Hub ein wichtiger Schritt des Installationsprozesses ist.

07. Januar 2025

Aktualisierte Anforderungen für virtuelle Gastgeber, Bereitstellungsaufgaben für Hybrid-Datensicherheit und Installieren der HDS-Host-OVA , um neue Anforderungen von ESXi 7.0 anzuzeigen.

13. Dezember 2024

Erste Veröffentlichung.

Multi-Tenant Hybrid-Datensicherheit deaktivieren

Multi-Tenant-HDS-Deaktivierungsaufgabenablauf

Führen Sie diese Schritte aus, um Multi-Tenant-HDS vollständig zu deaktivieren.

Vorbereitungen

Diese Aufgabe sollte nur von einem Partnervolladministrator ausgeführt werden.
1

Entfernen Sie alle Kunden aus allen Ihren Clustern, wie unter Mandantenorganisationen entfernen erwähnt.

2

Widerrufen Sie die CMKs aller Kunden, wie unter CMKs von Tenants, die aus HDS entfernt wurden erwähnt.

3

Entfernen Sie alle Knoten aus all Ihren Clustern, wie unter Einen Knoten entfernen erwähnt.

4

Löschen Sie alle Ihre Cluster aus Partner Hub mithilfe einer der folgenden beiden Methoden.

  • Klicken Sie auf den Cluster, den Sie löschen möchten, und wählen Sie Diesen Cluster löschen in der oberen rechten Ecke der Übersichtsseite.
  • Klicken Sie auf der Seite „Ressourcen“ auf der rechten Seite eines Clusters auf ... und wählen Sie Cluster entfernen aus.
5

Klicken Sie auf der Übersichtsseite zur Hybrid-Datensicherheit auf die Registerkarte Einstellungen und klicken Sie auf der HDS-Statuskarte auf HDS deaktivieren .

Erste Schritte mit der Multi-Tenant-Hybrid-Datensicherheit

Multi-Tenant Hybrid-Datensicherheit – Übersicht

Vom ersten Tag an stand die Datensicherheit im Mittelpunkt der Entwicklung der Webex-App. Der Eckpfeiler dieser Sicherheit ist die durchgängige Verschlüsselung von Inhalten, die durch die Interaktion der Webex-App-Clients mit dem Schlüsselverwaltungsdienst (Key Management Service, KMS) ermöglicht wird. Der KMS erstellt und verwaltet die Kryptografieschlüssel, mit denen die Clients ihre Nachrichten und Dateien dynamisch ver- und entschlüsseln.

Standardmäßig erhalten alle Webex-App-Kunden eine durchgängige Verschlüsselung mit dynamischen Schlüsseln, die im Cloud-KMS im Sicherheitsbereich von Cisco gespeichert werden. Mit Hybrid Data Security werden KMS und andere Sicherheitsfunktionen in das Rechenzentrum Ihres Unternehmens verschoben, damit die Schlüssel zu ihren verschlüsselten Inhalten ausschließlich bei Ihnen liegen.

Multi-Tenant Hybrid Data Security ermöglicht es Unternehmen, HDS über einen vertrauenswürdigen lokalen Partner zu nutzen, der als Dienstleister fungieren und lokale Verschlüsselungs- und andere Sicherheitsdienste verwalten kann. Diese Einrichtung ermöglicht der Partnerorganisation die vollständige Kontrolle über die Bereitstellung und Verwaltung von Verschlüsselungscodes und stellt sicher, dass die Benutzerdaten von Kundenorganisationen vor externem Zugriff geschützt sind. Partnerorganisationen richten HDS-Instanzen ein und erstellen nach Bedarf HDS-Cluster. Im Gegensatz zu einer normalen HDS-Bereitstellung, die auf eine einzelne Organisation beschränkt ist, kann jede Instanz mehrere Kundenorganisationen unterstützen.

Partnerorganisationen haben zwar die Kontrolle über die Bereitstellung und Verwaltung, sie haben jedoch keinen Zugriff auf von Kunden generierte Daten und Inhalte. Dieser Zugriff ist auf Kundenorganisationen und ihre Benutzer beschränkt.

Dadurch können kleinere Organisationen auch HDS nutzen, da Schlüsselverwaltungsdienst und Sicherheitsinfrastruktur wie Rechenzentren im Besitz des vertrauenswürdigen lokalen Partners sind.

So bietet Multi-Tenant Hybrid Data Security Datensouveränität und Datenkontrolle

  • Benutzergenerierte Inhalte sind wie Cloud-Dienstanbieter vor externem Zugriff geschützt.
  • Vertrauenswürdige Partner vor Ort verwalten die Verschlüsselungscodes von Kunden, mit denen sie bereits eine bestehende Beziehung haben.
  • Option für lokalen technischen Support, falls vom Partner bereitgestellt.
  • Unterstützt Meeting-, Messaging- und Calling-Inhalte.

Dieses Dokument soll Partnerorganisationen bei der Einrichtung und Verwaltung von Kunden in einem Multi-Tenant-Hybrid-Datensicherheitssystem unterstützen.

Einschränkungen der Multi-Tenant-Hybrid-Datensicherheit

  • Partnerorganisationen dürfen keine vorhandene HDS-Bereitstellung in Control Hub aktiv haben.
  • Mandanten- oder Kundenorganisationen, die von einem Partner verwaltet werden möchten, dürfen keine vorhandene HDS-Bereitstellung in Control Hub haben.
  • Sobald der Partner Multi-Tenant-HDS bereitgestellt hat, können alle Benutzer von Kundenorganisationen sowie Benutzer der Partnerorganisation Multi-Tenant-HDS für ihre Verschlüsselungsdienste nutzen.

    Die von ihnen verwaltete Partnerorganisation und Kundenorganisationen werden sich in derselben Multi-Tenant-HDS-Bereitstellung befinden.

    Die Partnerorganisation verwendet Cloud-KMS nicht mehr, nachdem Multi-Tenant-HDS bereitgestellt wurde.

  • Es gibt keinen Mechanismus, um Schlüssel nach einer HDS-Bereitstellung wieder in das Cloud-KMS zu verschieben.
  • Derzeit kann jede Multi-Tenant-HDS-Bereitstellung nur über einen Cluster mit mehreren Knoten verfügen.
  • Administratorrollen haben bestimmte Einschränkungen. Weitere Informationen finden Sie im Abschnitt unten.

Rollen in der Multi-Tenant-Hybrid-Datensicherheit

  • Partner-Volladministrator – Kann Einstellungen für alle Kunden verwalten, die der Partner verwaltet. Außerdem können Sie bereits vorhandenen Benutzern in der Organisation Administratorrollen zuweisen und bestimmte Kunden für die Verwaltung durch Partneradministratoren zuweisen.
  • Partneradministrator – Kann Einstellungen für Kunden verwalten, die der Administrator bereitgestellt hat oder die dem Benutzer zugewiesen wurden.
  • Volladministrator – Administrator der Partnerorganisation, der berechtigt ist, Aufgaben auszuführen, z. B. die Änderung von Organisationseinstellungen, die Verwaltung von Lizenzen und das Zuweisen von Rollen.
  • Durchgängige Multi-Tenant-HDS-Einrichtung und -Verwaltung aller Kundenorganisationen – Partner-Volladministrator und Volle Administratorrechte erforderlich.
  • Verwaltung zugewiesener Mandanten-Organisationen – Partneradministrator und volle Administratorrechte erforderlich.

Sicherheitsbereichsarchitektur

Die Webex-Cloud-Architektur unterteilt verschiedene Arten von Diensten in separate Bereiche oder Vertrauensdomänen, wie unten dargestellt.

Bereiche der Trennung (ohne Hybrid-Datensicherheit)

Um die Hybrid-Datensicherheit besser zu verstehen, schauen wir uns zunächst diesen reinen Cloud-Fall an, bei dem Cisco alle Funktionen in seinen Cloud-Bereichen bereitstellt. Der Identitätsdienst, der einzige Ort, an dem Benutzer direkt mit ihren persönlichen Informationen in Verbindung gebracht werden können, wie z. B. die E-Mail-Adresse, ist logisch und physisch vom Sicherheitsbereich in Rechenzentrum B getrennt. Er ist wiederum von dem Bereich getrennt, in dem verschlüsselte Inhalte letztendlich gespeichert werden, in Rechenzentrum C.

In diesem Diagramm ist der Client die Webex-App, die auf dem Laptop eines Benutzers ausgeführt wird und sich mit dem Identitätsdienst authentifiziert hat. Wenn der Benutzer eine Nachricht verfasst, die er an einen Bereich senden möchte, finden folgende Schritte statt:

  1. Der Client stellt eine sichere Verbindung zum Schlüsselverwaltungsdienst her, und fordert anschließend einen Schlüssel zum Verschlüsseln der Nachricht an. Die sichere Verbindung verwendet ECDH und der Schlüsselverwaltungsdienst verschlüsselt den Schlüssel mit einem AES-256-Hauptschlüssel.

  2. Die Nachricht wird verschlüsselt, bevor sie den Client verlässt. Der Client sendet sie an den Indexdienst, der verschlüsselte Suchindizes erstellt, um zukünftige Suchvorgänge nach Inhalten zu unterstützen.

  3. Die verschlüsselte Nachricht wird an den Compliancedienst gesendet, damit Complianceprüfungen vorgenommen werden können.

  4. Die verschlüsselte Nachricht wird im Speicherbereich abgelegt.

Wenn Sie die Hybrid-Datensicherheit bereitstellen, verschieben Sie die Sicherheitsbereichsfunktionen (KMS, Indexierung und Compliance) in Ihr lokales Rechenzentrum. Die anderen Cloud-Dienste, aus denen Webex besteht (einschließlich Identitätsspeicher und Inhaltsspeicher), verbleiben in den Bereichen von Cisco.

Zusammenarbeit mit anderen Organisationen

Benutzer in Ihrer Organisation können die Webex-App regelmäßig verwenden, um mit externen Teilnehmern in anderen Organisationen zusammenzuarbeiten. Wenn einer Ihrer Benutzer einen Schlüssel für einen Bereich anfordert, der Ihrer Organisation gehört (da er von einem Ihrer Benutzer erstellt wurde) sendet Ihr Schlüsselverwaltungsdienst den Schlüssel über einen mit ECDH gesicherten Kanal an den Client. Wenn eine andere Organisation jedoch den Schlüssel für den Bereich besitzt, leitet Ihr KMS die Anforderung über einen separaten ECDH-Kanal an die Webex-Cloud weiter, um den Schlüssel vom entsprechenden KMS zu erhalten, und gibt den Schlüssel dann an Ihren Benutzer im ursprünglichen Kanal zurück.

Der KMS-Dienst, der unter Organisation A ausgeführt wird, überprüft die Verbindungen zu KMSs in anderen Organisationen mit x.509-PKI-Zertifikaten. Weitere Informationen zur Erzeugung eines x.509-Zertifikats für die Verwendung mit Ihrer Multi-Tenant-Hybrid-Datensicherheitsbereitstellung finden Sie unter Vorbereiten Ihrer Umgebung .

Erwartungen an die Bereitstellung der Hybrid-Datensicherheit

Eine Bereitstellung der Hybrid-Datensicherheit erfordert ein erhebliches Engagement und ein Bewusstsein für die Risiken, die mit dem Besitz von Verschlüsselungscodes einhergehen.

Zur Bereitstellung der Hybrid-Datensicherheit müssen Sie Folgendes bereitstellen:

Der vollständige Verlust der Konfigurations-ISO, die Sie für Hybrid Data Security erstellen, oder der von Ihnen bereitgestellten Datenbank führt zum Verlust der Schlüssel. Der Schlüsselverlust verhindert, dass Benutzer Bereichsinhalte und andere verschlüsselte Daten in der Webex-App entschlüsseln. Falls dies geschieht, können Sie eine neue Bereitstellung erstellen, es werden dabei jedoch nur neue Inhalte angezeigt. Gehen Sie folgendermaßen vor, damit Sie nicht den Zugriff auf die Daten verlieren:

  • Verwalten Sie die Sicherung und Wiederherstellung der Datenbank und die ISO-Konfigurationsdatei.

  • Bereiten Sie sich darauf vor, eine schnelle Notfallwiederherstellung durchzuführen, wenn eine Katastrophe eintritt, z. B. ein Fehler der Datenbank oder ein Absturz des Rechenzentrums.

Es gibt keinen Mechanismus, um Schlüssel nach einer HDS-Bereitstellung zurück in die Cloud zu verschieben.

Übergeordneter Einrichtungsprozess

Dieses Dokument behandelt die Einrichtung und Verwaltung einer Multi-Tenant-Hybrid-Datensicherheitsbereitstellung:

  • Hybrid-Datensicherheit einrichten – Dazu gehört die Vorbereitung der erforderlichen Infrastruktur und die Installation der Hybrid-Datensicherheitssoftware, der Aufbau eines HDS-Clusters, das Hinzufügen von Tenant-Organisationen zum Cluster und die Verwaltung ihrer Customer Main Keys (CMKs). Damit können alle Benutzer Ihrer Kundenorganisationen Ihr Hybrid-Datensicherheitscluster für Sicherheitsfunktionen verwenden.

    Die Einrichtungs-, Aktivierungs- und Verwaltungsphase werden in den nächsten drei Kapiteln ausführlich behandelt.

  • Aufrechterhaltung Ihrer Hybrid-Datensicherheitsbereitstellung – Die Webex-Cloud stellt automatisch laufende Upgrades bereit. Ihre IT-Abteilung kann Ebene-1-Support anbieten und bei Bedarf den Cisco-Support hinzuziehen. Sie können Benachrichtigungen auf dem Bildschirm verwenden und E-Mail-basierte Warnungen in Partner Hub einrichten.

  • Allgemeine Warnungen, Schritte zur Fehlerbehebung und bekannte Probleme verstehen: Wenn bei der Bereitstellung oder Verwendung von Hybrid-Datensicherheit Probleme auftreten, können Sie das letzte Kapitel dieses Leitfadens und der Anhang „Bekannte Probleme“ bei der Ermittlung und Behebung des Problems helfen.

Bereitstellungsmodell für die Hybrid-Datensicherheit

Im Rechenzentrum Ihres Unternehmens stellen Sie die hybride Datensicherheit als ein Cluster von Knoten auf separaten virtuellen Hosts bereit. Die Knoten kommunizieren mit der Webex Cloud über sichere Websockets und sicheres HTTP.

Während des Installationsvorgangs stellen wir Ihnen die OVA-Datei bereit, mit der Sie die virtuelle Appliance auf den von Ihnen angegebenen VMs einrichten können. Mit dem HDS-Setuptool erstellen Sie eine benutzerdefinierte ISO-Clusterkonfigurationsdatei, die Sie bei den einzelnen Knoten mounten. Der Hybrid-Datensicherheitscluster verwendet den von Ihnen bereitgestellten Syslogd-Server und die PostgreSQL- oder Microsoft SQL Server-Datenbank. (Sie konfigurieren die Syslogd- und Datenbankverbindungsdetails im HDS Setup Tool.)

Bereitstellungsmodell für die Hybrid-Datensicherheit

Die Mindestanzahl von Knoten in einem Cluster lautet zwei. Wir empfehlen mindestens drei pro Cluster. Die Tatsache, dass mehrere Knoten vorhanden sind, stellt sicher, dass der Dienst während eines Software-Upgrades oder anderer Wartungsaktivitäten auf einem Knoten nicht unterbrochen wird. (Die Webex-Cloud aktualisiert jeweils nur einen Knoten.)

Alle Knoten in einem Cluster greifen auf denselben Schlüsseldatenspeicher zu und sie protokollieren Aktivitäten auf demselben Syslog-Server. Die Knoten selbst besitzen keinen Status und verarbeiten Schlüsselanfragen nach dem Round-Robin-Verfahren, wie von der Cloud vorgegeben.

Knoten werden aktiv, wenn Sie sie in Partner Hub registrieren. Um einen einzelnen Knoten zu deaktivieren, können Sie die Registrierung aufheben und ggf. zu einem späteren Zeitpunkt erneut registrieren.

Standby-Rechenzentrum für die Notfallwiederherstellung

Während der Bereitstellung richten Sie ein sicheres Standby-Rechenzentrum ein. Bei einem Absturz des Rechenzentrums können Sie die Bereitstellung manuell auf das Standby-Rechenzentrum umstellen.

Vor dem Failover verfügt Rechenzentrum A über aktive HDS-Knoten und die primäre PostgreSQL- oder Microsoft SQL Server-Datenbank, während B über eine Kopie der ISO-Datei mit zusätzlichen Konfigurationen, in der Organisation registrierte VMs und eine Standby-Datenbank verfügt. Nach dem Failover verfügt Rechenzentrum B über aktive HDS-Knoten und die primäre Datenbank, während A über nicht registrierte VMs und eine Kopie der ISO-Datei verfügt und sich die Datenbank im Standby-Modus befindet.
Manuelles Failover zum Standby-Rechenzentrum

Die Datenbanken der aktiven und Standby-Rechenzentren sind synchronisiert, wodurch die Zeit für die Durchführung des Failovers minimiert wird.

Die aktiven Hybrid-Datensicherheitsknoten müssen sich immer im selben Rechenzentrum wie der aktive Datenbankserver befinden.

Proxy-Support

Die Hybriddatensicherheit unterstützt explizite, transparente Inspektionen und Nichtinspizierungsproxys. Sie können diese Proxys an Ihre Bereitstellung binden, damit Sie den Datenverkehr aus dem Unternehmen heraus in die-Cisco sichern und überwachen können. Sie können eine Netzwerkverwaltung auf den Knoten für Zertifikats-Management verwenden und den Status der gesamten Konnektivität überprüfen, nachdem Sie den Proxy auf den Knoten eingerichtet haben.

Die Hybrid Data Sicherheitshinweis unterstützt die folgenden Proxyoptionen:

  • Kein Proxy: Der Standardwert, wenn Sie nicht die Konfiguration von Vertrauensspeicher und Proxy für die Integration eines Proxys beim Einrichten des HDS-Knotens verwenden. Es ist keine Zertifikatsaktualisierung erforderlich.

  • Transparenter Proxy ohne Prüfung – Die Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert und sollten keine Änderungen erfordern, um mit einem Proxy ohne Prüfung zu arbeiten. Es ist keine Zertifikatsaktualisierung erforderlich.

  • Transparentes Tunneln oder Proxyprüfen: Die Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert. Es sind keine Änderungen bei der Konfigurationänderung von http oder HTTPS Allerdings benötigen die Knoten eine Stammzertifikat, sodass Sie dem Proxy Vertrauen. Die Inspektion von Proxys wird in der Regel von ihm verwendet, um Strategien durchzusetzen, welche Websites besichtigt werden können und welche Arten von Inhalten nicht zulässig sind. Diese Art von Proxy entschlüsselt den gesamten Datenverkehr (auch HTTPS).

  • Expliziter Proxy: Mit explizitem Proxy teilen Sie den HDS-Knoten mit, welcher Proxyserver und welches Authentifizierungsschema verwendet werden sollen. Um einen expliziten Proxy zu konfigurieren, müssen Sie die folgenden Informationen zu den einzelnen Knoten eingeben:

    1. Proxy-IP/FQDN: Adresse, die verwendet werden kann, um die Proxy-Maschine zu erreichen.

    2. Proxy-Port: Eine Portnummer, die der Proxy verwendet, um nach proxyem Datenverkehr zu suchen.

    3. Proxy-Protokoll: Wählen Sie je nachdem, was Ihr Proxy-Server unterstützt, zwischen den folgenden Protokollen aus:

      • – Und steuert alle Anfragen, die der Client sendet.

      • HTTPS – stellt einen Kanal zum Server bereit. Der Client erhält und prüft das Zertifikat des Servers.

    4. Authentifizierungstyp: Wählen Sie aus den folgenden Authentifizierungstypen aus:

      • Keine: Es ist keine weitere Authentifizierung erforderlich.

        Verfügbar, wenn Sie entweder http oder HTTPS als Proxyprotokoll auswählen.

      • Basic – wird für einen HTTP-Benutzeragenten verwendet, um bei einer Anfrage einen Benutzernamen und ein Kennwort anzugeben. Zertifikatsformat verwendet.

        Verfügbar, wenn Sie entweder http oder HTTPS als Proxyprotokoll auswählen.

        Hiermit müssen Sie die Benutzername und das Passwort eines jeden Knotens eingeben.

      • Digest – wird verwendet, um das Konto vor dem Senden sensibler Informationen zu bestätigen. Gibt eine Hashfunktion auf die Benutzername und das Passwort ein, bevor Sie über das Netzwerk senden.

        Nur verfügbar, wenn Sie HTTPS als Proxyprotokoll auswählen.

        Hiermit müssen Sie die Benutzername und das Passwort eines jeden Knotens eingeben.

Beispiel für hybride Datensicherheitsknoten und Proxy

Dieses Diagramm zeigt eine Beispielverbindung zwischen der Hybriddatensicherheit, dem Netzwerk und einem Proxy. Für die transparente Inspektion und HTTPS explizite Überprüfung der Proxyoptionen müssen dieselben Stammzertifikat auf dem Proxy und auf den Hybriden Datensicherheitsknoten installiert sein.

Externer DNS Auflösungsmodus blockiert (explizite Proxykonfigurationen)

Wenn Sie einen Knoten registrieren oder die Proxykonfiguration des Knotens überprüfen, testet das Verfahren die DNS und die Konnektivität der Cisco WebEx. Bei Bereitstellungen mit expliziten Proxykonfigurationen, die keine externe DNS für interne Clients zulassen, wenn der Knoten die DNS-Server nicht Abfragen kann, geht er automatisch in den gesperrten externen DNS-Server. In diesem Modus können Knotenregistrierungen und andere Proxyverbindungstests fortgeführt werden.

Umgebung vorbereiten

Anforderungen für die Multi-Tenant-Hybrid-Datensicherheit

Cisco Webex-Lizenzanforderungen

So stellen Sie Multi-Tenant Hybrid Data Security bereit:

  • Partnerorganisationen: Wenden Sie sich an Ihren Cisco-Partner oder Account Manager und stellen Sie sicher, dass die Multi-Tenant-Funktion aktiviert ist.

  • Mandantenorganisationen: Sie benötigen Pro Pack für Cisco Webex Control Hub. (Siehe https://www.cisco.com/go/pro-pack.)

Docker Desktop-Anforderungen

Bevor Sie Ihre HDS-Knoten installieren, benötigen Sie Docker Desktop, um ein Setup-Programm auszuführen. Docker hat kürzlich sein Lizenzierungsmodell aktualisiert. Ihre Organisation benötigt möglicherweise ein kostenpflichtiges Abonnement für Docker Desktop. Weitere Informationen finden Sie im Docker-Blog-Post: " Docker aktualisiert und erweitert unsere Produktabonnements".

Kunden ohne Docker Desktop-Lizenz können ein Open-Source-Container-Verwaltungstool wie Podman Desktop zum Ausführen, Verwalten und Erstellen von Containern verwenden. Weitere Details finden Sie unter HDS Setup Tool mit Podman Desktop ausführen .

Anforderungen an das X.509-Zertifikat

Diese Zertifikatskette muss die folgenden Anforderungen erfüllen:

Tabelle 1: X.509-Zertifikatsanforderungen für die Hybrid-Datensicherheitsbereitstellung

Anforderung

Details

  • Von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert

Standardmäßig vertrauen wir den Zertifizierungsstellen in der Mozilla-Liste (mit Ausnahme von WoSign und StartCom) unter https://wiki.mozilla.org/CA:IncludedCAs.

  • Trägt einen CN-Domänennamen (Common Name), der Ihre Hybrid-Datensicherheitsbereitstellung identifiziert

  • Ist kein Platzhalterzertifikat

Der CN muss nicht erreichbar und kein Live-Host sein. Wir empfehlen Ihnen, einen Namen zu verwenden, der Ihre Organisation widerspiegelt, z. B. hds.company.com.

Der CN darf kein * (Platzhalter) enthalten.

Der CN wird verwendet, um die Hybrid-Datensicherheitsknoten für Webex-App-Clients zu verifizieren. Alle Hybrid-Datensicherheitsknoten in Ihrem Cluster verwenden das gleiche Zertifikat. Ihr KMS identifiziert sich selbst unter Verwendung der CN-Domäne, nicht einer beliebigen Domäne, die in den x.509v3-SAN-Feldern definiert ist.

Nachdem Sie einen Knoten mit diesem Zertifikat registriert haben, kann der CN-Domänenname nicht mehr geändert werden.

  • Keine SHA1-Signatur

Die KMS-Software unterstützt keine SHA1-Signaturen zum Validieren von Verbindungen zu KMS anderer Organisationen.

  • Als passwortgeschützte PKCS #12-Datei formatiert

  • Verwenden Sie den freundlichen Namen von kms-private-key , um das Zertifikat, den privaten Schlüssel und alle Zwischenzertifikate zum Hochladen zu kennzeichnen.

Sie können das Format Ihres Zertifikats mithilfe einer Konvertierungssoftware wie OpenSSL ändern.

Sie müssen das Passwort eingeben, wenn Sie das HDS-Setuptool ausführen.

Die KMS-Software erzwingt keine Schlüsselnutzung und beschränkt erweiterte Schlüsselnutzung nicht. Einige Zertifizierungsstellen erfordern Beschränkungen einer erweiterten Schlüsselnutzung für jedes Zertifikat, wie z. B. Server-Authentifizierung. Die Server-Authentifizierung oder andere Einstellungen zu verwenden, ist zulässig.

Anforderungen für virtuelle Gastgeber

Die virtuellen Hosts, die Sie als Hybrid-Datensicherheitsknoten in Ihrem Cluster einrichten, haben die folgenden Anforderungen:

  • Mindestens zwei separate Hosts (3 empfohlen) befinden sich im gleichen sicheren Rechenzentrum

  • VMware ESXi 7.0 (oder höher) installiert und ausgeführt.

    Sie müssen ein Upgrade durchführen, wenn Sie über eine frühere Version von ESXi verfügen.

  • Mindestens 4 vCPUs, 8 GB Hauptspeicher, 30 GB lokaler Festplattenspeicher pro Server

Datenbankserveranforderungen

Erstellen Sie eine neue Datenbank für die Schlüsselspeicherung. Verwenden Sie nicht die Standarddatenbank. Die HDS-Anwendungen erstellen bei Installation das Datenbankschema.

Für den Datenbankserver gibt es zwei Optionen. Die Anforderungen für jede dieser Komponenten lauten wie folgt:

Tabelle 2. Anforderungen für Datenbankserver nach Datenbanktyp

PostgreSQL

Microsoft SQL-Server

  • PostgreSQL 14, 15 oder 16, installiert und ausgeführt.

  • SQL Server 2016, 2017, 2019 oder 2022 (Enterprise oder Standard) installiert.

    SQL Server 2016 erfordert Service Pack 2 und kumulatives Update 2 oder höher.

Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichend Festplattenkapazität und Überwachung zur Sicherstellung, dass dieser nicht überschritten wird (2 TB empfohlen, falls die Datenbank über längere Zeit ohne Erweiterung der Festplattenkapazität ausgeführt werden soll)

Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichend Festplattenkapazität und Überwachung zur Sicherstellung, dass dieser nicht überschritten wird (2 TB empfohlen, falls die Datenbank über längere Zeit ohne Erweiterung der Festplattenkapazität ausgeführt werden soll)

Die HDS-Software installiert derzeit die folgenden Treiberversionen für die Kommunikation mit dem Datenbankserver:

PostgreSQL

Microsoft SQL-Server

Der Treiber Postgres JDBC 42.2.5

SQL Server JDBC-Treiber 4.6

Diese Treiberversion unterstützt SQL Server Always On (Always On Failover Cluster Instances und Always On-Verfügbarkeitsgruppen).

Zusätzliche Anforderungen für die Windows-Authentifizierung gegen Microsoft SQL Server

Wenn Sie möchten, dass HDS-Knoten die Windows-Authentifizierung verwenden, um Zugriff auf Ihre Keystore-Datenbank auf Microsoft SQL Server zu erhalten, benötigen Sie die folgende Konfiguration in Ihrer Umgebung:

  • Die HDS-Knoten, die Active Directory-Infrastruktur und der MS SQL Server müssen alle mit dem NTP synchronisiert werden.

  • Das Windows-Konto, das Sie auf HDS-Knoten bereitstellen, muss Lese-/Schreibzugriff auf die Datenbank haben.

  • Die DNS-Server, die Sie für HDS-Knoten bereitstellen, müssen in der Lage sein, Ihr Key Distribution Center (KDC) aufzulösen.

  • Sie können die HDS-Datenbankinstanz auf Ihrem Microsoft SQL Server als Service Principal Name (SPN) in Ihrem Active Directory registrieren. Siehe Registrieren eines Dienstprinzipalnamens für Kerberos-Verbindungen.

    Das HDS-Setup-Tool, der HDS-Launcher und das lokale KMS müssen für den Zugriff auf die Keystore-Datenbank die Windows-Authentifizierung verwenden. Sie verwenden die Details aus Ihrer ISO-Konfiguration, um die SPN zu konstruieren, wenn sie den Zugriff mit der Kerberos-Authentifizierung anfordern.

Anforderungen an externe Konnektivität

Konfigurieren Sie Ihre Firewall so, dass die folgende Konnektivität für die HDS-Anwendungen zugelassen ist:

Anwendung

Protokoll

Port

Richtung von der App

Ziel

Hybrid-Datensicherheitsknoten

TCP

443

Ausgehend HTTPS und WSS

  • Webex-Server:

    • *.wbx2.com

    • *.ciscospark.com

  • Alle Common Identity-Hosts

  • Weitere URLs, die für die Hybrid-Datensicherheit in der Tabelle Zusätzliche URLs für Webex-Hybriddienste unter Netzwerkanforderungen für Webex-Dienste aufgeführt sind

HDS-Einrichtungstool

TCP

443

Ausgehendes HTTPS

  • *.wbx2.com

  • Alle Common Identity-Hosts

  • hub.docker.com

Die Hybrid-Datensicherheitsknoten funktionieren mit NAT (Network Access Translation) oder hinter einer Firewall, solange NAT oder Firewall die erforderlichen ausgehenden Verbindungen zu den in der vorangehenden Tabelle aufgeführten Domänenzielen zulässt. Für eingehende Verbindungen zu den Hybrid-Datensicherheitsknoten sollten keine Ports aus dem Internet sichtbar sein. In Ihrem Rechenzentrum benötigen Clients aus administrativen Gründen Zugriff auf die Hybrid-Datensicherheitsknoten auf den TCP-Ports 443 und 22.

Die URLs für die CI-Hosts (Common Identity) sind regionsspezifisch. Dies sind die aktuellen CI-Hosts:

Region

Host-URLs der allgemeinen Identität

Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Europäische Union

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Vereinigte Arabische Emirate

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Vorgaben für Proxy-Server

  • Wir unterstützen offiziell die folgenden Proxylösungen, die in ihre Hybriden Sicherheitsknoten integriert werden können.

    • Transparenter Proxy – Cisco Web Sicherheitsgerät (WSA).

    • Explizite –.

      Squid-Proxys, die den HTTPS-Datenverkehr untersuchen, können die Einrichtung von Websocket-Verbindungen (wss:) beeinträchtigen. Informationen zur Behebung dieses Problems finden Sie unter Konfigurieren von Squid-Proxys für Hybrid-Datensicherheit.

  • Wir unterstützen die folgenden Authentifizierungskombinationen für explizite Proxys:

    • Keine Authentifizierung mit http oder HTTPS

    • Grundlegende Authentifizierung mit http oder HTTPS

    • Verdauungsauthentifizierung nur mit HTTPS

  • Um einen transparenten Proxy oder einen HTTPS expliziten Proxy zu erhalten, müssen Sie eine Kopie des Stammzertifikat des Stellvertreters besitzen. Die Bereitstellungsanweisungen in diesem Handbuch zeigen Ihnen, wie Sie die Kopie in die Vertrauensspeicher der Hybriden Datensicherheitsknoten hochladen können.

  • Das Netzwerk, das die HDS Nodes hostet, muss so konfiguriert sein, dass es den ausgehenden TCP Traffic auf Port 443 durch den Proxy zwingt

  • Proxys, die den Webverkehr inspizieren, können die Websteckverbindung beeinträchtigen. Wenn dieses Problem auftritt, wird das Problem durch Umgehung (nicht Inspektion) des Datenverkehrs zu wbx2.com und ciscospark.com gelöst.

Erfüllen der Voraussetzungen für die Hybrid-Datensicherheit

Stellen Sie mit dieser Checkliste sicher, dass Sie bereit für die Installation und Konfiguration Ihres Hybrid-Datensicherheitsclusters sind.
1

Stellen Sie sicher, dass Ihre Partnerorganisation die Multi-Tenant-HDS-Funktion aktiviert hat, und holen Sie sich die Anmeldeinformationen für ein Konto mit vollen Partneradministratorrechten und vollen Administratorrechten. Stellen Sie sicher, dass Ihre Webex-Kundenorganisation für Pro Pack für Cisco Webex Control Hub aktiviert ist. Wenden Sie sich an Ihren Cisco-Partner oder an Ihren Account Manager, falls Sie Hilfe bei diesem Verfahren benötigen.

Kundenorganisationen sollten keine vorhandene HDS-Bereitstellung haben.

2

Wählen Sie einen Domänennamen für Ihre HDS-Bereitstellung aus (z. B. hds.company.com) und rufen Sie eine Zertifikatskette ab, die ein X.509-Zertifikat, einen privaten Schlüssel und alle Zwischenzertifikate enthält. Die Zertifikatskette muss die Anforderungen in X.509-Zertifikatsanforderungen erfüllen.

3

Bereiten Sie identische virtuelle Hosts vor, die Sie als Hybrid-Datensicherheitsknoten in Ihrem Cluster einrichten werden. Sie benötigen mindestens zwei separate Hosts (3 empfohlen), die sich im selben sicheren Rechenzentrum befinden und die Anforderungen unter Anforderungen für virtuelle Hosts erfüllen.

4

Bereiten Sie den Datenbankserver vor, der als Schlüsseldatenspeicher für den Cluster dient, gemäß den Anforderungen für den Datenbankserver. Der Datenbankserver muss sich im sicheren Rechenzentrum mit den virtuellen Hosts befinden.

  1. Erstellen Sie eine Datenbank für die Schlüsselspeicherung. (Sie müssen diese Datenbank erstellen. Verwenden Sie nicht die Standarddatenbank. Die HDS-Anwendungen erstellen bei Installation das Datenbankschema.)

  2. Sammeln Sie die Informationen, die die Knoten zur Kommunikation mit dem Datenbankserver benötigen:

    • Der Hostname oder die IP-Adresse (Host) und der Port

    • Der Name der Datenbank (dbname) zur Schlüsselspeicherung

    • Der Benutzername und das Kennwort eines Benutzers mit allen Rechten in der Schlüsseldatenbank

5

Richten Sie für eine schnelle Notfallwiederherstellung eine Backup-Umgebung in einem anderen Rechenzentrum ein. Die Backup-Umgebung spiegelt die Produktionsumgebung von VMs und eines Backup-Datenbankservers wider. Wenn beispielsweise in der Produktion 3 VMs HDS-Knoten ausführen, sollte die Backup-Umgebung 3 VMs haben.

6

Richten Sie einen syslog-Host ein, um Protokolle aus den Knoten im Cluster zu sammeln. Dokumentieren Sie dessen Netzwerkadresse und syslog-Port (Standard ist UDP 514).

7

Erstellen Sie eine sichere Backup-Richtlinie für die Hybrid-Datensicherheitsknoten, den Datenbankserver und den Syslog-Host. Um einen nicht behebbaren Datenverlust zu vermeiden, müssen Sie mindestens die Datenbank und die für die Hybrid-Datensicherheitsknoten generierte Konfigurations-ISO-Datei sichern.

Da auf den Hybrid-Datensicherheitsknoten die für die Ver- und Entschlüsselung von Inhalten verwendeten Schlüssel gespeichert werden, führt das Versäumnis, eine betriebliche Bereitstellung aufrechtzuerhalten, zum NICHT BEHEBBAREN VERLUST dieser Inhalte.

Webex-App-Clients speichern ihre Schlüssel im Zwischenspeicher, sodass ein Ausfall möglicherweise nicht sofort spürbar ist, aber mit der Zeit offensichtlich wird. Vorübergehende Ausfälle sind unvermeidlich, aber behebbar. Bei einem vollständigen Verlust (keine Backups verfügbar) entweder der Datenbank oder der ISO-Konfigurationsdatei gehen jedoch Kundendaten unwiederbringlich verloren. Von den Betreibern der Hybrid-Datensicherheitsknoten wird erwartet, dass sie häufige Sicherungen der Datenbank und der Konfigurations-ISO-Datei erstellen und im Falle eines katastrophalen Ausfalls das Rechenzentrum für die Hybrid-Datensicherheit neu erstellen.

8

Stellen Sie sicher, dass Ihre Firewall-Konfiguration eine Verbindung für Ihre Hybrid-Datensicherheitsknoten ermöglicht, wie unter Externe Verbindungsanforderungen beschrieben.

9

Installieren Sie Docker ( https://www.docker.com) auf jedem lokalen Computer, auf dem ein unterstütztes Betriebssystem ausgeführt wird (Microsoft Windows 10 Professional, Enterprise 64-Bit oder Mac OSX Yosemite 10.10.3 oder höher) und ein Webbrowser, der unter http://127.0.0.1:8080. darauf zugreifen kann.

Mit der Docker-Instanz können Sie das HDS Setup Tool herunterladen und ausführen, das die lokalen Konfigurationsinformationen für alle Hybrid-Datensicherheitsknoten erstellt. Möglicherweise benötigen Sie eine Docker Desktop-Lizenz. Weitere Informationen finden Sie unter Anforderungen für Docker Desktop .

Um das HDS Setup Tool zu installieren und auszuführen, muss der lokale Computer über die unter Anforderungen an externe Konnektivität beschriebenen Konnektivität verfügen.

10

Wenn Sie einen Proxy mit Hybrid Data Security integrieren, stellen Sie sicher, dass er die Anforderungen für den Proxy-Server erfüllt.

Hybrid-Datensicherheitscluster einrichten

Ablauf der Bereitstellungsaufgabe für die Hybrid-Datensicherheit

Vorbereitungen

1

Erste Einrichtung durchführen und Installationsdateien herunterladen

Laden Sie die OVA-Datei für eine spätere Verwendung auf Ihren lokalen Computer herunter.

2

Erstellen einer ISO-Konfigurationsdatei für die HDS-Hosts

Erstellen Sie mit dem HDS Setup Tool eine ISO-Konfigurationsdatei für die Hybrid-Datensicherheitsknoten.

3

Installieren des HDS Host OVA

Erstellen Sie eine virtuelle Maschine aus der OVA-Datei und führen Sie eine erste Konfiguration durch, z. B. Netzwerkeinstellungen.

Die Option zum Konfigurieren der Netzwerkeinstellungen während der OVA-Bereitstellung wurde mit ESXi 7.0 getestet. In früheren Versionen ist diese Option möglicherweise nicht verfügbar.

4

Einrichten der Hybrid-Datensicherheits-VM

Melden Sie sich bei der VM-Konsole an und legen Sie die Anmeldeinformationen fest. Konfigurieren Sie die Netzwerkeinstellungen für den Knoten, falls Sie diese bei der OVA-Bereitstellung nicht konfiguriert haben.

5

Hochladen und Mounten der HDS-Konfigurations-ISO

Konfigurieren Sie die VM aus der ISO-Konfigurationsdatei, die Sie mit dem HDS Setup Tool erstellt haben.

6

Konfigurieren des HDS Knotens für Proxyintegration

Wenn für die Netzwerkumgebung eine Proxy-Konfiguration erforderlich ist, geben Sie den Proxy-Typ an, den Sie für den Knoten verwenden möchten, und fügen Sie das Proxy-Zertifikat ggf. zum Vertrauensspeicher hinzu.

7

Ersten Knoten im Cluster registrieren

Registrieren Sie die VM in der Cisco Webex Cloud als Hybrid-Datensicherheitsknoten.

8

Weitere Knoten erstellen und registrieren

Schließen Sie die Cluster-Einrichtung ab.

9

Aktivieren Sie Multi-Tenant-HDS in Partner Hub.

Aktivieren Sie HDS und verwalten Sie Mandantenorganisationen in Partner Hub.

Erste Einrichtung durchführen und Installationsdateien herunterladen

Bei dieser Aufgabe laden Sie eine OVA-Datei auf Ihren Computer herunter (nicht auf die Server, die Sie als Hybrid-Datensicherheitsknoten eingerichtet haben). Sie können diese Datei zu einem späteren Zeitpunkt im Installationsprozess verwenden.

1

Melden Sie sich bei Partner Hub an und klicken Sie auf Dienste.

2

Suchen Sie im Abschnitt „Cloud-Dienste“ nach der Hybrid-Datensicherheitskarte und klicken Sie auf Einrichten.

Das Klicken auf Einrichten in Partner Hub ist entscheidend für den Bereitstellungsprozess. Fahren Sie mit der Installation nicht fort, ohne diesen Schritt abzuschließen.

3

Klicken Sie auf Ressource hinzufügen und dann auf OVA-Datei herunterladen auf der Karte Software installieren und konfigurieren .

Ältere Versionen des Softwarepakets (OVA) sind mit den neuesten Upgrades für die Hybrid-Datensicherheit nicht kompatibel. Dies kann zu Problemen beim Upgrade der Anwendung führen. Stellen Sie sicher, dass Sie die neueste Version der OVA-Datei herunterladen.

Sie können die OVA auch jederzeit im Abschnitt Hilfe herunterladen. Klicken Sie auf Einstellungen > Hilfe > Hybrid-Datensicherheitssoftware herunterladen.

Der Download der OVA-Datei beginnt automatisch. Speichern Sie die Datei auf Ihrem Computer.
4

Klicken Sie optional auf Bereitstellungsleitfaden zur Hybrid-Datensicherheit anzeigen , um zu überprüfen, ob eine spätere Version dieses Leitfadens verfügbar ist.

Erstellen einer ISO-Konfigurationsdatei für die HDS-Hosts

Beim Einrichtungsprozess für die Hybrid-Datensicherheit wird eine ISO-Datei erstellt. Anschließend verwenden Sie die ISO, um Ihren Hybrid-Datensicherheitshost zu konfigurieren.

Vorbereitungen
1

Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

In regulären Umgebungen:

docker rmi ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

docker rmi ciscocitg/hds-setup-fedramp:stable

Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

2

Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

docker login -u hdscustomersro
3

Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

In regulären Umgebungen:

docker pull ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

  • In regulären Umgebungen ohne Proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTP-Proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTPS-Proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In FedRAMP-Umgebungen ohne Proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express-Server hören auf Port 8080) sehen.

6

Das Setup-Tool unterstützt die Verbindung zu localhost über http://localhost:8080 nicht. Verwenden Sie http://127.0.0.1:8080 , um eine Verbindung zum Localhost herzustellen.

Navigieren Sie in einem Webbrowser zum Localhost, http://127.0.0.1:8080, und geben Sie bei Aufforderung den Admin-Benutzernamen für Partner Hub ein.

Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto festzulegen. Das Tool zeigt dann die Standard-Anmeldeaufforderung an.

7

Wenn Sie dazu aufgefordert werden, geben Sie Ihre Partner Hub-Administratoranmeldeinformationen ein und klicken Sie dann auf Anmelden , um den Zugriff auf die für die Hybrid-Datensicherheit erforderlichen Dienste zu erlauben.

8

Klicken Sie auf der Übersichtsseite des Setup Tool auf Get Started (Erste Schritte).

9

Auf der Seite ISO-Import stehen Ihnen folgende Optionen zur Verfügung:

  • Nein – Wenn Sie Ihren ersten HDS-Knoten erstellen, müssen Sie keine ISO-Datei hochladen.
  • Ja: Wenn Sie bereits HDS-Knoten erstellt haben, wählen Sie Ihre ISO-Datei im Browse aus und laden Sie sie hoch.
10

Überprüfen Sie, ob Ihr X.509-Zertifikat die Anforderungen in X.509-Zertifikatsanforderungen erfüllt.

  • Wenn Sie noch nie ein Zertifikat hochgeladen haben, laden Sie das X.509-Zertifikat hoch, geben Sie das Passwort ein und klicken Sie auf Weiter.
  • Wenn Ihr Zertifikat in Ordnung ist, klicken Sie auf Weiter.
  • Wenn Ihr Zertifikat abgelaufen ist oder Sie es ersetzen möchten, wählen Sie Nein für Weiterhin HDS-Zertifikatskette und privaten Schlüssel aus vorheriger ISO verwenden? aus. Laden Sie ein neues X.509-Zertifikat hoch, geben Sie das Passwort ein und klicken Sie auf Weiter.
11

Geben Sie die Datenbankadresse und das Konto für HDS ein, um auf Ihren Schlüsseldatenspeicher zuzugreifen:

  1. Wählen Sie Ihren Datenbanktyp (PostgreSQL oder Microsoft SQL Server) aus.

    Wenn Sie Microsoft SQL Server auswählen, wird das Feld „Authentifizierungstyp“ angezeigt.

  2. (Nur Microsoft SQL Server ) Wählen Sie Ihren Authentifizierungstyp aus:

    • Basisauthentifizierung: Sie benötigen einen lokalen SQL-Server-Kontonamen im Feld Benutzername .

    • Windows-Authentifizierung: Sie benötigen ein Windows-Konto im Format username@DOMAIN im Feld Benutzername .

  3. Geben Sie die Adresse des Datenbankservers im Format : oder : ein.

    Beispiel:
    dbhost.example.org:1433 oder 198.51.100.17:1433

    Sie können eine IP-Adresse für die Basisauthentifizierung verwenden, wenn die Knoten nicht DNS zur Auflösung des Hostnamens verwenden können.

    Wenn Sie die Windows-Authentifizierung verwenden, müssen Sie einen vollqualifizierten Domänennamen im folgenden Format eingeben: dbhost.example.org:1433

  4. Geben Sie den Datenbanknamen ein.

  5. Geben Sie den Benutzernamen und das Kennwort eines Benutzers mit allen Berechtigungen in der Schlüsselspeicherdatenbank ein.

12

Wählen Sie einen TLS-Datenbankverbindungsmodus aus:

Modus

Beschreibung

TLS bevorzugen (Standardoption)

HDS-Knoten benötigen kein TLS, um eine Verbindung zum Datenbankserver herzustellen. Wenn Sie TLS auf dem Datenbankserver aktivieren, versuchen die Knoten eine verschlüsselte Verbindung.

TLS erforderlich

HDS-Knoten verbinden sich nur, wenn der Datenbankserver TLS aushandeln kann.

TLS erforderlich und Zertifikat signer überprüfen

Dieser Modus gilt nicht für SQL Server-Datenbanken.

  • HDS-Knoten verbinden sich nur, wenn der Datenbankserver TLS aushandeln kann.

  • Nach dem Herstellen einer TLS-Verbindung vergleicht der Knoten den Unterzeichner des Zertifikats vom Datenbankserver mit der Zertifizierungsstelle im Datenbank-Stammzertifikat. Wenn sie nicht übereinstimmen, wird die Verbindung durch den Knoten hergestellt.

Verwenden Sie die Stammzertifikat-Steuerung unterhalb des Dropdown-Dropdowns, um den Stammzertifikat Option hochzuladen.

TLS erforderlich und Zertifikats signer und Hostname überprüfen

  • HDS-Knoten verbinden sich nur, wenn der Datenbankserver TLS aushandeln kann.

  • Nach dem Herstellen einer TLS-Verbindung vergleicht der Knoten den Unterzeichner des Zertifikats vom Datenbankserver mit der Zertifizierungsstelle im Datenbank-Stammzertifikat. Wenn sie nicht übereinstimmen, wird die Verbindung durch den Knoten hergestellt.

  • Die Knoten überprüfen außerdem, ob der Host-Name im Serverzertifikat mit dem Host-Namen im Feld Datenbank-Host und Port übereinstimmt. Die Namen müssen genau mit den Namen übereinstimmen, oder der Knoten unterfällt die Verbindung.

Verwenden Sie die Stammzertifikat-Steuerung unterhalb des Dropdown-Dropdowns, um den Stammzertifikat Option hochzuladen.

Wenn Sie das Stammzertifikat hochladen (falls erforderlich) und auf Weiter klicken, testet das HDS Setup Tool die TLS-Verbindung zum Datenbankserver. Das Tool überprüft auch den Zertifikat signer und den Hostnamen, falls vorhanden. Wenn ein Test fehlschlägt, zeigt das Tool eine Fehlermeldung an, in der das Problem beschrieben wird. Sie können auswählen, ob Sie den Fehler ignorieren und mit der Einrichtung fortfahren möchten. (Aufgrund von Verbindungsunterschieden können die HDS-Knoten möglicherweise eine TLS-Verbindung herstellen, auch wenn das HDS Setup Tool diese nicht erfolgreich testen kann.)

13

Konfigurieren Sie auf der Seite Systemprotokolle Ihren Syslogd-Server:

  1. Geben Sie die URL des Syslog-Servers ein.

    Wenn der Server nicht über die Knoten für Ihr HDS-Cluster DNS-aufgelöst werden kann, verwenden Sie eine IP-Adresse in der URL.

    Beispiel:
    udp://10.92.43.23:514 zeigt die Protokollierung auf dem Syslogd-Host 10.92.43.23 auf UDP-Port 514 an.

  2. Wenn Sie Ihren Server für die Verwendung der TLS-Verschlüsselung einrichten, aktivieren Sie das Kontrollkästchen Ist Ihr Syslog-Server für die SSL-Verschlüsselung konfiguriert?.

    Wenn Sie dieses Kontrollkästchen aktivieren, stellen Sie sicher, dass Sie eine TCP-URL wie tcp://10.92.43.23:514 eingeben.

  3. Wählen Sie in der Dropdown-Liste Syslog-Aufzeichnungsbeendigung auswählen die entsprechende Einstellung für Ihre ISO-Datei aus: Choose or NewLine wird für Graylog und Rsyslog TCP verwendet

    • Null-Byte -- \x00

    • Neue Zeile – \n – Wählen Sie diese Auswahl für Graylog und Rsyslog TCP.

  4. Klicken Sie auf Weiter.

14

(Optional) Sie können den Standardwert für einige Datenbankverbindungsparameter unter Erweiterte Einstellungen ändern. Im Allgemeinen ist dieser Parameter der einzige, den Sie ändern möchten:

app_datasource_connection_pool_maxSize: 10
15

Klicken Sie im Bildschirm Kennwort für Dienstkonten zurücksetzen auf Weiter .

Passwörter für Dienstkonten haben eine Lebensdauer von neun Monaten. Verwenden Sie diesen Bildschirm, wenn Ihre Passwörter bald ablaufen oder Sie sie zurücksetzen möchten, um frühere ISO-Dateien ungültig zu machen.

16

Klicken Sie auf Download ISO File (ISO-Datei herunterladen). Speichern Sie die Datei an einem leicht auffindbaren Speicherort.

17

Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System.

Sichern Sie die Sicherungskopie sicher. Die Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff auf Administratoren für Hybrid-Datensicherheit, die Konfigurationsänderungen vornehmen sollten.

18

Um das Setup-Tool herunterzufahren, geben Sie CTRL+C ein.

Nächste Schritte

Sichern Sie die ISO-Konfigurationsdatei. Sie benötigen sie, um weitere Knoten für die Wiederherstellung zu erstellen oder Konfigurationsänderungen vorzunehmen. Wenn Sie alle Kopien der ISO-Datei verlieren, haben Sie auch den Hauptschlüssel verloren. Die Schlüssel aus Ihrer PostgreSQL- oder Microsoft SQL Server-Datenbank können nicht wiederhergestellt werden.

Wir haben nie eine Kopie dieses Schlüssels und können nicht helfen, wenn Sie ihn verlieren.

Installieren des HDS Host OVA

Verwenden Sie dieses Verfahren, um eine virtuelle Maschine aus der OVA-Datei zu erstellen.
1

Melden Sie sich über den VMware vSphere-Client auf Ihrem Computer bei dem ESXi virtuellen Host an.

2

Wählen Sie Datei > OVF-Vorlage bereitstellen aus.

3

Geben Sie im Assistenten den Speicherort der OVA-Datei an, die Sie zuvor heruntergeladen haben, und klicken Sie auf Weiter.

4

Geben Sie auf der Seite Name und Ordner auswählen einen Namen der virtuellen Maschine für den Knoten ein (z. B. „HDS_Node_1“), wählen Sie einen Ort aus, an dem sich die Knotenbereitstellung der virtuellen Maschine befinden kann, und klicken Sie auf Weiter.

5

Wählen Sie auf der Seite Berechnungsressource auswählen die Ziel-Berechnungsressource aus, und klicken Sie auf Weiter.

Eine Validierungsprüfung wird ausgeführt. Nach Abschluss werden die Vorlagendetails angezeigt.

6

Überprüfen Sie die Vorlagendetails, und klicken Sie dann auf Weiter.

7

Wenn Sie aufgefordert werden, die Ressourcenkonfiguration auf der Seite Konfiguration auszuwählen, klicken Sie auf 4 CPU und dann auf Weiter.

8

Klicken Sie auf der Seite Speicher auswählen auf Weiter , um das standardmäßige Festplattenformat und die VM-Speicherrichtlinie zu akzeptieren.

9

Wählen Sie auf der Seite Netzwerke auswählen die Netzwerkoption aus der Liste der Einträge aus, um die gewünschte Konnektivität für die VM bereitzustellen.

10

Konfigurieren Sie auf der Seite Vorlage anpassen die folgenden Netzwerkeinstellungen:

  • Host-Name: Geben Sie den FQDN (Host-Name und Domäne) oder ein Wort des Host-Namens für den Knoten ein.

    • Sie müssen die Domäne nicht auf die Domäne ändern, über die Sie das X.509-Zertifikat erhalten haben.

    • Um eine erfolgreiche Registrierung in der Cloud sicherzustellen, verwenden Sie im FQDN oder dem Hostnamen, den Sie für den Knoten festgelegt haben, nur Kleinbuchstaben. Großbuchstaben werden derzeit nicht unterstützt.

    • Der FQDN darf insgesamt nicht länger als 64 Zeichen sein.

  • IP-Adresse: Geben Sie die IP-Adresse für die interne Schnittstelle des Knotens ein.

    Ihr Knoten hat jetzt eine interne IP-Adresse und einen DNS-Namen. DHCP wird nicht unterstützt.

  • Maske: Geben Sie die Adresse der Subnetzmaske in Punkt-Dezimalschrift ein. Beispiel: 255.255.255.0.
  • Gateway: Geben Sie die Gateway-IP-Adresse ein. Ein Gateway ist ein Netzwerkknoten, der als Zugangspunkt zu einem anderen Netzwerk dient.
  • DNS-Server: Geben Sie eine durch Kommas getrennte Liste von DNS-Servern ein, die die Übersetzung von Domänennamen in numerische IP-Adressen verarbeiten. (Es sind bis zu 4 DNS-Einträge zulässig.)
  • NTP-Server – Geben Sie den NTP-Server Ihrer Organisation oder einen anderen externen NTP-Server ein, der in Ihrer Organisation verwendet werden kann. Die Standard-NTP-Server funktionieren möglicherweise nicht für alle Unternehmen. Sie können auch eine durch Kommas getrennte Liste verwenden, um mehrere NTP-Server einzugeben.

  • Stellen Sie alle Knoten im selben Subnetz oder VLAN bereit, damit alle Knoten in einem Cluster zu Verwaltungszwecken von Clients in Ihrem Netzwerk aus erreichbar sind.

Wenn Sie dies vorziehen, können Sie die Konfiguration der Netzwerkeinstellungen überspringen und die Schritte unter Einrichten der Hybrid-Datensicherheit-VM befolgen, um die Einstellungen über die Knotenkonsole zu konfigurieren.

Die Option zum Konfigurieren der Netzwerkeinstellungen während der OVA-Bereitstellung wurde mit ESXi 7.0 getestet. In früheren Versionen ist diese Option möglicherweise nicht verfügbar.

11

Klicken Sie mit der rechten Maustaste auf die Knoten-VM, und wählen Sie Ein/Aus > Einschalten.

Die Hybrid-Datensicherheitssoftware wird als Gast auf dem VM-Host installiert. Sie können sich jetzt bei der Konsole anmelden und den Knoten konfigurieren.

Leitfaden zur Fehlerbehebung

Es kann zu einer Verzögerung von einigen Minuten kommen, bis die Knotencontainer angezeigt werden. Beim erstmaligen Start wird eine Bridge-Firewall-Nachricht angezeigt, während der Sie sich anmelden können.

Einrichten der Hybrid-Datensicherheits-VM

Mit diesem Verfahren können Sie sich zum ersten Mal bei der VM-Konsole des Hybrid-Datensicherheitsknotens anmelden und die Anmeldeinformationen festlegen. Sie können auch die Konsole verwenden, um die Netzwerkeinstellungen für den Knoten zu konfigurieren, falls Sie diese bei der OVA-Bereitstellung nicht konfiguriert haben.

1

Wählen Sie im VMware vSphere-Client, Ihre Hybrid-Datensicherheitsknoten-VM und daraufhin die Registerkarte Console (Konsole) aus.

Die VM fährt hoch und ein Anmeldebildschirm erscheint. Drücken Sie die Eingabetaste, falls der Anmeldebildschirm nicht angezeigt wird.
2

Verwenden Sie den folgenden Standard-Anmeldenamen und das Standardkennwort, um sich anzumelden und die Anmeldedaten zu ändern:

  1. Benutzername: admin

  2. Passwort: cisco

Da Sie sich zum ersten Mal bei der VM anmelden, müssen Sie das Administratorkennwort ändern.

3

Wenn Sie die Netzwerkeinstellungen bereits unter Installieren der HDS-Host-OVA konfiguriert haben, überspringen Sie den Rest dieses Verfahrens. Wählen Sie andernfalls im Hauptmenü die Option Konfiguration bearbeiten aus.

4

Richten Sie eine statische Konfiguration ein und geben Sie die Daten für IP-Adresse, Maske, Gateway und DNS ein. Ihr Knoten hat jetzt eine interne IP-Adresse und einen DNS-Namen. DHCP wird nicht unterstützt.

5

(Optional) Ändern Sie die Werte für Hostname, Domäne oder NTP-Server, wenn dies gemäß Ihren Netzwerkrichtlinien erforderlich ist.

Sie müssen die Domäne nicht auf die Domäne ändern, über die Sie das X.509-Zertifikat erhalten haben.

6

Speichern Sie die Netzwerkkonfiguration und starten Sie die VM neu, damit die Änderungen in Kraft treten.

Hochladen und Mounten der HDS-Konfigurations-ISO

Verwenden Sie dieses Verfahren, um die virtuelle Maschine über die ISO-Datei, die Sie mit dem HDS Setup Tool erstellt haben, zu konfigurieren.

Vorbereitungen

Da die ISO-Datei den Hauptschlüssel enthält, sollte sie nur auf Basis eines "Need-to-Know"-Basis zugänglich gemacht werden, für den Zugriff durch die Hybrid Data Security-VMs und alle Administratoren, die möglicherweise Änderungen vornehmen müssen. Stellen Sie sicher, dass nur diese Administratoren Zugriff auf den Datenspeicher haben.

1

Laden Sie die ISO-Datei von Ihrem Computer hoch:

  1. Klicken Sie im linken Navigationsbereich des VMware vSphere Client auf den ESXi-Server.

  2. Klicken Sie in der Hardwareliste der Registerkarte „Configuration“ (Konfiguration) auf Storage (Speicher).

  3. Rechtsklicken Sie in der Datenspeicher-Liste auf den Datenspeicher Ihrer VMs. Klicken Sie daraufhin auf Browse Datastore (Datenspeicher durchsuchen).

  4. Klicken Sie auf das Symbol „Upload Files“ (Dateien hochladen) und daraufhin auf Upload File (Datei hochladen).

  5. Navigieren Sie zum Speicherort der ISO-Datei auf Ihrem Computer und klicken Sie auf Open (Öffnen).

  6. Klicken Sie auf Yes (Ja), um die Upload/Download-Warnung zu bestätigen und schließen Sie den Datenspeicherdialog.

2

Mounten Sie die ISO-Datei:

  1. Rechtsklicken Sie im linken Navigationsbereich des VMware vSphere Client auf die VM. Klicken Sie daraufhin auf Edit Settings (Einstellungen bearbeiten).

  2. Klicken Sie auf OK, um die Warnung zu eingeschränkten Optionen zu bestätigen.

  3. Klicken Sie auf CD/DVD Drive 1, wählen Sie die Option zum Einbinden aus einer ISO-Datei des Datenspeichers aus und navigieren Sie zum Speicherort, an dem Sie die ISO-Konfigurationsdatei hochgeladen haben.

  4. Aktivieren Sie die Kontrollkästchen Connected (Verbunden) und Connect at power on (Beim Einschalten verbinden).

  5. Speichern Sie Ihre Änderungen und starten Sie die virtuelle Maschine neu.

Nächste Schritte

Wenn Ihre IT-Richtlinie dies erfordert, können Sie optional die ISO-Datei unmounten, nachdem alle Knoten die Konfigurationsänderungen übernommen haben. Weitere Informationen finden Sie unter (Optional) ISO nach HDS-Konfiguration unmounten .

Konfigurieren des HDS Knotens für Proxyintegration

Wenn die Netzwerkumgebung einen Proxy erfordert, geben Sie mit diesem Vorgang den Typ des Proxy an, den Sie in die Hybriddatensicherheit integrieren möchten. Wenn Sie einen transparenten Anrufproxy oder einen HTTPS expliziten Proxy wählen, können Sie die Stammzertifikat über die Schnittstelle des Knotens hochladen und installiert werden. Sie können auch die Proxyverbindung über die Schnittstelle überprüfen und mögliche Probleme beheben.

Vorbereitungen

1

Geben Sie die URL zur Einrichtung des HDS-Knotens https://[HDS Node IP or FQDN]/setup in einem Webbrowser ein, geben Sie die Admin-Anmeldeinformationen ein, die Sie für den Knoten eingerichtet haben, und klicken Sie dann auf Anmelden.

2

Gehen Sie zu Trust Store & Proxyund wählen Sie dann eine Option:

  • Kein Proxy – Die Standardoption, bevor Sie einen Proxy integrieren. Es ist keine Zertifikatsaktualisierung erforderlich.
  • Transparenter Proxy ohne Prüfung: Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert und sollten keine Änderungen erfordern, um mit einem Proxy ohne Prüfung zu arbeiten. Es ist keine Zertifikatsaktualisierung erforderlich.
  • Transparentes Prüfen des Proxys: Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert. Bei der Bereitstellung der Hybriden Datensicherheit sind keine HTTPS-Konfigurationshinstellungsänderungen erforderlich, allerdings benötigen die Hägg-Knoten eine Stammzertifikat, damit Sie dem Proxy Vertrauen. Die Inspektion von Proxys wird in der Regel von ihm verwendet, um Strategien durchzusetzen, welche Websites besichtigt werden können und welche Arten von Inhalten nicht zulässig sind. Diese Art von Proxy entschlüsselt den gesamten Datenverkehr (auch HTTPS).
  • Expliziter Proxy – Mit explizitem Proxy können Sie dem Client (HDS-Knoten) mitteilen, welcher Proxyserver verwendet werden soll. Diese Option unterstützt mehrere Authentifizierungstypen. Nachdem Sie diese Option aktiviert haben, müssen Sie folgende Informationen eingeben:

    1. Proxy-IP/FQDN: Adresse, die verwendet werden kann, um die Proxy-Maschine zu erreichen.

    2. Proxy-Port: Eine Portnummer, die der Proxy verwendet, um nach proxyem Datenverkehr zu suchen.

    3. Proxy-Protokoll – Wählen Sie http (zeigt alle Anforderungen an und steuert sie, die vom Client empfangen werden) oder https (stellt einen Kanal zum Server bereit, und der Client empfängt und validiert das Serverzertifikat). Wählen Sie eine Option, basierend auf Ihren Proxy-Server unterstützt.

    4. Authentifizierungstyp: Wählen Sie aus den folgenden Authentifizierungstypen aus:

      • Keine: Es ist keine weitere Authentifizierung erforderlich.

        Verfügbar für http oder HTTPS.

      • Basic – wird für einen HTTP-Benutzeragenten verwendet, um bei einer Anfrage einen Benutzernamen und ein Kennwort anzugeben. Zertifikatsformat verwendet.

        Verfügbar für http oder HTTPS.

        Wenn Sie diese Option auswählen, müssen Sie auch die Benutzername und das Passwort eingeben.

      • Digest – wird verwendet, um das Konto vor dem Senden sensibler Informationen zu bestätigen. Gibt eine Hashfunktion auf die Benutzername und das Passwort ein, bevor Sie über das Netzwerk senden.

        Nur für HTTPS Proxies verfügbar.

        Wenn Sie diese Option auswählen, müssen Sie auch die Benutzername und das Passwort eingeben.

Befolgen Sie die nächsten Schritte für einen transparenten Inspektionsproxy, einen HTTP expliziten Proxy mit Basisauthentifizierung oder einen HTTPS expliziten Proxy

3

Klicken Sie auf ein Zertifikat für das Stammzertifikat oder Endnutzerzertifikat hochladen, und navigieren Sie dann zu einer Stammzertifikat für den Proxy.

Das Zertifikat ist hochgeladen, aber noch nicht installiert, da Sie den Knoten neu starten müssen, um das Zertifikat zu installieren. Klicken Sie auf den Chevron Pfeil unter dem Namen des Zertifikats, um weitere Details zu erhalten, oder klicken Sie auf löschen, Wenn Sie Fehler gemacht haben und die Datei erneut hochladen möchten.

4

Klicken Sie auf Stellvertreterverbindung prüfen , um die Netzwerkverbindung zwischen dem Knoten und dem Proxy zu testen.

Wenn der Verbindungstest ausfällt, wird eine Fehlermeldung angezeigt, die den Grund und die Frage, wie Sie das Problem beheben können, anzeigt.

Wenn Sie eine Meldung sehen, dass eine externe DNS nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen. Diese Bedingung wird in vielen expliziten Proxykonfigurationen erwartet. Sie können mit dem Setup fortfahren, und der Knoten wird im gesperrten externen DNS-Server funktionieren. Wenn Sie glauben, dass es sich um einen Fehler handelt, führen Sie die folgenden Schritte aus. Siehe Modus für blockierte externe DNS-Auflösung deaktivieren.

5

Nach dem Durchführen des Verbindungstests, für expliziten Proxy, der nur auf HTTPS gesetzt ist, aktivieren Sie die Option so schalten Sie alle Port 443/444 https Anfragen aus diesem Knoten durch den expliziten Proxy Diese Einstellung benötigt 15 Sekunden, um wirksam zu werden.

6

Klicken Sie auf alle-Zertifizierungsstellen in den Trust Store installieren (erscheint für einen HTTPS expliziten Proxy oder einen transparenten Inspektionskrimi) oder Neustart (erscheint für einen HTTP expliziten Proxy), lesen Sie die Aufforderung, und klicken Sie dann auf in

Der Knoten startet innerhalb weniger Minuten.

7

Nachdem der Knoten erneut gestartet wurde, melden Sie sich bei Bedarf erneut an, und öffnen Sie dann die Übersichtsseite, um die Verbindungsüberprüfungen zu überprüfen, um sicherzustellen, dass Sie alle im grünen Status sind.

Die Proxyverbindung prüft nur eine Unterdomäne von WebEx.com. Wenn es Verbindungsprobleme gibt, ist ein häufiges Problem, dass einige der in den instructions aufgeführten-C-Domänen beim Proxy gesperrt werden.

Ersten Knoten im Cluster registrieren

Diese Aufgabe übernimmt den generischen Knoten, den Sie unter Einrichten der Hybrid Data Security-VM erstellt haben, registriert den Knoten bei der Webex Cloud und wandelt ihn in einen Hybrid Data Security-Knoten um.

Bei der Registrierung Ihres ersten Knotens erstellen Sie ein Cluster, zu dem der Knoten zugewiesen wird. Ein Cluster umfasst einen oder mehrere Knoten, die aus Redundanzgründen bereitgestellt werden.

Vorbereitungen

  • Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.

  • Stellen Sie sicher, dass alle Popupblocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.

1

Melden Sie sich bei https://admin.webex.com an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach der Karte „Hybrid-Datensicherheit“, und klicken Sie auf Einrichten.

4

Klicken Sie auf der sich öffnenden Seite auf Ressource hinzufügen.

5

Geben Sie im ersten Feld der Karte Knoten hinzufügen einen Namen für das Cluster ein, dem Sie Ihren Hybrid-Datensicherheitsknoten zuweisen möchten.

Benennen Sie Ihre Cluster nach Möglichkeit nach dem geografischen Standort der Clusterknoten. Beispiele: „San Francisco“ oder „New York“ oder „Dallas“

6

Geben Sie im zweiten Feld die interne IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) Ihres Knotens ein und klicken Sie unten auf dem Bildschirm auf Hinzufügen .

Diese IP-Adresse oder FQDN sollte mit der IP-Adresse oder dem Hostnamen und der Domäne übereinstimmen, die Sie beim Einrichten der Hybrid-Datensicherheit-VM verwendet haben.

Es wird eine Meldung angezeigt, dass Sie Ihren Knoten in Webex registrieren können.
7

Klicken Sie auf Go to Node (Zum Knoten wechseln).

Nach einigen Augenblicken werden Sie zu den Knoten-Konnektivitätstests für Webex-Dienste umgeleitet. Sind alle Tests erfolgreich, wird die Seite „Allow Access to Hybrid Data Security Node“ (Zugriff zu Hybrid-Datensicherheits-Knoten gewähren) angezeigt. Bestätigen Sie dort, dass Sie Ihrer Webex-Organisation die Zugriffsberechtigungen für Ihren Knoten erteilen möchten.

8

Aktivieren Sie das Kontrollkästchen Allow Access to Your Hybrid Data Security Node (Zugriff zu Ihrem Hybrid-Datensicherheits-Knoten gewähren) und klicken Sie anschließend auf Continue (Weiter).

Ihr Konto wird validiert, und die Meldung „Registrierung abgeschlossen“ zeigt an, dass Ihr Knoten jetzt in der Webex Cloud registriert ist.
9

Klicken Sie auf den Link oder schließen Sie die Registerkarte, um zur Partner Hub-Hybrid-Datensicherheitsseite zurückzukehren.

Auf der Seite Hybrid-Datensicherheit wird das neue Cluster mit dem registrierten Knoten auf der Registerkarte Ressourcen angezeigt. Der Knoten lädt die aktuelle Software automatisch aus der Cloud herunter.

Weitere Knoten erstellen und registrieren

Um Ihrem Cluster weitere Knoten hinzuzufügen, erstellen Sie einfach weitere VMs, mounten die ISO-Konfigurationsdatei und registrieren daraufhin den Knoten. Wir empfehlen, mindestens 3 Knoten zu betreiben.

Vorbereitungen

  • Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.

  • Stellen Sie sicher, dass alle Popupblocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.

1

Erstellen Sie eine neue virtuelle Maschine über die OVA und wiederholen Sie die Schritte unter Installieren der HDS-Host-OVA.

2

Richten Sie die Erstkonfiguration für die neue VM ein. Wiederholen Sie die Schritte unter Einrichten der Hybrid-Datensicherheit-VM.

3

Wiederholen Sie auf der neuen VM die Schritte unter HDS-Konfigurations-ISO hochladen und mounten.

4

Wenn Sie einen Proxy für Ihre Bereitstellung einrichten, wiederholen Sie die Schritte unter Konfigurieren des HDS-Knotens für die Proxy-Integration nach Bedarf für den neuen Knoten.

5

Registrieren Sie den Knoten.

  1. Wählen Sie unter https://admin.webex.com Services (Dienste) aus dem Menü auf der linken Bildschirmseite aus.

  2. Suchen Sie im Abschnitt „Cloud-Dienste“ nach der Hybrid-Datensicherheitskarte und klicken Sie auf Alle anzeigen.

    Die Seite „Hybrid-Datensicherheitsressourcen“ wird angezeigt.

  3. Der neu erstellte Cluster wird auf der Seite Ressourcen angezeigt.

  4. Klicken Sie auf den Cluster, um die dem Cluster zugewiesenen Knoten anzuzeigen.

  5. Klicken Sie rechts auf dem Bildschirm auf Knoten hinzufügen .

  6. Geben Sie die interne IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) Ihres Knotens ein und klicken Sie auf Hinzufügen.

    Es wird eine Seite mit einer Meldung geöffnet, die angibt, dass Sie Ihren Knoten in der Webex-Cloud registrieren können. Nach einigen Augenblicken werden Sie zu den Knoten-Konnektivitätstests für Webex-Dienste umgeleitet. Sind alle Tests erfolgreich, wird die Seite „Allow Access to Hybrid Data Security Node“ (Zugriff zu Hybrid-Datensicherheits-Knoten gewähren) angezeigt. Bestätigen Sie dort, dass Sie Ihrer Organisation die Zugriffsberechtigungen für Ihren Knoten erteilen möchten.

  7. Aktivieren Sie das Kontrollkästchen Allow Access to Your Hybrid Data Security Node (Zugriff zu Ihrem Hybrid-Datensicherheits-Knoten gewähren) und klicken Sie anschließend auf Continue (Weiter).

    Ihr Konto wird validiert, und die Meldung „Registrierung abgeschlossen“ zeigt an, dass Ihr Knoten jetzt in der Webex Cloud registriert ist.

  8. Klicken Sie auf den Link oder schließen Sie die Registerkarte, um zur Partner Hub-Hybrid-Datensicherheitsseite zurückzukehren.

    Die Popup-Meldung Knoten hinzugefügt wird auch unten auf dem Bildschirm in Partner Hub angezeigt.

    Ihr Knoten ist registriert.

Mandantenorganisationen für Multi-Tenant-Hybrid-Datensicherheit verwalten

Multi-Tenant HDS in Partner Hub aktivieren

Diese Aufgabe stellt sicher, dass alle Benutzer der Kundenorganisationen HDS für lokale Verschlüsselungsschlüssel und andere Sicherheitsdienste nutzen können.

Vorbereitungen

Stellen Sie sicher, dass Sie die Einrichtung Ihres Multi-Tenant-HDS-Clusters mit der erforderlichen Anzahl an Knoten abgeschlossen haben.

1

Melden Sie sich bei https://admin.webex.com an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach „Hybrid-Datensicherheit“ und klicken Sie auf Einstellungen bearbeiten.

4

Klicken Sie auf der Karte HDS-Status auf HDS-Aktivierung .

Mandantenorganisationen in Partner Hub hinzufügen

Weisen Sie bei dieser Aufgabe Kundenorganisationen Ihrem Hybrid-Datensicherheitscluster zu.

1

Melden Sie sich bei https://admin.webex.com an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach Hybrid-Datensicherheit und klicken Sie auf Alle anzeigen.

4

Klicken Sie auf den Cluster, dem ein Kunde zugewiesen werden soll.

5

Wechseln Sie zur Registerkarte Zugewiesene Kunden .

6

Klicken Sie auf Kunden hinzufügen.

7

Wählen Sie im Dropdown-Menü den Kunden aus, den Sie hinzufügen möchten.

8

Klicken Sie auf Hinzufügen. Der Kunde wird dem Cluster hinzugefügt.

9

Wiederholen Sie die Schritte 6 bis 8, um mehrere Kunden zu Ihrem Cluster hinzuzufügen.

10

Klicken Sie auf Fertig am unteren Bildschirmrand, nachdem Sie die Kunden hinzugefügt haben.

Nächste Schritte

Führen Sie das HDS-Einrichtungstool wie unter Erstellen von Kundenhauptschlüsseln (Customer Main Keys, CMKs) mit dem HDS-Einrichtungstool beschrieben aus, um die Einrichtung abzuschließen.

Kundenhauptschlüssel (Customer Main Keys, CMKs) mit dem HDS Setup-Tool erstellen

Vorbereitungen

Weisen Sie Kunden dem entsprechenden Cluster zu, wie unter Mandantenorganisationen in Partner Hub hinzufügen beschrieben. Führen Sie das HDS Setup-Tool aus, um den Einrichtungsprozess für die neu hinzugefügten Kundenorganisationen abzuschließen.

  • Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zu zugreifen, führen Sie Docker auf diesem Computer aus. Der Einrichtungsprozess erfordert die Anmeldeinformationen eines Partner Hub-Kontos mit vollen Administratorrechten für Ihre Organisation.

    Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxy-Einstellungen (Server, Port, Anmeldeinformationen) über die Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in Schritt 5 aufrufen. Diese Tabelle enthält einige mögliche Umgebungsvariablen:

    Beschreibung

    Variable

    HTTP-Proxy ohne Authentifizierung

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-Proxy ohne Authentifizierung

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-Proxy mit Authentifizierung

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-Proxy mit Authentifizierung

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Die von Ihnen generierte ISO-Konfigurationsdatei enthält den Hauptschlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die neueste Kopie dieser Datei, wenn Sie Konfigurationsänderungen wie die folgenden vornehmen:

    • Datenbank-Anmeldeinformationen

    • Zertifikats-Aktualisierungen

    • Änderungen an der Autorisierungsrichtlinie

  • Wenn Sie Datenbankverbindungen verschlüsseln möchten, richten Sie Ihre PostgreSQL- oder SQL Server-Bereitstellung für TLS ein.

Beim Einrichtungsprozess für die Hybrid-Datensicherheit wird eine ISO-Datei erstellt. Anschließend verwenden Sie die ISO, um Ihren Hybrid-Datensicherheitshost zu konfigurieren.

1

Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

In regulären Umgebungen:

docker rmi ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

docker rmi ciscocitg/hds-setup-fedramp:stable

Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

2

Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

docker login -u hdscustomersro
3

Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

In regulären Umgebungen:

docker pull ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

  • In regulären Umgebungen ohne Proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTP-Proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTPS-Proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In FedRAMP-Umgebungen ohne Proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express-Server hören auf Port 8080) sehen.

6

Das Setup-Tool unterstützt die Verbindung zu localhost über http://localhost:8080 nicht. Verwenden Sie http://127.0.0.1:8080 , um eine Verbindung zum Localhost herzustellen.

Navigieren Sie in einem Webbrowser zum Localhost, http://127.0.0.1:8080, und geben Sie bei Aufforderung den Admin-Benutzernamen für Partner Hub ein.

Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto festzulegen. Das Tool zeigt dann die Standard-Anmeldeaufforderung an.

7

Wenn Sie dazu aufgefordert werden, geben Sie Ihre Partner Hub-Administratoranmeldeinformationen ein und klicken Sie dann auf Anmelden , um den Zugriff auf die für die Hybrid-Datensicherheit erforderlichen Dienste zu erlauben.

8

Klicken Sie auf der Übersichtsseite des Setup Tool auf Get Started (Erste Schritte).

9

Klicken Sie auf der Seite ISO-Import auf Ja.

10

Wählen Sie Ihre ISO-Datei im Browser aus und laden Sie sie hoch.

Stellen Sie sicher, dass die Verbindung zu Ihrer Datenbank hergestellt wird, um eine CMK-Verwaltung durchzuführen.
11

Gehen Sie zur Registerkarte Mandanten-CMK-Verwaltung , auf der Sie die folgenden drei Möglichkeiten zur Verwaltung von Mandanten-CMKs finden.

  • CMK für alle ORGs erstellen oder CMK erstellen – Klicken Sie auf diese Schaltfläche im Banner am oberen Rand des Bildschirms, um CMKs für alle neu hinzugefügten Organisationen zu erstellen.
  • Klicken Sie auf die Schaltfläche CMKs verwalten auf der rechten Seite des Bildschirms und klicken Sie auf CMKs erstellen , um CMKs für alle neu hinzugefügten Organisationen zu erstellen.
  • Klicken Sie in der Tabelle neben dem Status der ausstehenden CMK-Verwaltung einer bestimmten Organisation, und klicken Sie auf CMK erstellen , um CMK für diese Organisation zu erstellen.
12

Sobald die CMK-Erstellung erfolgreich war, ändert sich der Status in der Tabelle von CMK-Verwaltung ausstehend zu CMK-Verwaltung.

13

Wenn die CMK-Erstellung nicht erfolgreich war, wird ein Fehler angezeigt.

Mandantenorganisationen entfernen

Vorbereitungen

Nach dem Entfernen können Benutzer von Kundenorganisationen HDS nicht mehr für ihre Verschlüsselungsanforderungen nutzen und verlieren alle vorhandenen Bereiche. Wenden Sie sich an Ihren Cisco-Partner oder Ihren Account Manager, bevor Sie Kundenorganisationen entfernen.

1

Melden Sie sich bei https://admin.webex.com an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach Hybrid-Datensicherheit und klicken Sie auf Alle anzeigen.

4

Klicken Sie auf der Registerkarte Ressourcen auf den Cluster, aus dem Sie Kundenorganisationen entfernen möchten.

5

Klicken Sie auf der sich öffnenden Seite auf Zugewiesene Kunden.

6

Klicken Sie in der angezeigten Liste der Kundenorganisationen auf ... auf der rechten Seite der Kundenorganisation, die Sie entfernen möchten, und klicken Sie auf Aus Cluster entfernen.

Nächste Schritte

Schließen Sie den Löschvorgang ab, indem Sie die CMKs der Kundenorganisationen sperren, wie unter CMKs von Tenants, die aus HDS entfernt wurden, beschrieben.

Widerrufen Sie die CMKs von Mandanten, die aus HDS entfernt wurden.

Vorbereitungen

Entfernen Sie Kunden aus dem entsprechenden Cluster, wie unter Mandantenorganisationen entfernen beschrieben. Führen Sie das HDS Setup-Tool aus, um den Entfernungsprozess für die Kundenorganisationen abzuschließen, die entfernt wurden.

  • Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zu zugreifen, führen Sie Docker auf diesem Computer aus. Der Einrichtungsprozess erfordert die Anmeldeinformationen eines Partner Hub-Kontos mit vollen Administratorrechten für Ihre Organisation.

    Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxy-Einstellungen (Server, Port, Anmeldeinformationen) über die Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in Schritt 5 aufrufen. Diese Tabelle enthält einige mögliche Umgebungsvariablen:

    Beschreibung

    Variable

    HTTP-Proxy ohne Authentifizierung

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-Proxy ohne Authentifizierung

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-Proxy mit Authentifizierung

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-Proxy mit Authentifizierung

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Die von Ihnen generierte ISO-Konfigurationsdatei enthält den Hauptschlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die neueste Kopie dieser Datei, wenn Sie Konfigurationsänderungen wie die folgenden vornehmen:

    • Datenbank-Anmeldeinformationen

    • Zertifikats-Aktualisierungen

    • Änderungen an der Autorisierungsrichtlinie

  • Wenn Sie Datenbankverbindungen verschlüsseln möchten, richten Sie Ihre PostgreSQL- oder SQL Server-Bereitstellung für TLS ein.

Beim Einrichtungsprozess für die Hybrid-Datensicherheit wird eine ISO-Datei erstellt. Anschließend verwenden Sie die ISO, um Ihren Hybrid-Datensicherheitshost zu konfigurieren.

1

Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

In regulären Umgebungen:

docker rmi ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

docker rmi ciscocitg/hds-setup-fedramp:stable

Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

2

Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

docker login -u hdscustomersro
3

Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

In regulären Umgebungen:

docker pull ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

  • In regulären Umgebungen ohne Proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTP-Proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTPS-Proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In FedRAMP-Umgebungen ohne Proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express-Server hören auf Port 8080) sehen.

6

Das Setup-Tool unterstützt die Verbindung zu localhost über http://localhost:8080 nicht. Verwenden Sie http://127.0.0.1:8080 , um eine Verbindung zum Localhost herzustellen.

Navigieren Sie in einem Webbrowser zum Localhost, http://127.0.0.1:8080, und geben Sie bei Aufforderung den Admin-Benutzernamen für Partner Hub ein.

Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto festzulegen. Das Tool zeigt dann die Standard-Anmeldeaufforderung an.

7

Wenn Sie dazu aufgefordert werden, geben Sie Ihre Partner Hub-Administratoranmeldeinformationen ein und klicken Sie dann auf Anmelden , um den Zugriff auf die für die Hybrid-Datensicherheit erforderlichen Dienste zu erlauben.

8

Klicken Sie auf der Übersichtsseite des Setup Tool auf Get Started (Erste Schritte).

9

Klicken Sie auf der Seite ISO-Import auf Ja.

10

Wählen Sie Ihre ISO-Datei im Browser aus und laden Sie sie hoch.

11

Gehen Sie zur Registerkarte Mandanten-CMK-Verwaltung , auf der Sie die folgenden drei Möglichkeiten zur Verwaltung von Mandanten-CMKs finden.

  • CMK für alle ORGs sperren oder CMK sperren – Klicken Sie auf diese Schaltfläche im Banner am oberen Bildschirmrand, um die CMKs aller Organisationen zu sperren, die entfernt wurden.
  • Klicken Sie auf die Schaltfläche CMKs verwalten auf der rechten Seite des Bildschirms und klicken Sie auf CMKs sperren , um die CMKs aller Organisationen zu sperren, die entfernt wurden.
  • Klicken in der Nähe der CMK wird widerrufen Status einer bestimmten Organisation in der Tabelle und klicken Sie auf CMK widerrufen um CMK für diese bestimmte Organisation zu widerrufen.
12

Sobald die CMK-Sperrung erfolgreich ist, wird die Kundenorganisation nicht mehr in der Tabelle angezeigt.

13

Wenn die CMK-Sperrung nicht erfolgreich ist, wird ein Fehler angezeigt.

Testen Ihrer Hybrid-Datensicherheitsbereitstellung

Testen Ihrer Bereitstellung für die Hybrid-Datensicherheit

Mit diesem Verfahren können Sie Verschlüsselungsszenarien für die Multi-Tenant-Hybrid-Datensicherheit testen.

Vorbereitungen

  • Richten Sie die Multi-Tenant-Hybrid-Datensicherheitsbereitstellung ein.

  • Stellen Sie sicher, dass Sie auf das Syslog zugreifen können, um zu überprüfen, ob wichtige Anforderungen an Ihre Multi-Tenant-Hybrid-Datensicherheitsbereitstellung weitergeleitet werden.

1

Schlüssel für einen bestimmten Bereich werden vom Ersteller des Bereichs festgelegt. Melden Sie sich bei der Webex-App als einer der Benutzer der Kundenorganisation an und erstellen Sie einen Bereich.

Wenn Sie die Hybrid-Datensicherheitsbereitstellung deaktivieren, sind Inhalte in von Benutzern erstellten Bereichen nicht mehr verfügbar, nachdem die im Client zwischengespeicherten Kopien der Verschlüsselungscodes ersetzt wurden.

2

Senden Sie Nachrichten an den neuen Bereich.

3

Überprüfen Sie die Syslog-Ausgabe, um sicherzustellen, dass die Schlüsselanforderungen an Ihre Hybrid-Datensicherheitsbereitstellung weitergeleitet werden.

  1. Um zunächst zu prüfen, ob ein Benutzer einen sicheren Kanal zum KMS einrichtet, filtern Sie nach kms.data.method=create und kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Sie sollten einen Eintrag wie den folgenden finden (IDs wurden zur besseren Lesbarkeit gekürzt):
    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Um zu überprüfen, ob ein Benutzer einen vorhandenen Schlüssel im KMS anfordert, filtern Sie nach kms.data.method=retrieve und kms.data.type=KEY:

    Sie sollten einen Eintrag wie den folgenden finden:
    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Um nach einem Benutzer zu suchen, der die Erstellung eines neuen KMS-Schlüssels anfordert, filtern Sie nach kms.data.method=create und kms.data.type=KEY_COLLECTION:

    Sie sollten einen Eintrag wie den folgenden finden:
    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Um zu prüfen, ob ein Benutzer die Erstellung eines neuen KMS-Ressourcenobjekts (KRO) anfordert, wenn ein Bereich oder eine andere geschützte Ressource erstellt wird, filtern Sie nach kms.data.method=create und kms.data.type=RESOURCE_COLLECTION:

    Sie sollten einen Eintrag wie den folgenden finden: 
    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Überwachen des Status der Hybrid-Datensicherheit

Eine Statusanzeige in Partner Hub zeigt Ihnen an, ob die Multi-Tenant-Hybrid-Datensicherheitsbereitstellung gut funktioniert. Für stärker proaktive Warnungen können Sie sich für E-Mail-Benachrichtigungen anmelden. Sie werden benachrichtigt, wenn Alarme oder Software-Upgrades den Dienst beeinträchtigen.
1

Wählen Sie in Partner Hub im Menü auf der linken Seite des Bildschirms die Option Dienste aus.

2

Suchen Sie im Abschnitt „Cloud-Dienste“ nach „Hybrid-Datensicherheit“ und klicken Sie auf Einstellungen bearbeiten.

Die Seite „Hybrid Data Security Settings“ (Einstellungen für Hybrid-Datensicherheit) wird angezeigt.
3

Geben Sie im Abschnitt zu E-Mail-Benachrichtigungen eine oder mehrere Adressen durch Komma getrennt ein und drücken Sie Enter.

HDS-Bereitstellung verwalten

Verwalten der HDS-Bereitstellung

Verwenden Sie die hier beschriebenen Aufgaben, um Ihre Hybrid-Datensicherheitsbereitstellung zu verwalten.

Festlegen des Upgrade-Zeitplans für Cluster

Software-Upgrades für Hybrid Data Security werden automatisch auf Cluster-Ebene ausgeführt, um sicherzustellen, dass auf allen Knoten immer die gleiche Software-Version ausgeführt wird. Die Upgrades werden gemäß des Upgrade-Zeitplans für den Cluster ausgeführt. Sie können neue verfügbare Software-Upgrades optional auch vor dem geplanten Upgrade-Zeitpunkt manuell installieren. Sie können einen eigenen Upgrade-Zeitplan festlegen oder den Standardzeitplan um 3:00 Uhr morgens täglich für USA: Amerika/Los Angeles verwenden. Bei Bedarf können Sie anstehende Upgrades auch verzögern.

So legen Sie den Upgrade-Zeitplan fest:

1

Melden Sie sich bei Partner Hub an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach „Hybrid-Datensicherheit“ und klicken Sie auf Einrichten.

4

Wählen Sie auf der Seite „Hybrid-Datensicherheitsressourcen“ den Cluster aus.

5

Klicken Sie auf die Registerkarte Cluster-Einstellungen .

6

Wählen Sie auf der Seite „Cluster-Einstellungen“ unter „Upgrade-Zeitplan“ die Uhrzeit und die Zeitzone für den Upgrade-Zeitplan aus.

Hinweis: Unter der Zeitzone wird der nächste verfügbare Zeitpunkt für ein Upgrade angezeigt. Sie können das Upgrade bei Bedarf auf den folgenden Tag verschieben, indem Sie auf Um 24 Stunden verschieben klicken.

Ändern der Knotenkonfiguration

Gelegentlich kann es erforderlich sein, die Konfiguration Ihres Hybrid-Datensicherheitsknotens zu ändern, z. B.:

  • Änderung der x.509-Zertifikate aufgrund Ablaufs oder anderer Gründe.

    Wir unterstützen keine Änderung des CN-Domänennamens eines Zertifikats. Die Domäne muss mit der Originaldomäne übereinstimmen, die zur Registrierung des Clusters verwendet wurde.

  • Datenbankeinstellungen werden aktualisiert, um auf eine Replik der PostgreSQL- oder Microsoft SQL Server-Datenbank zu wechseln.

    Wir unterstützen keine Migration von Daten von PostgreSQL zu Microsoft SQL Server oder auf den entgegengesetzten Weg. Um die Datenbankumgebung zu wechseln, starten Sie eine neue Bereitstellung von Hybrid Data Security.

  • Erstellen einer neuen Konfiguration, um ein neues Datenzentrum vorzubereiten.

Aus Sicherheitsgründen verwendet Hybrid Data Security Dienstkonto-Passwörter mit einer Laufzeit von neun Monaten. Nachdem das HDS Setup Tool diese Passwörter generiert hat, stellen Sie sie für jeden Ihrer HDS-Knoten in der ISO-Konfigurationsdatei bereit. Wenn die Kennwörter Ihrer Organisation fast ablaufen, erhalten Sie eine Benachrichtigung vom Webex-Team, mit der Sie das Passwort für Ihr Computerkonto zurücksetzen können. (Die E-Mail enthält den Text "Verwenden Sie die Maschinenkonto-API, um das Passwort zu aktualisieren"). Wenn Ihre Passwörter noch nicht abgelaufen sind, bietet Ihnen das Tool zwei Optionen:

  • Weiches Zurücksetzen – Das alte und das neue Kennwort können beide bis zu 10 Tage lang verwendet werden. Verwenden Sie diesen Zeitraum, um die ISO-Datei der Knoten schrittweise zu ersetzen.

  • Harte Zurücksetzung: Die alten Passwörter funktionieren sofort nicht mehr.

Wenn Ihre Passwörter ohne Zurücksetzen ablaufen, wirkt sich dies auf Ihren HDS-Dienst aus, was ein sofortiges Zurücksetzen und Ersetzen der ISO-Datei auf allen Knoten erfordert.

Verwenden Sie dieses Verfahren, um eine neue ISO-Konfigurationsdatei zu generieren und auf Ihren Cluster anzuwenden.

Vorbereitungen

  • Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zu zugreifen, führen Sie Docker auf diesem Computer aus. Der Einrichtungsprozess erfordert die Anmeldeinformationen eines Partner Hub-Kontos mit vollen Partneradministratorrechten.

    Wenn Sie keine Docker Desktop-Lizenz haben, können Sie Podman Desktop verwenden, um das HDS Setup Tool für die Schritte 1.a bis 1.e im folgenden Verfahren auszuführen. Weitere Details finden Sie unter HDS Setup Tool mit Podman Desktop ausführen .

    Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxy-Einstellungen (Server, Port, Anmeldeinformationen) über die Docker-Umgebungsvariablen an, wenn Sie den Docker Container in 1.e aufrufen. Diese Tabelle enthält einige mögliche Umgebungsvariablen:

    Beschreibung

    Variable

    HTTP-Proxy ohne Authentifizierung

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-Proxy ohne Authentifizierung

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-Proxy mit Authentifizierung

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-Proxy mit Authentifizierung

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Um eine neue Konfiguration zu erstellen, benötigen Sie eine Kopie der aktuellen ISO-Konfigurationsdatei. Die ISO enthält den Masterschlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die ISO-Datei, wenn Sie Konfigurationsänderungen vornehmen, wie z. B. Datenbank-Anmeldeinformationen, Zertifikataktualisierungen oder Änderungen an der Autorisierungsrichtlinie.

1

Führen Sie auf einem lokalen Computer, auf dem Docker läuft, das HDS Setup Tool aus.

  1. Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

    In regulären Umgebungen:

    docker rmi ciscocitg/hds-setup:stable

    In FedRAMP-Umgebungen:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

  2. Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

    docker login -u hdscustomersro

  3. Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

    In regulären Umgebungen:

    docker pull ciscocitg/hds-setup:stable

    In FedRAMP-Umgebungen:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Stellen Sie sicher, dass Sie für hierfür per Pull das neueste Setup-Tool aufrufen. Versionen des Tools, die vor dem 22. Februar 2018 erstellt wurden, verfügen nicht über die Bildschirme zum Zurücksetzen des Passworts.

  5. Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

    • In regulären Umgebungen ohne Proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • In regulären Umgebungen mit einem HTTP-Proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • In regulären Umgebungen mit einem HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • In FedRAMP-Umgebungen ohne Proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express-Server hören auf Port 8080) sehen.

  6. Verwenden Sie einen Browser, um sich mit dem Localhost zu http://127.0.0.1:8080verbinden.

    Das Setup-Tool unterstützt die Verbindung zu localhost über http://localhost:8080 nicht. Verwenden Sie http://127.0.0.1:8080 , um eine Verbindung zum Localhost herzustellen.

  7. Wenn Sie dazu aufgefordert werden, geben Sie Ihre Partner Hub-Kundenanmeldeinformationen ein und klicken Sie dann auf Akzeptieren , um fortzufahren.

  8. Importieren Sie die aktuelle ISO-Konfigurationsdatei.

  9. Befolgen Sie die Anweisungen, um das Tool abzuschließen und die aktualisierte Datei herunterzuladen.

    Um das Setup-Tool herunterzufahren, geben Sie CTRL+C ein.

  10. Erstellen Sie in einem anderen Rechenzentrum eine Sicherungskopie der aktualisierte Datei.

2

Wenn Sie nur einen HDS-Knoten ausführen, erstellen Sie eine neue VM für den Hybrid-Datensicherheitsknoten und registrieren Sie sie mithilfe der neuen ISO-Konfigurationsdatei. Detaillierte Anweisungen finden Sie unter Weitere Knoten erstellen und registrieren.

  1. Installieren des HDS Host OVA

  2. Richten Sie die HDS-VM ein.

  3. Mounten Sie die aktualisierte Konfigurationsdatei.

  4. Registrieren Sie den neuen Knoten im Partner Hub.

3

Mounten Sie bei vorhandenen HDS-Knoten, auf denen die ältere Konfigurationsdatei ausgeführt wird, die ISO-Datei. Führen Sie für jeden Knoten des Knotens folgende Schritte durch, indem Sie jeden Knoten aktualisieren, bevor Sie den nächsten Knoten deaktivieren:

  1. Deaktivieren Sie die Virtuelle Maschine.

  2. Klicken Sie im linken Navigationsbereich mit der rechten Maustaste auf die VM und klicken Sie auf Einstellungen bearbeiten .

  3. Klicken Sie auf CD/DVD Drive 1, wählen Sie die Option zum Einbinden aus einer ISO-Datei aus und navigieren Sie zum Speicherort, an dem Sie die neue ISO-Konfigurationsdatei heruntergeladen haben.

  4. Aktivieren Sie das Kontrollkästchen Verbinden beim Einschalten.

  5. Speichern Sie Ihre Änderungen und starten Sie Sie die virtuelle Maschine.

4

Wiederholen Sie Schritt 3, um bei jedem weiteren Knoten zu ersetzen, auf dem noch die alte Konfiguration ausgeführt wird, die Konfiguration zu ersetzen.

Blockierte externe DNS Auflösungsmodus deaktivieren

Wenn Sie einen Knoten registrieren oder die Proxykonfiguration des Knotens überprüfen, testet das Verfahren die DNS und die Konnektivität der Cisco WebEx. Wenn der DNS-Server des Knotens öffentliche DNS nicht auflösen kann, geht der Knoten automatisch in den gesperrten externen DNS-Server.

Wenn Ihre Knoten öffentliche DNS über interne DNS-Server auflösen können, aktivieren Sie diesen Modus, indem Sie den Proxyverbindungstest für jeden Knoten deaktivieren.

Vorbereitungen

Stellen Sie sicher, dass Ihre internen DNS-Server öffentliche DNS und ihre Knoten mit Ihnen kommunizieren können.
1

Öffnen Sie in einem Webbrowser die Schnittstelle für den Hybrid-Datensicherheitsknoten (IP-Adresse/Einrichtung, https://192.0.2.0/setup), geben Sie beispielsweise die für den Knoten eingerichteten Admin-Anmeldeinformationen ein, und klicken Sie dann auf Anmelden.

2

Gehen Sie zu Übersicht (Standardseite).

Wenn diese Option aktiviert ist, wird die externe DNS auf "Ja" gesetzt .

3

Gehen Sie zur Seite Vertrauensspeicher und Proxy .

4

Klicken Sie auf Stellvertreterverbindung prüfen.

Wenn Sie eine Meldung sehen, dass eine externe DNS nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen und wird in diesem Modus verbleiben. Andernfalls sollte nach dem Neustart des Knotens und der Rückfahrt zur Übersichtsseite die gesperrte externe DNS auf "Nein" gesetzt werden.

Nächste Schritte

Wiederholen Sie den Proxy Verbindungstest für jeden Knoten in Ihrem Cisco Data SicherheitCluster.

Entfernen eines Knotens

Mit diesem Verfahren können Sie einen Hybrid-Datensicherheitsknoten aus der Webex-Cloud entfernen. Löschen Sie nach dem Entfernen des Knotens aus dem Cluster die virtuelle Maschine, um den weiteren Zugriff auf Ihre Sicherheitsdaten zu verhindern.
1

Melden Sie sich über den VMware vSphere-Client auf Ihrem Computer bei dem ESXi virtuellen Host an und schalten Sie die virtuelle Maschine aus.

2

Entfernen des Knotens:

  1. Melden Sie sich bei Partner Hub an und wählen Sie Dienste aus.

  2. Klicken Sie auf der Hybrid-Datensicherheitskarte auf Alle anzeigen , um die Seite „Hybrid-Datensicherheitsressourcen“ anzuzeigen.

  3. Wählen Sie Ihr Cluster aus, um den Bereich „Übersicht“ anzuzeigen.

  4. Klicken Sie auf den Knoten, den Sie entfernen möchten.

  5. Klicken Sie in dem rechts angezeigten Bereich auf Registrierung dieses Knotens aufheben .

  6. Sie können die Registrierung des Knotens auch aufheben, indem Sie auf der rechten Seite des Knotens auf Diesen Knoten entfernen klicken.

3

Löschen Sie die VM im vSphere-Client. (Klicken Sie im linken Navigationsbereich mit der rechten Maustaste auf die VM, und klicken Sie auf Löschen.)

Wenn Sie die VM nicht löschen, denken Sie daran, die Konfigurations-ISO-Datei zu deinstallieren. Ohne die ISO-Datei können Sie die VM nicht verwenden, um auf Ihre Sicherheitsdaten zuzugreifen.

Notfallwiederherstellung mit Standby-Rechenzentrum

Der wichtigste Dienst, den Ihr Hybrid-Datensicherheitscluster bietet, ist die Erstellung und Speicherung von Schlüsseln, mit denen Nachrichten und andere in der Webex-Cloud gespeicherte Inhalte verschlüsselt werden. Für jeden Benutzer innerhalb der Organisation, der der Hybrid-Datensicherheit zugewiesen ist, werden neue Anforderungen zur Schlüsselerstellung an das Cluster weitergeleitet. Der Cluster ist zudem dafür verantwortlich, die erstellten Schlüssel an Benutzer zurückzusenden, die zum Abrufen von Schlüsseln berechtigt sind. Hierzu gehören beispielsweise Mitglieder eines Gesprächsraums.

Da der Cluster die wichtige Funktion erfüllt, diese Schlüssel bereitzustellen, ist es höchst wichtig, dass der Cluster in Betrieb bleibt und korrekte Backups erstellt werden. Der Verlust der Hybrid-Datensicherheitsdatenbank oder der für das Schema verwendeten Konfigurations-ISO führt zu einem NICHT BEHEBBAREN VERLUST von Kundeninhalten. Die folgenden Praktiken sind zwingend erforderlich, um einem derartigen Verlust vorzubeugen:

Wenn eine Katastrophe dazu führt, dass die HDS-Bereitstellung im primären Rechenzentrum nicht mehr verfügbar ist, führen Sie dieses Verfahren aus, um ein manuelles Failover auf das Standby-Rechenzentrum durchzuführen.

Vorbereitungen

Heben Sie die Registrierung aller Knoten aus Partner Hub auf, wie unter Knoten entfernen erwähnt. Verwenden Sie die neueste ISO-Datei, die für die Knoten des zuvor aktiven Clusters konfiguriert wurde, um das unten genannte Failover-Verfahren durchzuführen.
1

Starten Sie das HDS-Setup-Tool und führen Sie die unter Erstellen einer Konfigurations-ISO für die HDS-Hosts beschriebenen Schritte aus.

2

Schließen Sie den Konfigurationsprozess ab und speichern Sie die ISO-Datei an einem leicht auffindbaren Speicherort.

3

Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Sichern Sie die Sicherungskopie sicher. Die Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff auf Administratoren für Hybrid-Datensicherheit, die Konfigurationsänderungen vornehmen sollten.

4

Rechtsklicken Sie im linken Navigationsbereich des VMware vSphere Client auf die VM. Klicken Sie daraufhin auf Edit Settings (Einstellungen bearbeiten).

5

Klicken Sie auf Einstellungen bearbeiten >CD/DVD-Laufwerk 1 und wählen Sie Datenspeicher-ISO-Datei.

Stellen Sie sicher, dass Verbunden und Verbinden beim Einschalten aktiviert sind, damit aktualisierte Konfigurationsänderungen nach dem Starten der Knoten wirksam werden können.

6

Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 15 Minuten lang keine Alarme vorhanden sind.

7

Registrieren Sie den Knoten im Partner Hub. Weitere Informationen finden Sie unter Ersten Knoten im Cluster registrieren.

8

Wiederholen Sie den Vorgang für jeden Knoten im Standby-Rechenzentrum.

Nächste Schritte

Wenn das primäre Rechenzentrum nach dem Failover wieder aktiv wird, die Registrierung der Knoten des Standby-Rechenzentrums aufheben und den oben genannten Prozess der ISO-Konfiguration und der Registrierung der Knoten des primären Rechenzentrums wiederholen.

(Optional) ISO nach HDS-Konfiguration aushängen

Die Standard-HDS-Konfiguration wird mit eingebauter ISO ausgeführt. Einige Kunden ziehen es jedoch vor, die ISO-Dateien nicht kontinuierlich eingebunden zu lassen. Sie können die ISO-Datei unmounten, nachdem alle HDS-Knoten die neue Konfiguration übernommen haben.

Sie verwenden weiterhin die ISO-Dateien, um Konfigurationsänderungen vorzunehmen. Wenn Sie eine neue ISO erstellen oder eine ISO über das Setup-Tool aktualisieren, müssen Sie die aktualisierte ISO auf allen HDS-Knoten mounten. Wenn alle Knoten die Konfigurationsänderungen übernommen haben, können Sie die ISO mit diesem Verfahren erneut deinstallieren.

Vorbereitungen

Aktualisieren Sie alle Ihre HDS-Knoten auf Version 2021.01.22.4720 oder höher.

1

Fahren Sie einen Ihrer HDS-Knoten herunter.

2

Wählen Sie in der vCenter Server-Appliance den HDS-Knoten aus.

3

Wählen Sie Einstellungen bearbeiten > CD/DVD-Laufwerk und deaktivieren Sie ISO-Datei für Datenspeicher.

4

Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 20 Minuten lang keine Alarme angezeigt werden.

5

Wiederholen Sie dies für jeden HDS-Knoten der Reihe nach.

Problembehandlung der Hybrid-Datensicherheit

Anzeigen von Warnungen und Beheben von Fehlern

Eine Hybrid-Datensicherheitsbereitstellung gilt als nicht verfügbar, wenn alle Knoten im Cluster nicht erreichbar sind oder der Cluster so langsam arbeitet, dass eine Zeitüberschreitung erforderlich ist. Wenn Benutzer Ihr Hybrid-Datensicherheitscluster nicht erreichen können, treten folgende Symptome auf:

  • Neue Bereiche können nicht erstellt werden (es konnten keine neuen Schlüssel erstellt werden)

  • Nachrichten- und Bereichstitel konnten für folgende Benutzer nicht entschlüsselt werden:

    • Neue zu einem Bereich hinzugefügte Benutzer (Schlüssel konnten nicht abgerufen werden)

    • Vorhandene Benutzer in einem Bereich, der einen neuen Client verwendet (Schlüssel konnten nicht abgerufen werden)

  • Vorhandene Benutzer in einem Bereich werden weiterhin erfolgreich ausgeführt, sofern ihre Clients über einen Cache für Verschlüsselungsschlüssel verfügen

Es ist wichtig, dass Sie Ihren Hybrid-Datensicherheitscluster ordnungsgemäß überwachen und alle Warnungen umgehend adressieren, um Dienstunterbrechungen zu vermeiden.

Warnungen

Wenn es ein Problem mit der Einrichtung der Hybrid-Datensicherheit gibt, zeigt Partner Hub Warnungen an den Administrator der Organisation an und sendet E-Mails an die konfigurierte E-Mail-Adresse. Die Warnungen betreffen viele gängige Szenarien.

Tabelle 1: Häufig auftretende Probleme und Schritte zur Problembehebung

Alarm

Vorgang

Fehler beim Zugriff auf die lokale Datenbank.

Überprüfen Sie das System auf Datenbankfehler oder lokale Netzwerkprobleme.

Fehler beim Herstellen einer Verbindung zur lokalen Datenbank.

Vergewissern Sie sich, dass der Datenbankserver verfügbar ist und die richtigen Dienstkonto-Anmeldeinformationen in der Knotenkonfiguration verwendet wurden.

Fehler beim Zugriff auf den Clouddienst.

Überprüfen Sie, ob die Knoten auf die Webex-Server zugreifen können, wie unter Externe Verbindungsanforderungen angegeben.

Registrierung des Clouddiensts wird erneuert.

Registrierung von Clouddiensten wurde verworfen. Erneuerung der Registrierung wird durchgeführt.

Registrierung des Clouddiensts wurde verworfen.

Registrierung von Clouddiensten wurde beendet. Dienst wird beendet.

Dienst noch nicht aktiviert.

Aktivieren Sie HDS in Partner Hub.

Konfigurierte Domäne stimmt nicht mit dem Serverzertifikat überein.

Vergewissern Sie sich, dass das Serverzertifikat mit der konfigurierten Dienstaktivierungsdomäne übereinstimmt.

Die wahrscheinlichste Ursache lautet, dass die Zertifikat-CN vor kurzem geändert wurde und nun von der CN abweicht, die während der ursprünglichen Einrichtung verwendet wurde.

Clouddienste konnten nicht authentifiziert werden.

Prüfen Sie die Daten auf korrekte Eingabe und einen möglichen Ablauf der Dienstkonto-Anmeldeinformationen.

Lokale Schlüsselspeicherdatei konnte nicht geöffnet werden.

Überprüfen Sie die lokale Schlüsselspeicherdatei auf Integrität und Kennwortgenauigkeit.

Lokales Serverzertifikat ist ungültig.

Überprüfen Sie das Ablaufdatum des Serverzertifikats und vergewissern Sie sich, dass es von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.

Metriken konnten nicht gepostet werden.

Überprüfen Sie den Zugriff des lokalen Netzwerks auf externe Clouddienste.

Das Verzeichnis /media/configdrive/hds ist nicht vorhanden.

Überprüfen Sie die ISO-Mountkonfiguration auf dem virtuellen Host. Vergewissern Sie sich, dass die ISO-Datei vorhanden ist, die beim Neustart für das Mounten konfiguriert ist und das Mounten erfolgreich ausgeführt wird.

Die Einrichtung der Mandanten-Organisation ist für die hinzugefügten Organisationen nicht abgeschlossen

Schließen Sie die Einrichtung ab, indem Sie mit dem HDS Setup Tool CMKs für neu hinzugefügte Mandantenorganisationen erstellen.

Die Einrichtung der Mandantenorganisation ist für die entfernten Organisationen nicht abgeschlossen

Schließen Sie die Einrichtung ab, indem Sie die CMKs der Mandantenorganisationen, die mit dem HDS Setup Tool entfernt wurden, widerrufen.

Problembehandlung der Hybrid-Datensicherheit

Beachten Sie bei der Behebung von Problemen mit Hybrid Data Security die folgenden allgemeinen Richtlinien.
1

Prüfen Sie Partner Hub auf Warnungen und beheben Sie alle Elemente, die Sie dort finden. Weitere Informationen finden Sie im Bild unten.

2

Überprüfen Sie die Syslog-Serverausgabe auf Aktivität aus der Hybrid-Datensicherheitsbereitstellung. Filtern Sie nach Wörtern wie „Warnung“ und „Fehler“, um bei der Fehlerbehebung zu helfen.

3

Kontaktieren Sie den Cisco-Support.

Sonstige Hinweise

Bekannte Probleme mit Hybrid-Datensicherheit

  • Wenn Sie Ihren Hybrid-Datensicherheitscluster herunterfahren (indem Sie ihn im Partner Hub löschen oder alle Knoten herunterfahren), Ihre Konfigurations-ISO-Datei verlieren oder den Zugriff auf die Keystore-Datenbank verlieren, können Webex-App-Benutzer von Kundenorganisationen keine Bereiche in ihrer Personenliste mehr verwenden, die mit Schlüsseln von Ihrem KMS erstellt wurden. Wir haben aktuell keine Problemumgehung oder Lösung für dieses Problem und empfehlen Ihnen dringend, Ihre HDS-Dienste nicht herunterzufahren, sobald sie aktive Benutzerkonten verarbeiten.

  • Ein Client, der über eine bestehende ECDH-Verbindung zu einem KMS verfügt, hält die Verbindung für einen Zeitraum aufrecht (ca. eine Stunde).

HDS Setup Tool mit Podman Desktop ausführen

Podman ist ein kostenloses und Open-Source-Container-Management-Tool, das eine Möglichkeit zum Ausführen, Verwalten und Erstellen von Containern bietet. Podman Desktop kann von https://podman-desktop.io/downloads heruntergeladen werden.

  • Das HDS Setup Tool wird als Docker-Container auf einem lokalen Computer ausgeführt. Um darauf zuzugreifen, laden Sie Podman herunter und führen Sie ihn auf diesem Computer aus. Für den Einrichtungsprozess sind die Anmeldeinformationen eines Control Hub-Kontos mit vollen Administratorrechten für Ihre Organisation erforderlich.

    Wenn das HDS Setup-Tool hinter einem Proxy in Ihrer Umgebung ausgeführt wird, geben Sie die Proxy-Einstellungen (Server, Port, Anmeldeinformationen) über die Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in Schritt 5 aufrufen. Diese Tabelle enthält einige mögliche Umgebungsvariablen:

    Beschreibung

    Variable

    HTTP-Proxy ohne Authentifizierung

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-Proxy ohne Authentifizierung

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-Proxy mit Authentifizierung

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-Proxy mit Authentifizierung

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Die von Ihnen generierte ISO-Konfigurationsdatei enthält den Hauptschlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die neueste Kopie dieser Datei, wenn Sie Konfigurationsänderungen wie die folgenden vornehmen:

    • Datenbank-Anmeldeinformationen

    • Zertifikats-Aktualisierungen

    • Änderungen an der Autorisierungsrichtlinie

  • Wenn Sie Datenbankverbindungen verschlüsseln möchten, richten Sie Ihre PostgreSQL- oder SQL Server-Bereitstellung für TLS ein.

Beim Einrichtungsprozess für die Hybrid-Datensicherheit wird eine ISO-Datei erstellt. Anschließend verwenden Sie die ISO, um Ihren Hybrid-Datensicherheitshost zu konfigurieren.

1

Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

In regulären Umgebungen:

podman rmi ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

podman rmi ciscocitg/hds-setup-fedramp:stable

Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

2

Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

podman login docker.io -u hdscustomersro
3

Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

In regulären Umgebungen:

podman pull ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

podman pull ciscocitg/hds-setup-fedramp:stable
5

Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

  • In regulären Umgebungen ohne Proxy:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTP-Proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTPS-Proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In FedRAMP-Umgebungen ohne Proxy:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express-Server hören auf Port 8080) sehen.

Nächste Schritte

Führen Sie die restlichen Schritte unter Erstellen einer Konfigurations-ISO für die HDS-Hosts oder Ändern der Knotenkonfiguration aus, um eine ISO-Konfiguration zu erstellen oder zu ändern.

Generieren einer PKCS12-Datei mit OpenSSL

Vorbereitungen

  • OpenSSL ist eines der Tools, mit denen die PKCS12-Datei im richtigen Format für das Laden in das HDS-Setuptool erstellt werden kann. Es gibt auch andere Verfahren, keines davon wird von uns bevorzugt.

  • Wenn Sie sich für die Verwendung von OpenSSL entscheiden, stellen wir Ihnen dieses Verfahren als Richtlinie zur Verfügung, um eine Datei zu erstellen, die die X.509-Zertifikatsanforderungen in X.509-Zertifikatsanforderungen erfüllt. Machen Sie sich mit diesen Anforderungen vertraut, bevor Sie fortfahren.

  • Installieren Sie OpenSSL in einer unterstützten Umgebung. Software und Dokumentation finden Sie auf https://www.openssl.org.

  • Erstellen Sie einen privaten Schlüssel.

  • Beginnen Sie mit diesem Verfahren, wenn Sie das Serverzertifikat von Ihrer Zertifizierungsstelle (CA, Certificate Authority) erhalten.

1

Wenn Sie das Serverzertifikat von Ihrer Zertifizierungsstelle erhalten, speichern Sie es als hdsnode.pem.

2

Zeigen Sie das Zertifikat als Text an, und überprüfen Sie die Details.

openssl x509 -text -noout -in hdsnode.pem

3

Erstellen Sie mit einem Texteditor eine Zertifikatspaket-Datei mit dem Namen hdsnode-bundle.pem. Die Paketdatei muss das Serverzertifikat, alle CA-Zwischenzertifikate sowie die CA-Stammzertifikate im unten angegebenen Format enthalten:

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

Erstellen Sie die .p12-Datei mit dem Anzeigenamen kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Überprüfen Sie die Zertifikatdetails.

  1. openssl pkcs12 -in hdsnode.p12

  2. Geben Sie ein Passwort an der Eingabeaufforderung ein, um den privaten Schlüssel zu verschlüsseln, sodass er in der Ausgabe aufgeführt wird. Überprüfen Sie anschließend, ob der private Schlüssel und das erste Zertifikat die Zeilen friendlyName: kms-private-key enthalten.

    Beispiel:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: 
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----

-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

Nächste Schritte

Kehren Sie zurück zu Voraussetzungen für Hybrid-Datensicherheit erfüllen. Sie verwenden die hdsnode.p12 Datei und das Passwort, das Sie dafür festgelegt haben, unter Erstellen einer Konfigurations-ISO für die HDS-Hosts.

Sie können diese Dateien wiederverwenden, um ein neues Zertifikat anzufordern, wenn das ursprüngliche Zertifikat abläuft.

Datenverkehr zwischen den HDS-Knoten und der Cloud

Metriksammlung von ausgehendem Datenverkehr

Die Hybrid-Datensicherheitsknoten senden bestimmte Metriken an die Webex-Cloud. Dazu gehören Systemmetriken für max. Heap, verbrauchter Heap, CPU-Auslastung und Threadanzahl; Metriken zu synchronen und asynchronen Threads; Metriken zu Warnungen, darunter auch ein Schwellenwert der verschlüsselten Verbindungen, Latenz oder eine Anforderungswarteschlangenlänge; Metriken zum Datenspeicher; und Metriken zu verschlüsselten Verbindungen. Die Knoten senden verschlüsseltes Schlüsselmaterial über einen Out-of-Band-Kanal (separat von der Anforderung).

Eingehender Datenverkehr

Die Hybrid-Datensicherheitsknoten erhalten die folgenden Arten von eingehendem Datenverkehr von der Webex-Cloud:

  • Verschlüsselungsanforderungen von Clients, die vom Verschlüsselungsdienst umgeleitet werden

  • Upgrades für die Knoten-Software

Konfigurieren von Tintenfisch für die Hybriddatensicherheit

WebSocket kann nicht über SquID Proxy verbunden werden

Squid-Proxys, die den HTTPS-Datenverkehr prüfen, können die Herstellung von Websocket (wss:)-Verbindungen beeinträchtigen, die für Hybrid Data Security erforderlich sind. Diese Abschnitte geben Anleitungen zur Konfiguration verschiedener Squid-Versionen, um den wss: Datenverkehr für den ordnungsgemäßen Betrieb der Dienste zu ignorieren.

Squid 4 und 5

Fügen Sie die on_unsupported_protocol Richtlinie zu squid.conf hinzu:

on_unsupported_protocol tunnel all

Squid 3.5.27

Wir haben die Hybrid-Datensicherheit erfolgreich mit den folgenden Regeln getestet, die zu squid.conf hinzugefügt wurden. Diese Regeln können sich geändert werden, da wir Funktionen entwickeln und die WebEx Cisco aktualisieren.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Neue und geänderte Informationen

Neue und geänderte Informationen

Diese Tabelle enthält neue Features oder Funktionen, Änderungen an vorhandenen Inhalten und alle schwerwiegenden Fehler, die im Bereitstellungshandbuch für Multi-Tenant-Hybrid-Datensicherheitbehoben wurden.

Datum

Vorgenommene Änderungen

08. Mai 2025
04. März 2025

30. Januar 2025

SQL Server Version 2022 wurde der Liste der unterstützten SQL-Server in Datenbankserveranforderungenhinzugefügt.

15. Januar 2025

Hinzugefügt Einschränkungen der Multi-Tenant-Hybrid-Datensicherheit.

08. Januar 2025

In Führen Sie die Ersteinrichtung durch und laden Sie die Installationsdateien herunter wurde ein Hinweis hinzugefügt, der besagt, dass das Klicken auf Einrichten auf der HDS-Karte im Partner Hub ein wichtiger Schritt des Installationsvorgangs ist.

07. Januar 2025

Aktualisierte Anforderungen für virtuelle Hosts, Aufgabenablauf für die Bereitstellung hybrider Datensicherheitund Installieren der HDS-Host-OVA, um die neuen Anforderungen von ESXi 7.0 anzuzeigen.

13. Dezember 2024

Erstveröffentlichung.

Multi-Tenant Hybrid Data Security deaktivieren

Aufgabenablauf zur Deaktivierung von Multi-Tenant-HDS

Befolgen Sie diese Schritte, um Multi-Tenant HDS vollständig zu deaktivieren.

Vorbereitungen

Diese Aufgabe sollte nur von einem Partner-Volladministrator ausgeführt werden.
1

Entfernen Sie alle Kunden aus allen Ihren Clustern, wie unter Mandantenorganisationen entfernenbeschrieben.

2

Widerrufen Sie die CMKs aller Kunden, wie in Widerrufen Sie die CMKs von Mandanten, die aus HDS entfernt wurden.erwähnt.

3

Entfernen Sie alle Knoten aus allen Ihren Clustern, wie unter Einen Knoten entfernenbeschrieben.

4

Löschen Sie alle Ihre Cluster aus dem Partner Hub mit einer der folgenden beiden Methoden.

  • Klicken Sie auf den Cluster, den Sie löschen möchten, und wählen Sie Diesen Cluster löschen in der oberen rechten Ecke der Übersichtsseite.
  • Klicken Sie auf der Seite „Ressourcen“ rechts neben einem Cluster auf … und wählen Sie Cluster entfernenaus.
5

Klicken Sie auf der Übersichtsseite von Hybrid Data Security auf die Registerkarte Einstellungen und klicken Sie auf der HDS-Statuskarte auf HDS deaktivieren.

Erste Schritte mit Multi-Tenant Hybrid Data Security

Übersicht über die Multi-Tenant-Hybrid-Datensicherheit

Vom ersten Tag an stand die Datensicherheit bei der Entwicklung der Webex-App im Mittelpunkt. Der Eckpfeiler dieser Sicherheit ist die End-to-End-Inhaltsverschlüsselung, die durch die Interaktion von Webex-App-Clients mit dem Key Management Service (KMS) ermöglicht wird. Der KMS erstellt und verwaltet die Kryptografieschlüssel, mit denen die Clients ihre Nachrichten und Dateien dynamisch ver- und entschlüsseln.

Standardmäßig erhalten alle Kunden der Webex-App eine End-to-End-Verschlüsselung mit dynamischen Schlüsseln, die im Cloud-KMS im Sicherheitsbereich von Cisco gespeichert sind. Mit Hybrid Data Security werden KMS und andere Sicherheitsfunktionen in das Rechenzentrum Ihres Unternehmens verschoben, damit die Schlüssel zu ihren verschlüsselten Inhalten ausschließlich bei Ihnen liegen.

Multi-Tenant Hybrid Data Security ermöglicht es Unternehmen, HDS über einen vertrauenswürdigen lokalen Partner zu nutzen, der als Dienstanbieter fungieren und die Verschlüsselung vor Ort sowie andere Sicherheitsdienste verwalten kann. Durch dieses Setup hat die Partnerorganisation die vollständige Kontrolle über die Bereitstellung und Verwaltung von Verschlüsselungsschlüsseln und stellt sicher, dass die Benutzerdaten der Kundenorganisationen vor externem Zugriff geschützt sind. Partnerorganisationen richten HDS-Instanzen ein und erstellen nach Bedarf HDS-Cluster. Jede Instanz kann mehrere Kundenorganisationen unterstützen, im Gegensatz zu einer regulären HDS-Bereitstellung, die auf eine einzelne Organisation beschränkt ist.

Partnerorganisationen haben zwar die Kontrolle über Bereitstellung und Verwaltung, jedoch keinen Zugriff auf von Kunden generierte Daten und Inhalte. Dieser Zugriff ist auf Kundenorganisationen und deren Benutzer beschränkt.

Dadurch können auch kleinere Organisationen HDS nutzen, da der Schlüsselverwaltungsdienst und die Sicherheitsinfrastruktur wie Rechenzentren Eigentum des vertrauenswürdigen lokalen Partners sind.

Wie Multi-Tenant Hybrid Data Security Datensouveränität und Datenkontrolle gewährleistet

  • Benutzergenerierte Inhalte sind vor externem Zugriff, beispielsweise von Cloud-Dienstanbietern, geschützt.
  • Lokale vertrauenswürdige Partner verwalten die Verschlüsselungsschlüssel von Kunden, mit denen sie bereits eine etablierte Beziehung haben.
  • Option für lokalen technischen Support, sofern vom Partner bereitgestellt.
  • Unterstützt Meeting-, Messaging- und Anrufinhalte.

Dieses Dokument soll Partnerorganisationen dabei unterstützen, Kunden unter einem Multi-Tenant-Hybrid-Datensicherheitssystem einzurichten und zu verwalten.

Einschränkungen der Multi-Tenant-Hybrid-Datensicherheit

  • Partnerorganisationen dürfen keine bestehende HDS-Bereitstellung im Control Hub aktiv haben.
  • Mandanten- oder Kundenorganisationen, die von einem Partner verwaltet werden möchten, dürfen keine vorhandene HDS-Bereitstellung in Control Hub haben.
  • Sobald Multi-Tenant HDS vom Partner bereitgestellt wurde, beginnen alle Benutzer der Kundenorganisationen sowie die Benutzer der Partnerorganisation, Multi-Tenant HDS für ihre Verschlüsselungsdienste zu nutzen.

    Die Partnerorganisation und die von ihnen verwalteten Kundenorganisationen werden in derselben Multi-Tenant-HDS-Bereitstellung betrieben.

    Die Partnerorganisation wird Cloud-KMS nach der Bereitstellung von Multi-Tenant HDS nicht mehr verwenden.

  • Es gibt keinen Mechanismus, um Schlüssel nach einer HDS-Bereitstellung zurück zu Cloud KMS zu verschieben.
  • Derzeit kann jede Multi-Tenant-HDS-Bereitstellung nur einen Cluster mit mehreren Knoten darunter haben.
  • Für Administratorrollen gelten bestimmte Einschränkungen. Weitere Einzelheiten finden Sie im folgenden Abschnitt.

Rollen in der Multi-Tenant-Hybrid-Datensicherheit

  • Volladministrator des Partners – Kann Einstellungen für alle Kunden verwalten, die der Partner verwaltet. Außerdem können Sie bereits vorhandenen Benutzern in der Organisation Administratorrollen zuweisen und bestimmte Kunden für die Verwaltung durch Partneradministratoren zuweisen.
  • Partneradministrator – Kann Einstellungen für Kunden verwalten, die der Administrator bereitgestellt hat oder die dem Benutzer zugewiesen wurden.
  • Volladministrator - Administrator der Partnerorganisation, der berechtigt ist, Aufgaben wie das Ändern von Organisationseinstellungen, das Verwalten von Lizenzen und das Zuweisen von Rollen auszuführen.
  • End-to-End-Multi-Tenant-HDS-Setup und -Verwaltung aller Kundenorganisationen - Partner-Volladministrator- und Volladministratorrechte erforderlich.
  • Verwaltung zugewiesener Mandantenorganisationen - Partneradministrator und vollständige Administratorrechte erforderlich.

Sicherheitsbereichsarchitektur

Die Webex-Cloud-Architektur trennt verschiedene Diensttypen in separate Bereiche oder Vertrauensdomänen, wie unten dargestellt.

Bereiche der Trennung (ohne hybride Datensicherheit)

Um die hybride Datensicherheit besser zu verstehen, schauen wir uns zunächst diesen reinen Cloud-Fall an, bei dem Cisco alle Funktionen in seinen Cloud-Bereichen bereitstellt. Der Identitätsdienst, der einzige Ort, an dem Benutzer direkt mit ihren persönlichen Informationen in Verbindung gebracht werden können, wie z. B. die E-Mail-Adresse, ist logisch und physisch vom Sicherheitsbereich in Rechenzentrum B getrennt. Er ist wiederum von dem Bereich getrennt, in dem verschlüsselte Inhalte letztendlich gespeichert werden, in Rechenzentrum C.

In diesem Diagramm ist der Client die Webex-App, die auf dem Laptop eines Benutzers ausgeführt wird und sich beim Identitätsdienst authentifiziert hat. Wenn der Benutzer eine Nachricht verfasst, die er an einen Bereich senden möchte, finden folgende Schritte statt:

  1. Der Client stellt eine sichere Verbindung zum Schlüsselverwaltungsdienst her, und fordert anschließend einen Schlüssel zum Verschlüsseln der Nachricht an. Die sichere Verbindung verwendet ECDH und der Schlüsselverwaltungsdienst verschlüsselt den Schlüssel mit einem AES-256-Hauptschlüssel.

  2. Die Nachricht wird verschlüsselt, bevor sie den Client verlässt. Der Client sendet sie an den Indexdienst, der verschlüsselte Suchindizes erstellt, um zukünftige Suchvorgänge nach Inhalten zu unterstützen.

  3. Die verschlüsselte Nachricht wird an den Compliancedienst gesendet, damit Complianceprüfungen vorgenommen werden können.

  4. Die verschlüsselte Nachricht wird im Speicherbereich abgelegt.

Wenn Sie Hybrid Data Security bereitstellen, verschieben Sie die Sicherheitsbereichsfunktionen (KMS, Indizierung und Compliance) in Ihr lokales Rechenzentrum. Die anderen Cloud-Dienste, aus denen Webex besteht (einschließlich Identitäts- und Inhaltsspeicherung), verbleiben im Zuständigkeitsbereich von Cisco.

Zusammenarbeit mit anderen Organisationen

Benutzer in Ihrer Organisation verwenden möglicherweise regelmäßig die Webex-App, um mit externen Teilnehmern in anderen Organisationen zusammenzuarbeiten. Wenn einer Ihrer Benutzer einen Schlüssel für einen Bereich anfordert, der Ihrer Organisation gehört (da er von einem Ihrer Benutzer erstellt wurde) sendet Ihr Schlüsselverwaltungsdienst den Schlüssel über einen mit ECDH gesicherten Kanal an den Client. Wenn jedoch eine andere Organisation den Schlüssel für den Bereich besitzt, leitet Ihr KMS die Anfrage über einen separaten ECDH-Kanal an die Webex-Cloud weiter, um den Schlüssel vom entsprechenden KMS abzurufen, und gibt den Schlüssel dann über den ursprünglichen Kanal an Ihren Benutzer zurück.

Der in Organisation A ausgeführte KMS-Dienst validiert die Verbindungen zu KMSs in anderen Organisationen mithilfe von x.509-PKI-Zertifikaten. Weitere Informationen zum Generieren eines x.509-Zertifikats zur Verwendung mit Ihrer Multi-Tenant Hybrid Data Security-Bereitstellung finden Sie unter Bereiten Sie Ihre Umgebung vor.

Erwartungen an die Bereitstellung der Hybrid-Datensicherheit

Die Bereitstellung einer hybriden Datensicherheit erfordert erhebliches Engagement und ein Bewusstsein für die Risiken, die mit dem Besitz von Verschlüsselungsschlüsseln einhergehen.

Um Hybrid Data Security bereitzustellen, müssen Sie Folgendes angeben:

  • Ein sicheres Rechenzentrum in einem Land, das ein unterstützter Standort für die Cisco Webex Teams-Pläneist.

  • Die in Bereiten Sie Ihre Umgebung vor] beschriebenen Geräte, Software und Netzwerkzugriffe.

Der vollständige Verlust der von Ihnen für Hybrid Data Security erstellten ISO-Konfiguration oder der von Ihnen bereitgestellten Datenbank führt zum Verlust der Schlüssel. Durch den Verlust des Schlüssels können Benutzer keinen Space-Inhalt und andere verschlüsselte Daten in der Webex-App entschlüsseln. Falls dies geschieht, können Sie eine neue Bereitstellung erstellen, es werden dabei jedoch nur neue Inhalte angezeigt. Gehen Sie folgendermaßen vor, damit Sie nicht den Zugriff auf die Daten verlieren:

  • Verwalten Sie die Sicherung und Wiederherstellung der Datenbank und die ISO-Konfigurationsdatei.

  • Seien Sie darauf vorbereitet, im Katastrophenfall, beispielsweise bei einem Datenbankfestplattenausfall oder einer Katastrophe im Rechenzentrum, eine schnelle Notfallwiederherstellung durchführen zu können.

Es gibt keinen Mechanismus, um Schlüssel nach einer HDS-Bereitstellung zurück in die Cloud zu verschieben.

Allgemeiner Setup-Prozess

Dieses Dokument behandelt die Einrichtung und Verwaltung einer Multi-Tenant-Hybrid-Datensicherheitsbereitstellung:

  • Hybrid Data Security einrichten—Dazu gehört die Vorbereitung der erforderlichen Infrastruktur und die Installation der Hybrid Data Security-Software, der Aufbau eines HDS-Clusters, das Hinzufügen von Mandantenorganisationen zum Cluster und die Verwaltung ihrer Customer Main Keys (CMKs). Dadurch können alle Benutzer Ihrer Kundenorganisationen Ihren Hybrid Data Security-Cluster für Sicherheitsfunktionen verwenden.

    Die Einrichtungs-, Aktivierungs- und Verwaltungsphasen werden in den nächsten drei Kapiteln ausführlich behandelt.

  • Pflegen Sie Ihre Hybrid Data Security-Bereitstellung– Die Webex-Cloud bietet automatisch laufende Upgrades. Ihre IT-Abteilung kann Ebene-1-Support anbieten und bei Bedarf den Cisco-Support hinzuziehen. Sie können Bildschirmbenachrichtigungen verwenden und E-Mail-basierte Warnungen im Partner Hub einrichten.

  • Verstehen Sie häufige Warnungen, Schritte zur Fehlerbehebung und bekannte Probleme– Wenn bei der Bereitstellung oder Verwendung von Hybrid Data Security Probleme auftreten, können Ihnen das letzte Kapitel dieses Handbuchs und der Anhang „Bekannte Probleme“ dabei helfen, das Problem zu ermitteln und zu beheben.

Bereitstellungsmodell für die Hybrid-Datensicherheit

In Ihrem Unternehmensrechenzentrum stellen Sie Hybrid Data Security als einzelnen Knotencluster auf separaten virtuellen Hosts bereit. Die Knoten kommunizieren über sichere WebSockets und sicheres HTTP mit der Webex-Cloud.

Während des Installationsvorgangs stellen wir Ihnen die OVA-Datei bereit, mit der Sie die virtuelle Appliance auf den von Ihnen angegebenen VMs einrichten können. Mit dem HDS-Setuptool erstellen Sie eine benutzerdefinierte ISO-Clusterkonfigurationsdatei, die Sie bei den einzelnen Knoten mounten. Der Hybrid Data Security-Cluster verwendet Ihren bereitgestellten Syslogd-Server und Ihre PostgreSQL- oder Microsoft SQL Server-Datenbank. (Sie konfigurieren die Syslogd- und Datenbankverbindungsdetails im HDS-Setup-Tool.)

Bereitstellungsmodell für die Hybrid-Datensicherheit

Die Mindestanzahl von Knoten in einem Cluster lautet zwei. Wir empfehlen mindestens drei pro Cluster. Durch das Vorhandensein mehrerer Knoten wird sichergestellt, dass der Dienst während eines Software-Upgrades oder anderer Wartungsaktivitäten auf einem Knoten nicht unterbrochen wird. (Die Webex-Cloud aktualisiert immer nur einen Knoten gleichzeitig.)

Alle Knoten in einem Cluster greifen auf denselben Schlüsseldatenspeicher zu und sie protokollieren Aktivitäten auf demselben Syslog-Server. Die Knoten selbst besitzen keinen Status und verarbeiten Schlüsselanfragen nach dem Round-Robin-Verfahren, wie von der Cloud vorgegeben.

Knoten werden aktiv, wenn Sie sie im Partner Hub registrieren. Um einen einzelnen Knoten zu deaktivieren, können Sie die Registrierung aufheben und ggf. zu einem späteren Zeitpunkt erneut registrieren.

Standby-Rechenzentrum für Disaster Recovery

Während der Bereitstellung richten Sie ein sicheres Standby-Rechenzentrum ein. Im Falle einer Katastrophe im Rechenzentrum können Sie Ihre Bereitstellung manuell auf das Standby-Rechenzentrum umstellen.

Vor dem Failover verfügt Rechenzentrum A über aktive HDS-Knoten und die primäre PostgreSQL- oder Microsoft SQL Server-Datenbank, während B über eine Kopie der ISO-Datei mit zusätzlichen Konfigurationen, bei der Organisation registrierten VMs und einer Standby-Datenbank verfügt. Nach dem Failover verfügt Rechenzentrum B über aktive HDS-Knoten und die primäre Datenbank, während A über nicht registrierte VMs und eine Kopie der ISO-Datei verfügt und sich die Datenbank im Standby-Modus befindet.
Manuelles Failover zum Standby-Rechenzentrum

Die Datenbanken der aktiven und Standby-Rechenzentren sind miteinander synchronisiert, wodurch die für das Failover benötigte Zeit minimiert wird.

Die aktiven Hybrid Data Security-Knoten müssen sich immer im selben Rechenzentrum wie der aktive Datenbankserver befinden.

Proxy-Support

Die Hybriddatensicherheit unterstützt explizite, transparente Inspektionen und Nichtinspizierungsproxys. Sie können diese Proxys an Ihre Bereitstellung binden, damit Sie den Datenverkehr aus dem Unternehmen heraus in die-Cisco sichern und überwachen können. Sie können eine Netzwerkverwaltung auf den Knoten für Zertifikats-Management verwenden und den Status der gesamten Konnektivität überprüfen, nachdem Sie den Proxy auf den Knoten eingerichtet haben.

Die Hybrid Data Sicherheitshinweis unterstützt die folgenden Proxyoptionen:

  • Kein Proxy– Die Standardeinstellung, wenn Sie den Trust Store für das HDS-Knoten-Setup nicht verwenden & Proxy-Konfiguration zur Einbindung eines Proxys. Es ist keine Zertifikatsaktualisierung erforderlich.

  • Transparenter, nicht prüfender Proxy– Die Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert und sollten keine Änderungen erfordern, um mit einem nicht prüfenden Proxy zu funktionieren. Es ist keine Zertifikatsaktualisierung erforderlich.

  • Transparentes Tunneling oder Proxy-Inspektion– Die Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert. Es sind keine Änderungen bei der Konfigurationänderung von http oder HTTPS Allerdings benötigen die Knoten eine Stammzertifikat, sodass Sie dem Proxy Vertrauen. Die Inspektion von Proxys wird in der Regel von ihm verwendet, um Strategien durchzusetzen, welche Websites besichtigt werden können und welche Arten von Inhalten nicht zulässig sind. Diese Art von Proxy entschlüsselt den gesamten Datenverkehr (auch HTTPS).

  • Expliziter Proxy– Mit explizitem Proxy teilen Sie den HDS-Knoten mit, welcher Proxyserver und welches Authentifizierungsschema verwendet werden soll. Um einen expliziten Proxy zu konfigurieren, müssen Sie die folgenden Informationen zu den einzelnen Knoten eingeben:

    1. Proxy IP/FQDN– Adresse, über die der Proxy-Computer erreicht werden kann.

    2. Proxy-Port– Eine Portnummer, die der Proxy verwendet, um auf den weitergeleiteten Datenverkehr zu lauschen.

    3. Proxy-Protokoll– Wählen Sie je nachdem, was Ihr Proxy-Server unterstützt, zwischen den folgenden Protokollen:

      • – Und steuert alle Anfragen, die der Client sendet.

      • HTTPS – stellt einen Kanal zum Server bereit. Der Client erhält und prüft das Zertifikat des Servers.

    4. Authentifizierungstyp– Wählen Sie aus den folgenden Authentifizierungstypen:

      • Keine– Es ist keine weitere Authentifizierung erforderlich.

        Verfügbar, wenn Sie entweder http oder HTTPS als Proxyprotokoll auswählen.

      • Basic– Wird für einen HTTP-Benutzeragenten verwendet, um bei einer Anfrage einen Benutzernamen und ein Kennwort bereitzustellen. Zertifikatsformat verwendet.

        Verfügbar, wenn Sie entweder http oder HTTPS als Proxyprotokoll auswählen.

        Hiermit müssen Sie die Benutzername und das Passwort eines jeden Knotens eingeben.

      • Digest– Wird verwendet, um das Konto zu bestätigen, bevor vertrauliche Informationen gesendet werden. Gibt eine Hashfunktion auf die Benutzername und das Passwort ein, bevor Sie über das Netzwerk senden.

        Nur verfügbar, wenn Sie HTTPS als Proxyprotokoll auswählen.

        Hiermit müssen Sie die Benutzername und das Passwort eines jeden Knotens eingeben.

Beispiel für hybride Datensicherheitsknoten und Proxy

Dieses Diagramm zeigt eine Beispielverbindung zwischen der Hybriddatensicherheit, dem Netzwerk und einem Proxy. Für die transparente Inspektion und HTTPS explizite Überprüfung der Proxyoptionen müssen dieselben Stammzertifikat auf dem Proxy und auf den Hybriden Datensicherheitsknoten installiert sein.

Externer DNS Auflösungsmodus blockiert (explizite Proxykonfigurationen)

Wenn Sie einen Knoten registrieren oder die Proxykonfiguration des Knotens überprüfen, testet das Verfahren die DNS und die Konnektivität der Cisco WebEx. Bei Bereitstellungen mit expliziten Proxykonfigurationen, die keine externe DNS für interne Clients zulassen, wenn der Knoten die DNS-Server nicht Abfragen kann, geht er automatisch in den gesperrten externen DNS-Server. In diesem Modus können Knotenregistrierungen und andere Proxyverbindungstests fortgeführt werden.

Umgebung vorbereiten

Anforderungen an die Multi-Tenant-Hybrid-Datensicherheit

Cisco Webex-Lizenzanforderungen

So stellen Sie Multi-Tenant Hybrid Data Security bereit:

  • Partnerorganisationen: Wenden Sie sich an Ihren Cisco-Partner oder Account Manager und stellen Sie sicher, dass die Multi-Tenant-Funktion aktiviert ist.

  • Mieterorganisationen: Sie müssen über Pro Pack für Cisco Webex Control Hub verfügen. (Siehe https://www.cisco.com/go/pro-pack.)

Docker Desktop-Anforderungen

Bevor Sie Ihre HDS-Knoten installieren, benötigen Sie Docker Desktop, um ein Setup-Programm auszuführen. Docker hat sein Lizenzmodell kürzlich aktualisiert. Ihre Organisation benötigt möglicherweise ein kostenpflichtiges Abonnement für Docker Desktop. Weitere Informationen finden Sie im Docker-Blog-Post: " Docker aktualisiert und erweitert unsere Produktabonnements".

Kunden ohne Docker Desktop-Lizenz können ein Open-Source-Containerverwaltungstool wie Podman Desktop verwenden, um Container auszuführen, zu verwalten und zu erstellen. Weitere Einzelheiten finden Sie unter HDS-Setup-Tool mit Podman Desktop ausführen.

Anforderungen an das X.509-Zertifikat

Diese Zertifikatskette muss die folgenden Anforderungen erfüllen:

Tabelle 1. X.509-Zertifikatanforderungen für die Bereitstellung hybrider Datensicherheit

Anforderung

Details

  • Von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert

Standardmäßig vertrauen wir den CAs in der Mozilla-Liste (mit Ausnahme von WoSign und StartCom) bei https://wiki.mozilla.org/CA:IncludedCAs.

  • Trägt einen Common Name (CN)-Domänennamen, der Ihre Hybrid Data Security-Bereitstellung identifiziert

  • Ist kein Platzhalterzertifikat

Der CN muss nicht erreichbar und kein Live-Host sein. Wir empfehlen Ihnen, einen Namen zu verwenden, der Ihre Organisation widerspiegelt, zum Beispiel hds.company.com.

Die CN darf keine * (Platzhalter).

Der CN wird verwendet, um die Hybrid Data Security-Knoten gegenüber Webex-App-Clients zu verifizieren. Alle Hybrid Data Security-Knoten in Ihrem Cluster verwenden dasselbe Zertifikat. Ihr KMS identifiziert sich selbst unter Verwendung der CN-Domäne, nicht einer beliebigen Domäne, die in den x.509v3-SAN-Feldern definiert ist.

Nachdem Sie einen Knoten mit diesem Zertifikat registriert haben, kann der CN-Domänenname nicht mehr geändert werden.

  • Keine SHA1-Signatur

Die KMS-Software unterstützt keine SHA1-Signaturen zum Validieren von Verbindungen zu KMS anderer Organisationen.

  • Als passwortgeschützte PKCS #12-Datei formatiert

  • Verwenden Sie den Anzeigenamen kms-private-key, um das Zertifikat, den privaten Schlüssel und alle hochzuladenden Zwischenzertifikate zu markieren.

Sie können das Format Ihres Zertifikats mithilfe einer Konvertierungssoftware wie OpenSSL ändern.

Sie müssen das Passwort eingeben, wenn Sie das HDS-Setuptool ausführen.

Die KMS-Software erzwingt keine Schlüsselnutzung und beschränkt erweiterte Schlüsselnutzung nicht. Einige Zertifizierungsstellen erfordern Beschränkungen einer erweiterten Schlüsselnutzung für jedes Zertifikat, wie z. B. Server-Authentifizierung. Die Server-Authentifizierung oder andere Einstellungen zu verwenden, ist zulässig.

Anforderungen für virtuelle Hosts

Für die virtuellen Hosts, die Sie als Hybrid Data Security-Knoten in Ihrem Cluster einrichten, gelten die folgenden Anforderungen:

  • Mindestens zwei separate Hosts (3 empfohlen), die sich im selben sicheren Rechenzentrum befinden

  • VMware ESXi 7.0 oder 8.0 installiert und ausgeführt.

    Sie müssen ein Upgrade durchführen, wenn Sie eine frühere Version von ESXi haben.

  • Mindestens 4 vCPUs, 8 GB Hauptspeicher, 30 GB lokaler Festplattenspeicher pro Server

Anforderungen an den Datenbankserver

Erstellen Sie eine neue Datenbank zur Schlüsselspeicherung. Verwenden Sie nicht die Standarddatenbank. Die HDS-Anwendungen erstellen bei Installation das Datenbankschema.

Es gibt zwei Optionen für den Datenbankserver. Die Anforderungen hierfür sind jeweils wie folgt:

Tabelle 2. Datenbankserveranforderungen nach Datenbanktyp

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14, 15 oder 16, installiert und ausgeführt.

  • SQL Server 2016, 2017, 2019 oder 2022 (Enterprise oder Standard) installiert.

    SQL Server 2016 erfordert Service Pack 2 und Cumulative Update 2 oder höher.

Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichend Festplattenkapazität und Überwachung zur Sicherstellung, dass dieser nicht überschritten wird (2 TB empfohlen, falls die Datenbank über längere Zeit ohne Erweiterung der Festplattenkapazität ausgeführt werden soll)

Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichend Festplattenkapazität und Überwachung zur Sicherstellung, dass dieser nicht überschritten wird (2 TB empfohlen, falls die Datenbank über längere Zeit ohne Erweiterung der Festplattenkapazität ausgeführt werden soll)

Die HDS-Software installiert derzeit die folgenden Treiberversionen für die Kommunikation mit dem Datenbankserver:

PostgreSQL

Microsoft SQL Server

Postgres JDBC-Treiber 42.2.5

SQL Server JDBC-Treiber 4.6

Diese Treiberversion unterstützt SQL Server Always On ( Always On Failover Cluster Instances und Always On Availability Groups).

Zusätzliche Anforderungen für die Windows-Authentifizierung gegenüber Microsoft SQL Server

Wenn HDS-Knoten die Windows-Authentifizierung verwenden sollen, um Zugriff auf Ihre Keystore-Datenbank auf Microsoft SQL Server zu erhalten, benötigen Sie die folgende Konfiguration in Ihrer Umgebung:

  • Die HDS-Knoten, die Active Directory-Infrastruktur und der MS SQL Server müssen alle mit NTP synchronisiert werden.

  • Das Windows-Konto, das Sie den HDS-Knoten zur Verfügung stellen, muss read/write Zugriff auf die Datenbank.

  • Die DNS-Server, die Sie HDS-Knoten bereitstellen, müssen in der Lage sein, Ihr Key Distribution Center (KDC) aufzulösen.

  • Sie können die HDS-Datenbankinstanz auf Ihrem Microsoft SQL Server als Service Principal Name (SPN) in Ihrem Active Directory registrieren. Siehe Registrieren eines Service Principal Names für Kerberos-Verbindungen.

    Das HDS-Setup-Tool, der HDS-Launcher und das lokale KMS müssen alle die Windows-Authentifizierung verwenden, um auf die Keystore-Datenbank zuzugreifen. Sie verwenden die Details aus Ihrer ISO-Konfiguration, um den SPN zu erstellen, wenn sie Zugriff mit Kerberos-Authentifizierung anfordern.

Externe Konnektivitätsanforderungen

Konfigurieren Sie Ihre Firewall so, dass die folgende Konnektivität für die HDS-Anwendungen möglich ist:

Anwendung

Protokoll

Port

Wegbeschreibung aus der App

Zielort

Hybride Datensicherheitsknoten

TCP

443

Ausgehend HTTPS und WSS

  • Webex-Server:

    • *.wbx2.com

    • *.ciscospark.com

  • Alle Common Identity-Hosts

  • Andere URLs, die für Hybrid Data Security in der Tabelle Zusätzliche URLs für Webex Hybrid Services der Netzwerkanforderungen für Webex Servicesaufgeführt sind.

HDS-Setup-Tool

TCP

443

Ausgehendes HTTPS

  • *.wbx2.com

  • Alle Common Identity-Hosts

  • hub.docker.com

Die Hybrid Data Security-Knoten funktionieren mit Network Access Translation (NAT) oder hinter einer Firewall, solange NAT oder Firewall die erforderlichen ausgehenden Verbindungen zu den Domänenzielen in der vorhergehenden Tabelle zulässt. Bei eingehenden Verbindungen zu den Hybrid Data Security-Knoten sollten vom Internet aus keine Ports sichtbar sein. Innerhalb Ihres Rechenzentrums benötigen Clients zu Verwaltungszwecken Zugriff auf die Hybrid Data Security-Knoten auf den TCP-Ports 443 und 22.

Die URLs für die Common Identity (CI)-Hosts sind regionsspezifisch. Dies sind die aktuellen CI-Hosts:

Region

Allgemeine Identitätshost-URLs

Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Europäische Union

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Vereinigte Arabische Emirate

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Vorgaben für Proxy-Server

  • Wir unterstützen offiziell die folgenden Proxylösungen, die in ihre Hybriden Sicherheitsknoten integriert werden können.

    • Transparenter Proxy – Cisco Web Sicherheitsgerät (WSA).

    • Explizite –.

      Squid-Proxys, die HTTPS-Verkehr prüfen, können die Einrichtung von Websockets stören (wss:) Verbindungen. Informationen zum Umgehen dieses Problems finden Sie unter Konfigurieren von Squid-Proxys für hybride Datensicherheit.

  • Wir unterstützen die folgenden Authentifizierungskombinationen für explizite Proxys:

    • Keine Authentifizierung mit http oder HTTPS

    • Grundlegende Authentifizierung mit http oder HTTPS

    • Verdauungsauthentifizierung nur mit HTTPS

  • Um einen transparenten Proxy oder einen HTTPS expliziten Proxy zu erhalten, müssen Sie eine Kopie des Stammzertifikat des Stellvertreters besitzen. Die Bereitstellungsanweisungen in diesem Handbuch zeigen Ihnen, wie Sie die Kopie in die Vertrauensspeicher der Hybriden Datensicherheitsknoten hochladen können.

  • Das Netzwerk, das die HDS Nodes hostet, muss so konfiguriert sein, dass es den ausgehenden TCP Traffic auf Port 443 durch den Proxy zwingt

  • Proxys, die den Webverkehr inspizieren, können die Websteckverbindung beeinträchtigen. Wenn dieses Problem auftritt, wird es durch Umgehen (Nichtüberprüfen) des Datenverkehrs zu wbx2.com und ciscospark.com gelöst.

Erfüllen der Voraussetzungen für die Hybrid-Datensicherheit

Verwenden Sie diese Checkliste, um sicherzustellen, dass Sie bereit sind, Ihren Hybrid Data Security-Cluster zu installieren und zu konfigurieren.
1

Stellen Sie sicher, dass in Ihrer Partnerorganisation die Multi-Tenant-HDS-Funktion aktiviert ist, und holen Sie sich die Anmeldeinformationen eines Kontos mit Volladministrator- und Administratorrechten für den Partner. Stellen Sie sicher, dass Ihre Webex-Kundenorganisation für Pro Pack für Cisco Webex Control Hub aktiviert ist. Wenden Sie sich an Ihren Cisco-Partner oder an Ihren Account Manager, falls Sie Hilfe bei diesem Verfahren benötigen.

Kundenorganisationen sollten über keine bestehende HDS-Bereitstellung verfügen.

2

Wählen Sie einen Domänennamen für Ihre HDS-Bereitstellung (z. B. hds.company.com) und beziehen Sie eine Zertifikatskette, die ein X.509-Zertifikat, einen privaten Schlüssel und alle Zwischenzertifikate enthält. Die Zertifikatskette muss die Anforderungen in X.509-Zertifikatanforderungenerfüllen.

3

Bereiten Sie identische virtuelle Hosts vor, die Sie als Hybrid Data Security-Knoten in Ihrem Cluster einrichten. Sie benötigen mindestens zwei separate Hosts (3 empfohlen), die sich im selben sicheren Rechenzentrum befinden und die Anforderungen in Anforderungen an virtuelle Hostserfüllen.

4

Bereiten Sie den Datenbankserver vor, der als Schlüsseldatenspeicher für den Cluster fungieren soll, gemäß den Datenbankserveranforderungen. Der Datenbankserver muss zusammen mit den virtuellen Hosts im sicheren Rechenzentrum untergebracht werden.

  1. Erstellen Sie eine Datenbank zur Schlüsselspeicherung. (Sie müssen diese Datenbank erstellen – verwenden Sie nicht die Standarddatenbank. Die HDS-Anwendungen erstellen bei Installation das Datenbankschema.)

  2. Sammeln Sie die Informationen, die die Knoten zur Kommunikation mit dem Datenbankserver benötigen:

    • Der Hostname oder die IP-Adresse (Host) und der Port

    • Der Name der Datenbank (dbname) zur Schlüsselspeicherung

    • Der Benutzername und das Kennwort eines Benutzers mit allen Rechten in der Schlüsseldatenbank

5

Richten Sie für eine schnelle Notfallwiederherstellung eine Sicherungsumgebung in einem anderen Rechenzentrum ein. Die Backup-Umgebung spiegelt die Produktionsumgebung von VMs und einem Backup-Datenbankserver wider. Wenn beispielsweise in der Produktion 3 VMs HDS-Knoten ausführen, sollte die Backup-Umgebung 3 VMs haben.

6

Richten Sie einen syslog-Host ein, um Protokolle aus den Knoten im Cluster zu sammeln. Dokumentieren Sie dessen Netzwerkadresse und syslog-Port (Standard ist UDP 514).

7

Erstellen Sie eine sichere Sicherungsrichtlinie für die Hybrid Data Security-Knoten, den Datenbankserver und den Syslog-Host. Um einen nicht wiederherstellbaren Datenverlust zu verhindern, müssen Sie mindestens die Datenbank und die für die Hybrid Data Security-Knoten generierte ISO-Konfigurationsdatei sichern.

Da die Hybrid Data Security-Knoten die Schlüssel speichern, die zur Ver- und Entschlüsselung von Inhalten verwendet werden, führt das Versäumnis, eine betriebsbereite Bereitstellung aufrechtzuerhalten, zum UNWIEDERHERSTELLBAREN VERLUST dieser Inhalte.

Webex-App-Clients speichern ihre Schlüssel im Cache, sodass ein Ausfall möglicherweise nicht sofort erkennbar ist, sich aber mit der Zeit bemerkbar macht. Vorübergehende Ausfälle sind unvermeidlich, aber behebbar. Bei einem vollständigen Verlust (keine Backups verfügbar) entweder der Datenbank oder der ISO-Konfigurationsdatei gehen jedoch Kundendaten unwiederbringlich verloren. Von den Betreibern der Hybrid Data Security-Knoten wird erwartet, dass sie regelmäßig Backups der Datenbank und der ISO-Konfigurationsdatei erstellen und darauf vorbereitet sind, das Hybrid Data Security-Rechenzentrum im Falle eines katastrophalen Fehlers neu aufzubauen.

8

Stellen Sie sicher, dass Ihre Firewall-Konfiguration die Konnektivität für Ihre Hybrid Data Security-Knoten zulässt, wie in Anforderungen an die externe Konnektivitätbeschrieben.

9

Installieren Sie Docker ( https://www.docker.com) auf einem beliebigen lokalen Computer mit einem unterstützten Betriebssystem (Microsoft Windows 10 Professional oder Enterprise 64-Bit oder Mac OSX Yosemite 10.10.3 oder höher) und einem Webbrowser, der unter http://127.0.0.1:8080.darauf zugreifen kann.

Sie verwenden die Docker-Instanz, um das HDS-Setup-Tool herunterzuladen und auszuführen, das die lokalen Konfigurationsinformationen für alle Hybrid Data Security-Knoten erstellt. Möglicherweise benötigen Sie eine Docker Desktop-Lizenz. Weitere Informationen finden Sie unter Docker Desktop-Anforderungen.

Um das HDS Setup Tool zu installieren und auszuführen, muss der lokale Computer über die unter Anforderungen an die externe Konnektivitätbeschriebene Konnektivität verfügen.

10

Wenn Sie einen Proxy mit Hybrid Data Security integrieren, stellen Sie sicher, dass er die Proxy-Server-Anforderungenerfüllt.

Einrichten eines Hybrid Data Security-Clusters

Aufgabenablauf für die Bereitstellung hybrider Datensicherheit

Vorbereitungen

1

Führen Sie die Ersteinrichtung durch und laden Sie die Installationsdateien herunter

Laden Sie die OVA-Datei zur späteren Verwendung auf Ihren lokalen Computer herunter.

2

Erstellen einer ISO-Konfigurationsdatei für die HDS-Hosts

Verwenden Sie das HDS-Setup-Tool, um eine ISO-Konfigurationsdatei für die Hybrid Data Security-Knoten zu erstellen.

3

Installieren des HDS Host OVA

Erstellen Sie eine virtuelle Maschine aus der OVA-Datei und führen Sie die Erstkonfiguration durch, beispielsweise die Netzwerkeinstellungen.

Die Option zum Konfigurieren der Netzwerkeinstellungen während der OVA-Bereitstellung wurde mit ESXi 7.0 und 8.0 getestet. In früheren Versionen ist die Option möglicherweise nicht verfügbar.

4

Einrichten der Hybrid-Datensicherheits-VM

Melden Sie sich bei der VM-Konsole an und legen Sie die Anmeldeinformationen fest. Konfigurieren Sie die Netzwerkeinstellungen für den Knoten, wenn Sie diese zum Zeitpunkt der OVA-Bereitstellung nicht konfiguriert haben.

5

Hochladen und Mounten der HDS-Konfigurations-ISO

Konfigurieren Sie die VM anhand der ISO-Konfigurationsdatei, die Sie mit dem HDS Setup Tool erstellt haben.

6

Konfigurieren des HDS Knotens für Proxyintegration

Wenn die Netzwerkumgebung eine Proxy-Konfiguration erfordert, geben Sie den Proxy-Typ an, den Sie für den Knoten verwenden möchten, und fügen Sie das Proxy-Zertifikat bei Bedarf zum Trust Store hinzu.

7

Registrieren Sie den ersten Knoten im Cluster

Registrieren Sie die VM bei der Cisco Webex-Cloud als Hybrid Data Security-Knoten.

8

Erstellen und registrieren Sie weitere Knoten

Schließen Sie die Clustereinrichtung ab.

9

Aktivieren Sie Multi-Tenant HDS im Partner Hub.

Aktivieren Sie HDS und verwalten Sie Mandantenorganisationen im Partner Hub.

Führen Sie die Ersteinrichtung durch und laden Sie die Installationsdateien herunter

Bei dieser Aufgabe laden Sie eine OVA-Datei auf Ihren Computer herunter (nicht auf die Server, die Sie als Hybrid Data Security-Knoten eingerichtet haben). Sie können diese Datei zu einem späteren Zeitpunkt im Installationsprozess verwenden.

1

Melden Sie sich beim Partner Hub an und klicken Sie dann auf Services.

2

Suchen Sie im Abschnitt Cloud-Dienste nach der Karte Hybrid Data Security und klicken Sie dann auf Einrichten.

Das Klicken auf Einrichten im Partner Hub ist für den Bereitstellungsprozess von entscheidender Bedeutung. Fahren Sie nicht mit der Installation fort, ohne diesen Schritt abzuschließen.

3

Klicken Sie auf Ressource hinzufügen und dann auf der Karte Software installieren und konfigurieren[] auf OVA-Datei herunterladen.

Ältere Versionen des Softwarepakets (OVA) sind nicht mit den neuesten Hybrid Data Security-Upgrades kompatibel. Dies kann beim Aktualisieren der Anwendung zu Problemen führen. Stellen Sie sicher, dass Sie die neueste Version der OVA-Datei herunterladen.

Sie können die OVA auch jederzeit im Abschnitt Hilfe herunterladen. Klicken Sie auf Einstellungen > Helfen > Laden Sie die Hybrid Data Security-Software herunter.

Der Download der OVA-Datei beginnt automatisch. Speichern Sie die Datei auf Ihrem Computer.
4

Klicken Sie optional auf Handbuch zur Bereitstellung hybrider Datensicherheit anzeigen, um zu prüfen, ob eine neuere Version dieses Handbuchs verfügbar ist.

Erstellen einer ISO-Konfigurationsdatei für die HDS-Hosts

Der Einrichtungsprozess von Hybrid Data Security erstellt eine ISO-Datei. Anschließend verwenden Sie die ISO, um Ihren Hybrid Data Security-Host zu konfigurieren.

Vorbereitungen
1

Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

In regulären Umgebungen:

docker rmi ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

docker rmi ciscocitg/hds-setup-fedramp:stable

Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

2

Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

docker login -u hdscustomersro
3

Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

In regulären Umgebungen:

docker pull ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

  • In regulären Umgebungen ohne Proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTP-Proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTPS-Proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In FedRAMP-Umgebungen ohne Proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express-Server hören auf Port 8080) sehen.

6

Das Setup-Tool unterstützt keine Verbindung zum lokalen Host über http://localhost:8080. Verwenden Sie http://127.0.0.1:8080, um eine Verbindung zum lokalen Host herzustellen.

Gehen Sie mit einem Webbrowser zum lokalen Host http://127.0.0.1:8080und geben Sie an der Eingabeaufforderung den Administratorbenutzernamen für Partner Hub ein.

Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto festzulegen. Das Tool zeigt dann die Standard-Anmeldeaufforderung an.

7

Geben Sie bei der entsprechenden Aufforderung Ihre Partner Hub-Administratoranmeldeinformationen ein und klicken Sie dann auf Anmelden, um den Zugriff auf die erforderlichen Dienste für Hybrid Data Security zu ermöglichen.

8

Klicken Sie auf der Übersichtsseite des Setup Tool auf Get Started (Erste Schritte).

9

Auf der Seite ISO-Import stehen Ihnen folgende Optionen zur Verfügung:

  • Nein– Wenn Sie Ihren ersten HDS-Knoten erstellen, haben Sie keine ISO-Datei zum Hochladen.
  • Ja– Wenn Sie bereits HDS-Knoten erstellt haben, wählen Sie Ihre ISO-Datei im Browser aus und laden Sie sie hoch.
10

Überprüfen Sie, ob Ihr X.509-Zertifikat die Anforderungen in X.509-Zertifikatanforderungenerfüllt.

  • Wenn Sie noch nie ein Zertifikat hochgeladen haben, laden Sie das X.509-Zertifikat hoch, geben Sie das Kennwort ein und klicken Sie auf Weiter.
  • Wenn Ihr Zertifikat in Ordnung ist, klicken Sie auf Weiter.
  • Wenn Ihr Zertifikat abgelaufen ist oder Sie es ersetzen möchten, wählen Sie Nein für HDS-Zertifikatskette und privaten Schlüssel der vorherigen ISO-Datei weiterhin verwenden?aus. Laden Sie ein neues X.509-Zertifikat hoch, geben Sie das Passwort ein und klicken Sie auf Weiter.
11

Geben Sie die Datenbankadresse und das Konto für HDS ein, um auf Ihren Schlüsseldatenspeicher zuzugreifen:

  1. Wählen Sie Ihren Datenbanktyp (PostgreSQL oder Microsoft SQL Server).

    Wenn Sie Microsoft SQL Serverwählen, wird ein Feld „Authentifizierungstyp“ angezeigt.

  2. (Nur Microsoft SQL Server ) Wählen Sie Ihren Authentifizierungstyp:

    • Grundlegende Authentifizierung: Sie benötigen einen lokalen SQL Server-Kontonamen im Feld Benutzername.

    • Windows-Authentifizierung: Sie benötigen ein Windows-Konto im Format username@DOMAIN im Feld Benutzername.

  3. Geben Sie die Datenbankserveradresse im Format : oder :ein.

    Beispiel:
    dbhost.example.org:1433 oder 198.51.100.17:1433

    Sie können eine IP-Adresse für die grundlegende Authentifizierung verwenden, wenn die Knoten DNS nicht zum Auflösen des Hostnamens verwenden können.

    Wenn Sie die Windows-Authentifizierung verwenden, müssen Sie einen vollqualifizierten Domänennamen im Format dbhost.example.org:1433

  4. Geben Sie den Datenbanknamenein.

  5. Geben Sie den Benutzernamen und das Passwort eines Benutzers mit allen Berechtigungen für die Schlüsselspeicherdatenbank ein.

12

Wählen Sie einen TLS-Datenbankverbindungsmodus:

Modus

Beschreibung

TLS bevorzugen (Standardoption)

HDS-Knoten benötigen kein TLS, um eine Verbindung zum Datenbankserver herzustellen. Wenn Sie TLS auf dem Datenbankserver aktivieren, versuchen die Knoten eine verschlüsselte Verbindung.

TLS erforderlich

HDS-Knoten verbinden sich nur, wenn der Datenbankserver TLS aushandeln kann.

TLS erforderlich und Zertifikat signer überprüfen

Dieser Modus ist für SQL Server-Datenbanken nicht anwendbar.

  • HDS-Knoten verbinden sich nur, wenn der Datenbankserver TLS aushandeln kann.

  • Nach dem Aufbau einer TLS-Verbindung vergleicht der Knoten den Unterzeichner des Zertifikats vom Datenbankserver mit der Zertifizierungsstelle im Datenbank-Stammzertifikat. Wenn sie nicht übereinstimmen, wird die Verbindung durch den Knoten hergestellt.

Verwenden Sie die Stammzertifikat-Steuerung unterhalb des Dropdown-Dropdowns, um den Stammzertifikat Option hochzuladen.

TLS erforderlich und Zertifikats signer und Hostname überprüfen

  • HDS-Knoten verbinden sich nur, wenn der Datenbankserver TLS aushandeln kann.

  • Nach dem Aufbau einer TLS-Verbindung vergleicht der Knoten den Unterzeichner des Zertifikats vom Datenbankserver mit der Zertifizierungsstelle im Datenbank-Stammzertifikat. Wenn sie nicht übereinstimmen, wird die Verbindung durch den Knoten hergestellt.

  • Die Knoten überprüfen außerdem, ob der Hostname im Serverzertifikat mit dem Hostnamen im Feld Datenbankhost und -port übereinstimmt. Die Namen müssen genau mit den Namen übereinstimmen, oder der Knoten unterfällt die Verbindung.

Verwenden Sie die Stammzertifikat-Steuerung unterhalb des Dropdown-Dropdowns, um den Stammzertifikat Option hochzuladen.

Wenn Sie das Stammzertifikat hochladen (falls erforderlich) und auf Weiterklicken, testet das HDS Setup Tool die TLS-Verbindung zum Datenbankserver. Das Tool überprüft auch den Zertifikat signer und den Hostnamen, falls vorhanden. Wenn ein Test fehlschlägt, zeigt das Tool eine Fehlermeldung an, in der das Problem beschrieben wird. Sie können auswählen, ob Sie den Fehler ignorieren und mit der Einrichtung fortfahren möchten. (Aufgrund von Konnektivitätsunterschieden können die HDS-Knoten möglicherweise die TLS-Verbindung herstellen, auch wenn der HDS Setup Tool-Computer sie nicht erfolgreich testen kann.)

13

Konfigurieren Sie auf der Seite „Systemprotokolle“ Ihren Syslogd-Server:

  1. Geben Sie die URL des Syslog-Servers ein.

    Wenn der Server von den Knoten für Ihren HDS-Cluster nicht per DNS auflösbar ist, verwenden Sie eine IP-Adresse in der URL.

    Beispiel:
    udp://10.92.43.23:514 zeigt die Protokollierung beim Syslogd-Host 10.92.43.23 auf UDP-Port 514 an.

  2. Wenn Sie Ihren Server für die Verwendung der TLS-Verschlüsselung eingerichtet haben, aktivieren Sie Ist Ihr Syslog-Server für die SSL-Verschlüsselung konfiguriert?.

    Wenn Sie dieses Kontrollkästchen aktivieren, stellen Sie sicher, dass Sie eine TCP-URL wie tcp://10.92.43.23:514eingeben.

  3. Wählen Sie aus der Dropdown-Liste [ Syslog-Datensatzbeendigung auswählen die entsprechende Einstellung für Ihre ISO-Datei aus: „Choose“ oder „Newline“ wird für Graylog und Rsyslog TCP verwendet.

    • Nullbyte -- \x00

    • Neue Zeile -- \n– Wählen Sie diese Option für Graylog und Rsyslog TCP.

  4. Klicken Sie auf Weiter.

14

(Optional) Sie können den Standardwert für einige Datenbankverbindungsparameter in Erweiterte Einstellungenändern. Im Allgemeinen ist dieser Parameter der einzige, den Sie möglicherweise ändern möchten:

app_datasource_connection_pool_maxSize: 10
15

Klicken Sie auf dem Bildschirm Kennwort für Dienstkonten zurücksetzen auf Weiter.

Die Gültigkeitsdauer von Dienstkontenkennwörtern beträgt neun Monate. Verwenden Sie diesen Bildschirm, wenn Ihre Passwörter bald ablaufen oder Sie sie zurücksetzen möchten, um vorherige ISO-Dateien ungültig zu machen.

16

Klicken Sie auf Download ISO File (ISO-Datei herunterladen). Speichern Sie die Datei an einem leicht zu findenden Ort.

17

Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System.

Bewahren Sie die Sicherungskopie sicher auf. Die Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff auf diejenigen Hybrid Data Security-Administratoren, die Konfigurationsänderungen vornehmen dürfen.

18

Um das Setup-Tool zu beenden, geben Sie CTRL+Cein.

Nächste Schritte

Sichern Sie die ISO-Konfigurationsdatei. Sie benötigen es, um weitere Knoten für die Wiederherstellung zu erstellen oder um Konfigurationsänderungen vorzunehmen. Wenn Sie alle Kopien der ISO-Datei verlieren, verlieren Sie auch den Hauptschlüssel. Das Wiederherstellen der Schlüssel aus Ihrer PostgreSQL- oder Microsoft SQL Server-Datenbank ist nicht möglich.

Wir verfügen nie über eine Kopie dieses Schlüssels und können Ihnen bei Verlust nicht helfen.

Installieren des HDS Host OVA

Verwenden Sie dieses Verfahren, um eine virtuelle Maschine aus der OVA-Datei zu erstellen.
1

Melden Sie sich über den VMware vSphere-Client auf Ihrem Computer bei dem ESXi virtuellen Host an.

2

Wählen Sie Datei > OVF-Vorlage bereitstellen aus.

3

Geben Sie im Assistenten den Speicherort der OVA-Datei an, die Sie zuvor heruntergeladen haben, und klicken Sie dann auf Weiter.

4

Geben Sie auf der Seite Wählen Sie einen Namen und einen Ordner aus ] einen Namen der virtuellen Maschine für den Knoten ein (z. B. „HDS_Node_1“), wählen Sie einen Speicherort aus, an dem die Bereitstellung des Knotens der virtuellen Maschine erfolgen kann, und klicken Sie dann auf Weiter.

5

Wählen Sie auf der Seite Wählen Sie eine Rechenressource aus die Ziel-Rechenressource aus und klicken Sie dann auf Weiter.

Es wird eine Validierungsprüfung durchgeführt. Nach Abschluss werden die Vorlagendetails angezeigt.

6

Überprüfen Sie die Vorlagendetails und klicken Sie dann auf Weiter.

7

Wenn Sie auf der Seite Konfiguration aufgefordert werden, die Ressourcenkonfiguration auszuwählen, klicken Sie auf 4 CPU und dann auf Weiter.

8

Klicken Sie auf der Seite Speicher auswählen ] auf Weiter, um das Standardfestplattenformat und die VM-Speicherrichtlinie zu akzeptieren.

9

Wählen Sie auf der Seite Netzwerke auswählen die Netzwerkoption aus der Liste der Einträge aus, um die gewünschte Konnektivität zur VM bereitzustellen.

10

Konfigurieren Sie auf der Seite Vorlage anpassen die folgenden Netzwerkeinstellungen:

  • Hostname– Geben Sie den FQDN (Hostname und Domäne) oder einen aus einem Wort bestehenden Hostnamen für den Knoten ein.

    • Sie müssen die Domäne nicht auf die Domäne ändern, über die Sie das X.509-Zertifikat erhalten haben.

    • Um eine erfolgreiche Registrierung in der Cloud sicherzustellen, verwenden Sie im FQDN oder Hostnamen, den Sie für den Knoten festlegen, nur Kleinbuchstaben. Großbuchstaben werden derzeit nicht unterstützt.

    • Der FQDN darf insgesamt nicht länger als 64 Zeichen sein.

  • IP-Adresse— Geben Sie die IP-Adresse für die interne Schnittstelle des Knotens ein.

    Ihr Knoten hat jetzt eine interne IP-Adresse und einen DNS-Namen. DHCP wird nicht unterstützt.

  • Maske– Geben Sie die Subnetzmaskenadresse in Dezimalschreibweise mit Punkten ein. Beispiel: 255.255.255.0.
  • Gateway– Geben Sie die Gateway-IP-Adresse ein. Ein Gateway ist ein Netzwerkknoten, der als Zugangspunkt zu einem anderen Netzwerk dient.
  • DNS-Server– Geben Sie eine durch Kommas getrennte Liste von DNS-Servern ein, die die Übersetzung von Domänennamen in numerische IP-Adressen übernehmen. (Bis zu 4 DNS-Einträge sind zulässig.)
  • NTP-Server– Geben Sie den NTP-Server Ihrer Organisation oder einen anderen externen NTP-Server ein, der in Ihrer Organisation verwendet werden kann. Die Standard-NTP-Server funktionieren möglicherweise nicht für alle Unternehmen. Sie können auch eine durch Kommas getrennte Liste verwenden, um mehrere NTP-Server einzugeben.

  • Stellen Sie alle Knoten im selben Subnetz oder VLAN bereit, sodass alle Knoten in einem Cluster für Verwaltungszwecke von Clients in Ihrem Netzwerk aus erreichbar sind.

Wenn Sie möchten, können Sie die Konfiguration der Netzwerkeinstellungen überspringen und die Schritte unter Einrichten der Hybrid Data Security VM befolgen, um die Einstellungen über die Knotenkonsole zu konfigurieren.

Die Option zum Konfigurieren der Netzwerkeinstellungen während der OVA-Bereitstellung wurde mit ESXi 7.0 und 8.0 getestet. In früheren Versionen ist die Option möglicherweise nicht verfügbar.

11

Klicken Sie mit der rechten Maustaste auf die Knoten-VM und wählen Sie dann Power > Einschalten.

Die Hybrid Data Security-Software wird als Gast auf dem VM-Host installiert. Sie können sich jetzt bei der Konsole anmelden und den Knoten konfigurieren.

Leitfaden zur Fehlerbehebung

Es kann zu einer Verzögerung von einigen Minuten kommen, bis die Knotencontainer angezeigt werden. Beim erstmaligen Start wird eine Bridge-Firewall-Nachricht angezeigt, während der Sie sich anmelden können.

Einrichten der Hybrid-Datensicherheits-VM

Verwenden Sie dieses Verfahren, um sich zum ersten Mal bei der VM-Konsole des Hybrid Data Security-Knotens anzumelden und die Anmeldeinformationen festzulegen. Sie können die Konsole auch verwenden, um die Netzwerkeinstellungen für den Knoten zu konfigurieren, wenn Sie diese zum Zeitpunkt der OVA-Bereitstellung nicht konfiguriert haben.

1

Wählen Sie im VMware vSphere-Client, Ihre Hybrid-Datensicherheitsknoten-VM und daraufhin die Registerkarte Console (Konsole) aus.

Die VM fährt hoch und ein Anmeldebildschirm erscheint. Drücken Sie die Eingabetaste, falls der Anmeldebildschirm nicht angezeigt wird.
2

Verwenden Sie den folgenden Standard-Anmeldenamen und das Standardkennwort, um sich anzumelden und die Anmeldedaten zu ändern:

  1. Benutzername: admin

  2. Passwort: cisco

Da Sie sich zum ersten Mal bei der VM anmelden, müssen Sie das Administratorkennwort ändern.

3

Wenn Sie die Netzwerkeinstellungen bereits in Installieren Sie die HDS Host OVAkonfiguriert haben, überspringen Sie den Rest dieses Verfahrens. Andernfalls wählen Sie im Hauptmenü die Option Konfiguration bearbeiten.

4

Richten Sie eine statische Konfiguration ein und geben Sie die Daten für IP-Adresse, Maske, Gateway und DNS ein. Ihr Knoten hat jetzt eine interne IP-Adresse und einen DNS-Namen. DHCP wird nicht unterstützt.

5

(Optional) Ändern Sie die Werte für Hostname, Domäne oder NTP-Server, wenn dies gemäß Ihren Netzwerkrichtlinien erforderlich ist.

Sie müssen die Domäne nicht auf die Domäne ändern, über die Sie das X.509-Zertifikat erhalten haben.

6

Speichern Sie die Netzwerkkonfiguration und starten Sie die VM neu, damit die Änderungen in Kraft treten.

Hochladen und Mounten der HDS-Konfigurations-ISO

Verwenden Sie dieses Verfahren, um die virtuelle Maschine über die ISO-Datei, die Sie mit dem HDS Setup Tool erstellt haben, zu konfigurieren.

Vorbereitungen

Da die ISO-Datei den Hauptschlüssel enthält, sollte sie nur nach dem Need-to-know-Prinzip für den Zugriff durch die Hybrid Data Security-VMs und alle Administratoren freigegeben werden, die möglicherweise Änderungen vornehmen müssen. Stellen Sie sicher, dass nur diese Administratoren Zugriff auf den Datenspeicher haben.

1

Laden Sie die ISO-Datei von Ihrem Computer hoch:

  1. Klicken Sie im linken Navigationsbereich des VMware vSphere Client auf den ESXi-Server.

  2. Klicken Sie in der Hardwareliste der Registerkarte „Configuration“ (Konfiguration) auf Storage (Speicher).

  3. Rechtsklicken Sie in der Datenspeicher-Liste auf den Datenspeicher Ihrer VMs. Klicken Sie daraufhin auf Browse Datastore (Datenspeicher durchsuchen).

  4. Klicken Sie auf das Symbol „Upload Files“ (Dateien hochladen) und daraufhin auf Upload File (Datei hochladen).

  5. Navigieren Sie zum Speicherort der ISO-Datei auf Ihrem Computer und klicken Sie auf Open (Öffnen).

  6. Klicken Sie auf Yes (Ja), um die Upload/Download-Warnung zu bestätigen und schließen Sie den Datenspeicherdialog.

2

Mounten Sie die ISO-Datei:

  1. Rechtsklicken Sie im linken Navigationsbereich des VMware vSphere Client auf die VM. Klicken Sie daraufhin auf Edit Settings (Einstellungen bearbeiten).

  2. Klicken Sie auf OK, um die Warnung zu eingeschränkten Optionen zu bestätigen.

  3. Klicken Sie auf CD/DVD Drive 1, wählen Sie die Option zum Mounten aus einer Datastore-ISO-Datei und navigieren Sie zu dem Speicherort, an dem Sie die ISO-Konfigurationsdatei hochgeladen haben.

  4. Aktivieren Sie die Kontrollkästchen Connected (Verbunden) und Connect at power on (Beim Einschalten verbinden).

  5. Speichern Sie Ihre Änderungen und starten Sie die virtuelle Maschine neu.

Nächste Schritte

Wenn Ihre IT-Richtlinie dies erfordert, können Sie die ISO-Datei optional aushängen, nachdem alle Ihre Knoten die Konfigurationsänderungen übernommen haben. Weitere Einzelheiten finden Sie unter (Optional) ISO nach HDS-Konfiguration aushängen.

Konfigurieren des HDS Knotens für Proxyintegration

Wenn die Netzwerkumgebung einen Proxy erfordert, geben Sie mit diesem Vorgang den Typ des Proxy an, den Sie in die Hybriddatensicherheit integrieren möchten. Wenn Sie einen transparenten Anrufproxy oder einen HTTPS expliziten Proxy wählen, können Sie die Stammzertifikat über die Schnittstelle des Knotens hochladen und installiert werden. Sie können auch die Proxyverbindung über die Schnittstelle überprüfen und mögliche Probleme beheben.

Vorbereitungen

1

Geben Sie die HDS-Knoten-Setup-URL https://[HDS Node IP or FQDN]/setup in einen Webbrowser ein, geben Sie die Administratoranmeldeinformationen ein, die Sie für den Knoten eingerichtet haben, und klicken Sie dann auf Anmelden.

2

Gehen Sie zu Trust Store & Proxyund wählen Sie dann eine Option:

  • Kein Proxy– Die Standardoption, bevor Sie einen Proxy integrieren. Es ist keine Zertifikatsaktualisierung erforderlich.
  • Transparenter nicht prüfender Proxy– Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert und sollten keine Änderungen erfordern, um mit einem nicht prüfenden Proxy zu funktionieren. Es ist keine Zertifikatsaktualisierung erforderlich.
  • Transparent Inspecting Proxy– Knoten sind nicht für die Verwendung einer bestimmten Proxyserveradresse konfiguriert. Bei der Bereitstellung der Hybriden Datensicherheit sind keine HTTPS-Konfigurationshinstellungsänderungen erforderlich, allerdings benötigen die Hägg-Knoten eine Stammzertifikat, damit Sie dem Proxy Vertrauen. Die Inspektion von Proxys wird in der Regel von ihm verwendet, um Strategien durchzusetzen, welche Websites besichtigt werden können und welche Arten von Inhalten nicht zulässig sind. Diese Art von Proxy entschlüsselt den gesamten Datenverkehr (auch HTTPS).
  • Expliziter Proxy– Mit explizitem Proxy teilen Sie dem Client (HDS-Knoten) mit, welcher Proxyserver verwendet werden soll. Diese Option unterstützt mehrere Authentifizierungstypen. Nachdem Sie diese Option aktiviert haben, müssen Sie folgende Informationen eingeben:

    1. Proxy IP/FQDN– Adresse, über die der Proxy-Computer erreicht werden kann.

    2. Proxy-Port– Eine Portnummer, die der Proxy verwendet, um auf den weitergeleiteten Datenverkehr zu lauschen.

    3. Proxy-Protokoll– Wählen Sie http (zeigt und steuert alle Anfragen, die vom Client empfangen werden) oder https (stellt einen Kanal zum Server bereit und der Client empfängt und validiert das Zertifikat des Servers). Wählen Sie eine Option, basierend auf Ihren Proxy-Server unterstützt.

    4. Authentifizierungstyp– Wählen Sie aus den folgenden Authentifizierungstypen:

      • Keine– Es ist keine weitere Authentifizierung erforderlich.

        Verfügbar für http oder HTTPS.

      • Basic– Wird für einen HTTP-Benutzeragenten verwendet, um bei einer Anfrage einen Benutzernamen und ein Kennwort bereitzustellen. Zertifikatsformat verwendet.

        Verfügbar für http oder HTTPS.

        Wenn Sie diese Option auswählen, müssen Sie auch die Benutzername und das Passwort eingeben.

      • Digest– Wird verwendet, um das Konto zu bestätigen, bevor vertrauliche Informationen gesendet werden. Gibt eine Hashfunktion auf die Benutzername und das Passwort ein, bevor Sie über das Netzwerk senden.

        Nur für HTTPS Proxies verfügbar.

        Wenn Sie diese Option auswählen, müssen Sie auch die Benutzername und das Passwort eingeben.

Befolgen Sie die nächsten Schritte für einen transparenten Inspektionsproxy, einen HTTP expliziten Proxy mit Basisauthentifizierung oder einen HTTPS expliziten Proxy

3

Klicken Sie auf ein Zertifikat für das Stammzertifikat oder Endnutzerzertifikat hochladen, und navigieren Sie dann zu einer Stammzertifikat für den Proxy.

Das Zertifikat ist hochgeladen, aber noch nicht installiert, da Sie den Knoten neu starten müssen, um das Zertifikat zu installieren. Klicken Sie auf den Chevron Pfeil unter dem Namen des Zertifikats, um weitere Details zu erhalten, oder klicken Sie auf löschen, Wenn Sie Fehler gemacht haben und die Datei erneut hochladen möchten.

4

Klicken Sie auf Stellvertreterverbindung prüfen , um die Netzwerkverbindung zwischen dem Knoten und dem Proxy zu testen.

Wenn der Verbindungstest ausfällt, wird eine Fehlermeldung angezeigt, die den Grund und die Frage, wie Sie das Problem beheben können, anzeigt.

Wenn Sie eine Meldung sehen, dass eine externe DNS nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen. Diese Bedingung wird in vielen expliziten Proxykonfigurationen erwartet. Sie können mit dem Setup fortfahren, und der Knoten wird im gesperrten externen DNS-Server funktionieren. Wenn Sie der Meinung sind, dass es sich hierbei um einen Fehler handelt, führen Sie diese Schritte aus und lesen Sie dann Blockierten externen DNS-Auflösungsmodus deaktivieren.

5

Nach dem Durchführen des Verbindungstests, für expliziten Proxy, der nur auf HTTPS gesetzt ist, aktivieren Sie die Option so schalten Sie alle Port 443/444 https Anfragen aus diesem Knoten durch den expliziten Proxy Diese Einstellung benötigt 15 Sekunden, um wirksam zu werden.

6

Klicken Sie auf alle-Zertifizierungsstellen in den Trust Store installieren (erscheint für einen HTTPS expliziten Proxy oder einen transparenten Inspektionskrimi) oder Neustart (erscheint für einen HTTP expliziten Proxy), lesen Sie die Aufforderung, und klicken Sie dann auf in

Der Knoten startet innerhalb weniger Minuten.

7

Nachdem der Knoten erneut gestartet wurde, melden Sie sich bei Bedarf erneut an, und öffnen Sie dann die Übersichtsseite, um die Verbindungsüberprüfungen zu überprüfen, um sicherzustellen, dass Sie alle im grünen Status sind.

Die Proxyverbindung prüft nur eine Unterdomäne von WebEx.com. Wenn es Verbindungsprobleme gibt, ist ein häufiges Problem, dass einige der in den instructions aufgeführten-C-Domänen beim Proxy gesperrt werden.

Registrieren Sie den ersten Knoten im Cluster

Diese Aufgabe nimmt den generischen Knoten, den Sie unter Einrichten der Hybrid Data Security VMerstellt haben, registriert den Knoten bei der Webex-Cloud und macht ihn zu einem Hybrid Data Security-Knoten.

Bei der Registrierung Ihres ersten Knotens erstellen Sie ein Cluster, zu dem der Knoten zugewiesen wird. Ein Cluster umfasst einen oder mehrere Knoten, die aus Redundanzgründen bereitgestellt werden.

Vorbereitungen

  • Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.

  • Stellen Sie sicher, dass alle Popup-Blocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.

1

Melden Sie sich bei https://admin.webex.com an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach der Karte „Hybrid Data Security“ und klicken Sie auf Einrichten.

4

Klicken Sie auf der sich öffnenden Seite auf Ressource hinzufügen.

5

Geben Sie im ersten Feld der Karte Knoten hinzufügen einen Namen für den Cluster ein, dem Sie Ihren Hybrid Data Security-Knoten zuweisen möchten.

Benennen Sie Ihre Cluster nach Möglichkeit nach dem geografischen Standort der Clusterknoten. Beispiele: „San Francisco“ oder „New York“ oder „Dallas“

6

Geben Sie im zweiten Feld die interne IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) Ihres Knotens ein und klicken Sie unten auf dem Bildschirm auf Hinzufügen.

Diese IP-Adresse oder dieser FQDN sollte mit der IP-Adresse oder dem Hostnamen und der Domäne übereinstimmen, die Sie in Einrichten der Hybrid Data Security VMverwendet haben.

Es wird eine Meldung angezeigt, die angibt, dass Sie Ihren Knoten bei Webex registrieren können.
7

Klicken Sie auf Go to Node (Zum Knoten wechseln).

Nach einigen Augenblicken werden Sie zu den Knotenkonnektivitätstests für Webex-Dienste weitergeleitet. Sind alle Tests erfolgreich, wird die Seite „Allow Access to Hybrid Data Security Node“ (Zugriff zu Hybrid-Datensicherheits-Knoten gewähren) angezeigt. Dort bestätigen Sie, dass Sie Ihrer Webex-Organisation die Berechtigung zum Zugriff auf Ihren Knoten erteilen möchten.

8

Aktivieren Sie das Kontrollkästchen Allow Access to Your Hybrid Data Security Node (Zugriff zu Ihrem Hybrid-Datensicherheits-Knoten gewähren) und klicken Sie anschließend auf Continue (Weiter).

Ihr Konto wird validiert und die Meldung „Registrierung abgeschlossen“ zeigt an, dass Ihr Knoten jetzt bei der Webex-Cloud registriert ist.
9

Klicken Sie auf den Link oder schließen Sie die Registerkarte, um zur Seite „Hybrid Data Security“ des Partner Hub zurückzukehren.

Auf der Seite Hybrid Data Security wird unter der Registerkarte Resources der neue Cluster angezeigt, der den von Ihnen registrierten Knoten enthält. Der Knoten lädt die aktuelle Software automatisch aus der Cloud herunter.

Erstellen und registrieren Sie weitere Knoten

Um Ihrem Cluster weitere Knoten hinzuzufügen, erstellen Sie einfach weitere VMs, mounten die ISO-Konfigurationsdatei und registrieren daraufhin den Knoten. Wir empfehlen, mindestens 3 Knoten zu betreiben.

Vorbereitungen

  • Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.

  • Stellen Sie sicher, dass alle Popup-Blocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.

1

Erstellen Sie eine neue virtuelle Maschine aus der OVA, indem Sie die Schritte unter Installieren der HDS-Host-OVAwiederholen.

2

Richten Sie die Erstkonfiguration auf der neuen VM ein, indem Sie die Schritte unter Einrichten der Hybrid Data Security VMwiederholen.

3

Wiederholen Sie auf der neuen VM die Schritte unter Hochladen und Mounten der HDS-Konfigurations-ISO.

4

Wenn Sie einen Proxy für Ihre Bereitstellung einrichten, wiederholen Sie die Schritte in Konfigurieren des HDS-Knotens für die Proxy-Integration nach Bedarf für den neuen Knoten.

5

Registrieren Sie den Knoten.

  1. Wählen Sie unter https://admin.webex.com Services (Dienste) aus dem Menü auf der linken Bildschirmseite aus.

  2. Suchen Sie im Abschnitt „Cloud-Dienste“ nach der Karte „Hybrid Data Security“ und klicken Sie auf Alle anzeigen.

    Die Seite „Hybrid Data Security-Ressourcen“ wird angezeigt.

  3. Der neu erstellte Cluster wird auf der Seite Ressourcen angezeigt.

  4. Klicken Sie auf den Cluster, um die dem Cluster zugewiesenen Knoten anzuzeigen.

  5. Klicken Sie auf der rechten Seite des Bildschirms auf Knoten hinzufügen.

  6. Geben Sie die interne IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) Ihres Knotens ein und klicken Sie auf Hinzufügen.

    Es öffnet sich eine Seite mit der Meldung, dass Sie Ihren Knoten bei der Webex-Cloud registrieren können. Nach einigen Augenblicken werden Sie zu den Knotenkonnektivitätstests für Webex-Dienste weitergeleitet. Sind alle Tests erfolgreich, wird die Seite „Allow Access to Hybrid Data Security Node“ (Zugriff zu Hybrid-Datensicherheits-Knoten gewähren) angezeigt. Dort bestätigen Sie, dass Sie Ihrer Organisation die Berechtigung zum Zugriff auf Ihren Knoten erteilen möchten.

  7. Aktivieren Sie das Kontrollkästchen Allow Access to Your Hybrid Data Security Node (Zugriff zu Ihrem Hybrid-Datensicherheits-Knoten gewähren) und klicken Sie anschließend auf Continue (Weiter).

    Ihr Konto wird validiert und die Meldung „Registrierung abgeschlossen“ zeigt an, dass Ihr Knoten jetzt bei der Webex-Cloud registriert ist.

  8. Klicken Sie auf den Link oder schließen Sie die Registerkarte, um zur Seite „Hybrid Data Security“ des Partner Hub zurückzukehren.

    Die Popup-MeldungKnoten hinzugefügt wird auch unten auf dem Bildschirm im Partner Hub angezeigt.

    Ihr Knoten ist registriert.

Verwalten Sie Mandantenorganisationen mit Multi-Tenant Hybrid Data Security

Aktivieren Sie Multi-Tenant HDS auf Partner Hub

Diese Aufgabe stellt sicher, dass alle Benutzer der Kundenorganisationen HDS für lokale Verschlüsselungsschlüssel und andere Sicherheitsdienste nutzen können.

Vorbereitungen

Stellen Sie sicher, dass Sie die Einrichtung Ihres Multi-Tenant-HDS-Clusters mit der erforderlichen Anzahl an Knoten abgeschlossen haben.

1

Melden Sie sich bei https://admin.webex.com an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach „Hybrid Data Security“ und klicken Sie auf Einstellungen bearbeiten.

4

Klicken Sie auf der Karte [ HDS-Status [ auf HDS aktivieren.

Mandantenorganisationen im Partner Hub hinzufügen

In dieser Aufgabe weisen Sie Ihrem Hybrid Data Security Cluster Kundenorganisationen zu.

1

Melden Sie sich bei https://admin.webex.com an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach „Hybrid Data Security“ und klicken Sie auf Alle anzeigen.

4

Klicken Sie auf den Cluster, dem Sie einen Kunden zuordnen möchten.

5

Gehen Sie auf den Reiter Zugewiesene Kunden.

6

Klicken Sie auf Kunden hinzufügen.

7

Wählen Sie aus dem Dropdown-Menü den Kunden aus, den Sie hinzufügen möchten.

8

Klicken Sie auf Hinzufügen, der Kunde wird dem Cluster hinzugefügt.

9

Wiederholen Sie die Schritte 6 bis 8, um Ihrem Cluster mehrere Kunden hinzuzufügen.

10

Klicken Sie unten auf dem Bildschirm auf Fertig, nachdem Sie die Kunden hinzugefügt haben.

Nächste Schritte

Führen Sie das HDS-Setup-Tool wie unter Erstellen von Customer Main Keys (CMKs) mit dem HDS-Setup-Tool beschrieben aus, um den Setup-Vorgang abzuschließen.

Erstellen Sie Customer Main Keys (CMKs) mit dem HDS-Setup-Tool

Vorbereitungen

Weisen Sie Kunden dem entsprechenden Cluster zu, wie unter Mandantenorganisationen im Partner Hub hinzufügenbeschrieben. Führen Sie das HDS-Setup-Tool aus, um den Einrichtungsprozess für die neu hinzugefügten Kundenorganisationen abzuschließen.

  • Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zu zugreifen, führen Sie Docker auf diesem Computer aus. Für den Einrichtungsvorgang sind die Anmeldeinformationen eines Partner Hub-Kontos mit vollständigen Administratorrechten für Ihre Organisation erforderlich.

    Wenn das HDS-Setup-Tool in Ihrer Umgebung hinter einem Proxy ausgeführt wird, geben Sie die Proxy-Einstellungen (Server, Port, Anmeldeinformationen) über Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in Schritt 5aufrufen. Diese Tabelle enthält einige mögliche Umgebungsvariablen:

    Beschreibung

    Variable

    HTTP-Proxy ohne Authentifizierung

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-Proxy ohne Authentifizierung

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-Proxy mit Authentifizierung

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-Proxy mit Authentifizierung

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Die von Ihnen generierte ISO-Konfigurationsdatei enthält den Hauptschlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die neueste Kopie dieser Datei immer dann, wenn Sie Konfigurationsänderungen vornehmen, wie etwa die folgenden:

    • Datenbankanmeldeinformationen

    • Zertifikatsaktualisierungen

    • Änderungen der Autorisierungsrichtlinie

  • Wenn Sie Datenbankverbindungen verschlüsseln möchten, richten Sie Ihre PostgreSQL- oder SQL Server-Bereitstellung für TLS ein.

Der Einrichtungsprozess von Hybrid Data Security erstellt eine ISO-Datei. Anschließend verwenden Sie die ISO, um Ihren Hybrid Data Security-Host zu konfigurieren.

1

Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

In regulären Umgebungen:

docker rmi ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

docker rmi ciscocitg/hds-setup-fedramp:stable

Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

2

Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

docker login -u hdscustomersro
3

Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

In regulären Umgebungen:

docker pull ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

  • In regulären Umgebungen ohne Proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTP-Proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTPS-Proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In FedRAMP-Umgebungen ohne Proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express-Server hören auf Port 8080) sehen.

6

Das Setup-Tool unterstützt keine Verbindung zum lokalen Host über http://localhost:8080. Verwenden Sie http://127.0.0.1:8080, um eine Verbindung zum lokalen Host herzustellen.

Gehen Sie mit einem Webbrowser zum lokalen Host http://127.0.0.1:8080und geben Sie an der Eingabeaufforderung den Administratorbenutzernamen für Partner Hub ein.

Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto festzulegen. Das Tool zeigt dann die Standard-Anmeldeaufforderung an.

7

Geben Sie bei der entsprechenden Aufforderung Ihre Partner Hub-Administratoranmeldeinformationen ein und klicken Sie dann auf Anmelden, um den Zugriff auf die erforderlichen Dienste für Hybrid Data Security zu ermöglichen.

8

Klicken Sie auf der Übersichtsseite des Setup Tool auf Get Started (Erste Schritte).

9

Klicken Sie auf der Seite ISO-Import auf Ja.

10

Wählen Sie Ihre ISO-Datei im Browser aus und laden Sie sie hoch.

Stellen Sie die Verbindung zu Ihrer Datenbank sicher, um die CMK-Verwaltung durchzuführen.
11

Gehen Sie zur Registerkarte Tenant CMK Management, wo Sie die folgenden drei Möglichkeiten zum Verwalten von Tenant CMKs finden.

  • CMK für alle ORGs erstellen oder CMK erstellen – Klicken Sie auf diese Schaltfläche im Banner oben auf dem Bildschirm, um CMKs für alle neu hinzugefügten Organisationen zu erstellen.
  • Klicken Sie auf der rechten Seite des Bildschirms auf die Schaltfläche CMKs verwalten und klicken Sie auf CMKs erstellen, um CMKs für alle neu hinzugefügten Organisationen zu erstellen.
  • Klicken Sie in der Tabelle neben dem ausstehenden CMK-Verwaltungsstatus einer bestimmten Organisation auf … und klicken Sie auf CMK erstellen, um CMK für diese Organisation zu erstellen.
12

Sobald die CMK-Erstellung erfolgreich war, ändert sich der Status in der Tabelle von CMK-Verwaltung ausstehend zu CMK verwaltet.

13

Wenn die CMK-Erstellung nicht erfolgreich ist, wird ein Fehler angezeigt.

Entfernen von Mandantenorganisationen

Vorbereitungen

Nach der Entfernung können Benutzer von Kundenorganisationen HDS nicht mehr für ihre Verschlüsselungsanforderungen nutzen und verlieren alle vorhandenen Speicherplätze. Bevor Sie Kundenorganisationen entfernen, wenden Sie sich bitte an Ihren Cisco-Partner oder Account Manager.

1

Melden Sie sich bei https://admin.webex.com an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach „Hybrid Data Security“ und klicken Sie auf Alle anzeigen.

4

Klicken Sie auf der Registerkarte Ressourcen auf den Cluster, aus dem Sie Kundenorganisationen entfernen möchten.

5

Klicken Sie auf der sich öffnenden Seite auf Zugewiesene Kunden.

6

Klicken Sie in der Liste der angezeigten Kundenorganisationen rechts neben der Kundenorganisation, die Sie entfernen möchten, auf ... und klicken Sie auf Aus Cluster entfernen.

Nächste Schritte

Schließen Sie den Entfernungsprozess ab, indem Sie die CMKs der Kundenorganisationen widerrufen, wie unter CMKs von aus HDS entfernten Mandanten widerrufen beschrieben.

Widerrufen Sie CMKs von Mandanten, die aus HDS entfernt wurden.

Vorbereitungen

Entfernen Sie Kunden aus dem entsprechenden Cluster, wie unter Mandantenorganisationen entfernenbeschrieben. Führen Sie das HDS-Setup-Tool aus, um den Entfernungsprozess für die entfernten Kundenorganisationen abzuschließen.

  • Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zu zugreifen, führen Sie Docker auf diesem Computer aus. Für den Einrichtungsvorgang sind die Anmeldeinformationen eines Partner Hub-Kontos mit vollständigen Administratorrechten für Ihre Organisation erforderlich.

    Wenn das HDS-Setup-Tool in Ihrer Umgebung hinter einem Proxy ausgeführt wird, geben Sie die Proxy-Einstellungen (Server, Port, Anmeldeinformationen) über Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in Schritt 5aufrufen. Diese Tabelle enthält einige mögliche Umgebungsvariablen:

    Beschreibung

    Variable

    HTTP-Proxy ohne Authentifizierung

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-Proxy ohne Authentifizierung

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-Proxy mit Authentifizierung

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-Proxy mit Authentifizierung

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Die von Ihnen generierte ISO-Konfigurationsdatei enthält den Hauptschlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die neueste Kopie dieser Datei immer dann, wenn Sie Konfigurationsänderungen vornehmen, wie etwa die folgenden:

    • Datenbankanmeldeinformationen

    • Zertifikatsaktualisierungen

    • Änderungen der Autorisierungsrichtlinie

  • Wenn Sie Datenbankverbindungen verschlüsseln möchten, richten Sie Ihre PostgreSQL- oder SQL Server-Bereitstellung für TLS ein.

Der Einrichtungsprozess von Hybrid Data Security erstellt eine ISO-Datei. Anschließend verwenden Sie die ISO, um Ihren Hybrid Data Security-Host zu konfigurieren.

1

Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

In regulären Umgebungen:

docker rmi ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

docker rmi ciscocitg/hds-setup-fedramp:stable

Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

2

Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

docker login -u hdscustomersro
3

Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

In regulären Umgebungen:

docker pull ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

  • In regulären Umgebungen ohne Proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTP-Proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTPS-Proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In FedRAMP-Umgebungen ohne Proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express-Server hören auf Port 8080) sehen.

6

Das Setup-Tool unterstützt keine Verbindung zum lokalen Host über http://localhost:8080. Verwenden Sie http://127.0.0.1:8080, um eine Verbindung zum lokalen Host herzustellen.

Gehen Sie mit einem Webbrowser zum lokalen Host http://127.0.0.1:8080und geben Sie an der Eingabeaufforderung den Administratorbenutzernamen für Partner Hub ein.

Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto festzulegen. Das Tool zeigt dann die Standard-Anmeldeaufforderung an.

7

Geben Sie bei der entsprechenden Aufforderung Ihre Partner Hub-Administratoranmeldeinformationen ein und klicken Sie dann auf Anmelden, um den Zugriff auf die erforderlichen Dienste für Hybrid Data Security zu ermöglichen.

8

Klicken Sie auf der Übersichtsseite des Setup Tool auf Get Started (Erste Schritte).

9

Klicken Sie auf der Seite ISO-Import auf Ja.

10

Wählen Sie Ihre ISO-Datei im Browser aus und laden Sie sie hoch.

11

Gehen Sie zur Registerkarte Tenant CMK Management, wo Sie die folgenden drei Möglichkeiten zum Verwalten von Tenant CMKs finden.

  • CMK für alle ORGs widerrufen oder CMK widerrufen – Klicken Sie auf diese Schaltfläche im Banner oben auf dem Bildschirm, um CMKs aller entfernten Organisationen zu widerrufen.
  • Klicken Sie auf der rechten Seite des Bildschirms auf die Schaltfläche CMKs verwalten und klicken Sie auf CMKs widerrufen, um die CMKs aller entfernten Organisationen zu widerrufen.
  • Klicken Sie in der Tabelle neben dem Status Zu widerrufender CMK einer bestimmten Organisation auf [ und klicken Sie auf CMK widerrufen, um CMK für diese bestimmte Organisation zu widerrufen.
12

Sobald der CMK-Widerruf erfolgreich war, wird die Kundenorganisation nicht mehr in der Tabelle angezeigt.

13

Wenn der CMK-Widerruf nicht erfolgreich ist, wird ein Fehler angezeigt.

Testen Sie Ihre Hybrid Data Security-Bereitstellung

Testen Ihrer Bereitstellung für die Hybrid-Datensicherheit

Verwenden Sie dieses Verfahren, um Multi-Tenant-Hybrid-Datensicherheits-Verschlüsselungsszenarien zu testen.

Vorbereitungen

  • Richten Sie Ihre Multi-Tenant-Hybrid-Datensicherheitsbereitstellung ein.

  • Stellen Sie sicher, dass Sie Zugriff auf das Syslog haben, um zu überprüfen, ob wichtige Anforderungen an Ihre Multi-Tenant Hybrid Data Security-Bereitstellung weitergeleitet werden.

1

Schlüssel für einen bestimmten Bereich werden vom Ersteller des Bereichs festgelegt. Melden Sie sich als Benutzer der Kundenorganisation bei der Webex-App an und erstellen Sie dann einen Bereich.

Wenn Sie die Bereitstellung der Hybrid Data Security deaktivieren, sind Inhalte in von Benutzern erstellten Bereichen nicht mehr zugänglich, sobald die im Client zwischengespeicherten Kopien der Verschlüsselungsschlüssel ersetzt wurden.

2

Senden Sie Nachrichten an den neuen Bereich.

3

Überprüfen Sie die Syslog-Ausgabe, um sicherzustellen, dass die Schlüsselanforderungen an Ihre Hybrid Data Security-Bereitstellung weitergeleitet werden.

Wenn ein Benutzer einer neu hinzugefügten Kundenorganisation eine Aktion ausführt, wird die Org-ID der Organisation in den Protokollen angezeigt. Damit kann überprüft werden, ob die Organisation Multi-Tenant HDS nutzt. Überprüfen Sie den Wert von kms.data.orgId in den Syslogs.

  1. Um zu prüfen, ob ein Benutzer zuerst einen sicheren Kanal zum KMS aufbaut, filtern Sie nach kms.data.method=create und kms.data.type=EPHEMERAL_KEY_COLLECTION. :

    Sie sollten einen Eintrag wie den folgenden finden (IDs wurden zur besseren Lesbarkeit gekürzt):
    2025-04-10 04:38:20.208 (+0000) INFO  KMS [pool-19-thread-13] - [KMS:REQUEST] received, deviceId: 
https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5 ecdheKid: kms://collabdemoorg.cisco.com/statickeys/8[~]3 
clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]6,
 kms.data.method=create, kms.merc.id=d[~]7, kms.merc.sync=false, kms.data.uriHost=collabdemoorg.cisco.com, 
kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=1[~]f, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/ecdhe, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  2. Um nach einem Benutzer zu suchen, der einen vorhandenen Schlüssel vom KMS anfordert, filtern Sie nach kms.data.method=retrieve und kms.data.type=KEY. :

    Sie sollten einen Eintrag wie den folgenden finden:
    2025-04-10 04:38:24.144 (+0000) INFO  KMS [pool-19-thread-26] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558)
 WEBEX_TRACKINGID=webex-web-client_0[~]0, kms.data.method=retrieve, kms.merc.id=5[~]3, kms.merc.sync=false,
 kms.data.uriHost=collabdemoorg.cisco.com, kms.data.type=KEY, kms.data.requestId=4[~]7, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/keys/2[~]e, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  3. Um nach einem Benutzer zu suchen, der die Erstellung eines neuen KMS-Schlüssels anfordert, filtern Sie nach kms.data.method=create und kms.data.type=KEY_COLLECTION:

    Sie sollten einen Eintrag wie den folgenden finden:
    2025-04-10 04:42:22.739 (+0000) INFO  KMS [pool-19-thread-29] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::7 orgId: 2[~]b
 (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]3, kms.data.method=create, 
kms.merc.id=6[~]4, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, 
kms.data.orgId=2[~]b, kms.data.uri=/keys, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  4. Um zu prüfen, ob ein Benutzer die Erstellung eines neuen KMS-Ressourcenobjekts (KRO) anfordert, wenn ein Bereich oder eine andere geschützte Ressource erstellt wird, filtern Sie nach kms.data.method=create und kms.data.type=RESOURCE_COLLECTION:

    Sie sollten einen Eintrag wie den folgenden finden: 
    2025-04-10 04:42:23.690 (+0000) INFO  KMS [pool-19-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/3[~]6 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 
clusterConnection: prodachm::1 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]2,
 kms.data.method=create, kms.merc.id=3[~]0, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=5[~]8, kms.data.orgId=2[~]b, kms.data.uri=/resources, kms.data.userId=1[~]f, kms.data.httpUserAgent=conversation

Überwachen des Status der Hybrid-Datensicherheit

Eine Statusanzeige im Partner Hub zeigt Ihnen, ob mit der Bereitstellung der Multi-Tenant Hybrid Data Security alles in Ordnung ist. Für stärker proaktive Warnungen können Sie sich für E-Mail-Benachrichtigungen anmelden. Sie werden benachrichtigt, wenn Alarme oder Software-Upgrades den Dienst beeinträchtigen.
1

Wählen Sie im Partner Hubim Menü auf der linken Seite des Bildschirms Services aus.

2

Suchen Sie im Abschnitt „Cloud-Dienste“ nach „Hybrid Data Security“ und klicken Sie auf Einstellungen bearbeiten.

Die Seite „Hybrid Data Security Settings“ (Einstellungen für Hybrid-Datensicherheit) wird angezeigt.
3

Geben Sie im Abschnitt zu E-Mail-Benachrichtigungen eine oder mehrere Adressen durch Komma getrennt ein und drücken Sie Enter.

Verwalten Ihrer HDS-Bereitstellung

Verwalten der HDS-Bereitstellung

Verwenden Sie die hier beschriebenen Aufgaben, um Ihre Hybrid Data Security-Bereitstellung zu verwalten.

Festlegen des Upgrade-Zeitplans für Cluster

Software-Upgrades für Hybrid Data Security werden automatisch auf Clusterebene durchgeführt, wodurch sichergestellt wird, dass auf allen Knoten immer dieselbe Softwareversion ausgeführt wird. Die Upgrades werden gemäß des Upgrade-Zeitplans für den Cluster ausgeführt. Sie können neue verfügbare Software-Upgrades optional auch vor dem geplanten Upgrade-Zeitpunkt manuell installieren. Sie können einen eigenen Upgrade-Zeitplan festlegen oder den Standardzeitplan um 3:00 Uhr morgens täglich für USA: Amerika/Los Angeles verwenden. Bei Bedarf können Sie anstehende Upgrades auch verzögern.

So legen Sie den Upgrade-Zeitplan fest:

1

Melden Sie sich bei Partner Hub an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Suchen Sie im Abschnitt „Cloud-Dienste“ nach „Hybrid Data Security“ und klicken Sie auf Einrichten

4

Wählen Sie auf der Seite „Hybrid Data Security Resources“ den Cluster aus.

5

Klicken Sie auf die Registerkarte Clustereinstellungen.

6

Wählen Sie auf der Seite „Clustereinstellungen“ unter „Upgradezeitplan“ die Uhrzeit und Zeitzone für den Upgradezeitplan aus.

Hinweis: Unter der Zeitzone wird der nächste verfügbare Zeitpunkt für ein Upgrade angezeigt. Sie können das Upgrade bei Bedarf auf den nächsten Tag verschieben, indem Sie auf Um 24 Stunden verschiebenklicken.

Ändern der Knotenkonfiguration

Gelegentlich kann es erforderlich sein, die Konfiguration Ihres Hybrid-Datensicherheitsknotens zu ändern, z. B.:

  • Änderung der x.509-Zertifikate aufgrund Ablaufs oder anderer Gründe.

    Wir unterstützen keine Änderung des CN-Domänennamens eines Zertifikats. Die Domäne muss mit der Originaldomäne übereinstimmen, die zur Registrierung des Clusters verwendet wurde.

  • Datenbankeinstellungen werden aktualisiert, um auf eine Replik der PostgreSQL- oder Microsoft SQL Server-Datenbank zu wechseln.

    Wir unterstützen keine Migration von Daten von PostgreSQL zu Microsoft SQL Server oder auf den entgegengesetzten Weg. Um die Datenbankumgebung zu wechseln, starten Sie eine neue Bereitstellung von Hybrid Data Security.

  • Erstellen einer neuen Konfiguration, um ein neues Datenzentrum vorzubereiten.

Aus Sicherheitsgründen verwendet Hybrid Data Security Dienstkonto-Passwörter mit einer Laufzeit von neun Monaten. Nachdem das HDS Setup Tool diese Passwörter generiert hat, stellen Sie sie für jeden Ihrer HDS-Knoten in der ISO-Konfigurationsdatei bereit. Wenn die Kennwörter Ihrer Organisation fast ablaufen, erhalten Sie eine Benachrichtigung vom Webex-Team, mit der Sie das Passwort für Ihr Computerkonto zurücksetzen können. (Die E-Mail enthält den Text "Verwenden Sie die Maschinenkonto-API, um das Passwort zu aktualisieren"). Wenn Ihre Passwörter noch nicht abgelaufen sind, bietet Ihnen das Tool zwei Optionen:

  • Soft-Reset– Das alte und das neue Passwort sind jeweils bis zu 10 Tage lang gültig. Verwenden Sie diesen Zeitraum, um die ISO-Datei der Knoten schrittweise zu ersetzen.

  • Hard Reset—Die alten Passwörter funktionieren sofort nicht mehr.

Wenn Ihre Passwörter ohne Zurücksetzen ablaufen, wirkt sich dies auf Ihren HDS-Dienst aus, was ein sofortiges Zurücksetzen und Ersetzen der ISO-Datei auf allen Knoten erfordert.

Verwenden Sie dieses Verfahren, um eine neue ISO-Konfigurationsdatei zu generieren und auf Ihren Cluster anzuwenden.

Vorbereitungen

  • Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zu zugreifen, führen Sie Docker auf diesem Computer aus. Für den Einrichtungsvorgang sind die Anmeldeinformationen eines Partner Hub-Kontos mit vollständigen Administratorrechten für Partner erforderlich.

    Wenn Sie keine Docker Desktop-Lizenz haben, können Sie Podman Desktop verwenden, um das HDS-Setup-Tool für die Schritte 1.a bis 1.e im folgenden Verfahren auszuführen. Weitere Einzelheiten finden Sie unter HDS-Setup-Tool mit Podman Desktop ausführen.

    Wenn das HDS-Setup-Tool in Ihrer Umgebung hinter einem Proxy ausgeführt wird, geben Sie die Proxy-Einstellungen (Server, Port, Anmeldeinformationen) über Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in 1.eaufrufen. Diese Tabelle enthält einige mögliche Umgebungsvariablen:

    Beschreibung

    Variable

    HTTP-Proxy ohne Authentifizierung

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-Proxy ohne Authentifizierung

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-Proxy mit Authentifizierung

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-Proxy mit Authentifizierung

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Um eine neue Konfiguration zu erstellen, benötigen Sie eine Kopie der aktuellen ISO-Konfigurationsdatei. Die ISO enthält den Masterschlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die ISO-Datei, wenn Sie Konfigurationsänderungen vornehmen, wie z. B. Datenbank-Anmeldeinformationen, Zertifikataktualisierungen oder Änderungen an der Autorisierungsrichtlinie.

1

Führen Sie auf einem lokalen Computer, auf dem Docker läuft, das HDS Setup Tool aus.

  1. Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

    In regulären Umgebungen:

    docker rmi ciscocitg/hds-setup:stable

    In FedRAMP-Umgebungen:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

  2. Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

    docker login -u hdscustomersro

  3. Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

    In regulären Umgebungen:

    docker pull ciscocitg/hds-setup:stable

    In FedRAMP-Umgebungen:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Stellen Sie sicher, dass Sie für hierfür per Pull das neueste Setup-Tool aufrufen. Versionen des Tools, die vor dem 22. Februar 2018 erstellt wurden, verfügen nicht über die Bildschirme zum Zurücksetzen des Passworts.

  5. Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

    • In regulären Umgebungen ohne Proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • In regulären Umgebungen mit einem HTTP-Proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • In regulären Umgebungen mit einem HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • In FedRAMP-Umgebungen ohne Proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express-Server hören auf Port 8080) sehen.

  6. Verwenden Sie einen Browser, um sich mit dem Localhost zu http://127.0.0.1:8080verbinden.

    Das Setup-Tool unterstützt keine Verbindung zum lokalen Host über http://localhost:8080. Verwenden Sie http://127.0.0.1:8080, um eine Verbindung zum lokalen Host herzustellen.

  7. Geben Sie bei der entsprechenden Aufforderung Ihre Partner Hub-Kundenanmeldeinformationen ein und klicken Sie dann auf Akzeptieren, um fortzufahren.

  8. Importieren Sie die aktuelle ISO-Konfigurationsdatei.

  9. Befolgen Sie die Anweisungen, um das Tool abzuschließen und die aktualisierte Datei herunterzuladen.

    Um das Setup-Tool zu beenden, geben Sie CTRL+Cein.

  10. Erstellen Sie in einem anderen Rechenzentrum eine Sicherungskopie der aktualisierte Datei.

2

Wenn Sie nur einen HDS-Knoten ausführen, erstellen Sie eine neue Hybrid Data Security-Knoten-VM und registrieren Sie sie mit der neuen ISO-Konfigurationsdatei. Ausführlichere Anweisungen finden Sie unter Erstellen und Registrieren weiterer Knoten.

  1. Installieren des HDS Host OVA

  2. Richten Sie die HDS-VM ein.

  3. Mounten Sie die aktualisierte Konfigurationsdatei.

  4. Registrieren Sie den neuen Knoten im Partner Hub.

3

Mounten Sie bei vorhandenen HDS-Knoten, auf denen die ältere Konfigurationsdatei ausgeführt wird, die ISO-Datei. Führen Sie für jeden Knoten des Knotens folgende Schritte durch, indem Sie jeden Knoten aktualisieren, bevor Sie den nächsten Knoten deaktivieren:

  1. Deaktivieren Sie die Virtuelle Maschine.

  2. Klicken Sie im linken Navigationsbereich mit der rechten Maustaste auf die VM und klicken Sie auf Einstellungen bearbeiten .

  3. Klicken Sie auf CD/DVD Drive 1, wählen Sie die Option zum Mounten aus einer ISO-Datei und navigieren Sie zu dem Speicherort, an dem Sie die neue ISO-Konfigurationsdatei heruntergeladen haben.

  4. Aktivieren Sie das Kontrollkästchen Verbinden beim Einschalten.

  5. Speichern Sie Ihre Änderungen und starten Sie Sie die virtuelle Maschine.

4

Wiederholen Sie Schritt 3, um bei jedem weiteren Knoten zu ersetzen, auf dem noch die alte Konfiguration ausgeführt wird, die Konfiguration zu ersetzen.

Blockierte externe DNS Auflösungsmodus deaktivieren

Wenn Sie einen Knoten registrieren oder die Proxykonfiguration des Knotens überprüfen, testet das Verfahren die DNS und die Konnektivität der Cisco WebEx. Wenn der DNS-Server des Knotens öffentliche DNS nicht auflösen kann, geht der Knoten automatisch in den gesperrten externen DNS-Server.

Wenn Ihre Knoten öffentliche DNS über interne DNS-Server auflösen können, aktivieren Sie diesen Modus, indem Sie den Proxyverbindungstest für jeden Knoten deaktivieren.

Vorbereitungen

Stellen Sie sicher, dass Ihre internen DNS-Server öffentliche DNS und ihre Knoten mit Ihnen kommunizieren können.
1

Öffnen Sie in einem Webbrowser die Hybrid Data Security-Knotenschnittstelle (IP address/setup, Geben Sie beispielsweise https://192.0.2.0/setup), die Administratoranmeldeinformationen ein, die Sie für den Knoten eingerichtet haben, und klicken Sie dann auf Anmelden.

2

Gehen Sie zu Übersicht (Standardseite).

Wenn diese Option aktiviert ist, wird die externe DNS auf "Ja" gesetzt .

3

Gehen Sie zur Seite Vertrauensspeicher und Proxy .

4

Klicken Sie auf Stellvertreterverbindung prüfen.

Wenn Sie eine Meldung sehen, dass eine externe DNS nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen und wird in diesem Modus verbleiben. Andernfalls sollte nach dem Neustart des Knotens und der Rückfahrt zur Übersichtsseite die gesperrte externe DNS auf "Nein" gesetzt werden.

Nächste Schritte

Wiederholen Sie den Proxy Verbindungstest für jeden Knoten in Ihrem Cisco Data SicherheitCluster.

Entfernen eines Knotens

Verwenden Sie dieses Verfahren, um einen Hybrid Data Security-Knoten aus der Webex-Cloud zu entfernen. Nachdem Sie den Knoten aus dem Cluster entfernt haben, löschen Sie die virtuelle Maschine, um weiteren Zugriff auf Ihre Sicherheitsdaten zu verhindern.
1

Melden Sie sich über den VMware vSphere-Client auf Ihrem Computer bei dem ESXi virtuellen Host an und schalten Sie die virtuelle Maschine aus.

2

Entfernen des Knotens:

  1. Melden Sie sich beim Partner Hub an und wählen Sie dann Servicesaus.

  2. Klicken Sie auf der Karte „Hybrid Data Security“ auf Alle anzeigen, um die Seite „Hybrid Data Security-Ressourcen“ anzuzeigen.

  3. Wählen Sie Ihren Cluster aus, um dessen Übersichtsbereich anzuzeigen.

  4. Klicken Sie auf den Knoten, den Sie entfernen möchten.

  5. Klicken Sie im rechts angezeigten Bereich auf Diesen Knoten abmelden

  6. Sie können den Knoten auch abmelden, indem Sie rechts neben dem Knoten auf … klicken und Diesen Knoten entfernenauswählen.

3

Löschen Sie die VM im vSphere-Client. (Klicken Sie im linken Navigationsbereich mit der rechten Maustaste auf die VM und klicken Sie auf Löschen.)

Wenn Sie die VM nicht löschen, denken Sie daran, die ISO-Konfigurationsdatei auszuhängen. Ohne die ISO-Datei können Sie die VM nicht verwenden, um auf Ihre Sicherheitsdaten zuzugreifen.

Notfallwiederherstellung mit Standby-Rechenzentrum

Der wichtigste Dienst, den Ihr Hybrid Data Security-Cluster bereitstellt, ist die Erstellung und Speicherung von Schlüsseln zum Verschlüsseln von Nachrichten und anderen in der Webex-Cloud gespeicherten Inhalten. Für jeden Benutzer innerhalb der Organisation, dem Hybrid Data Security zugewiesen ist, werden neue Anforderungen zur Schlüsselerstellung an den Cluster weitergeleitet. Der Cluster ist zudem dafür verantwortlich, die erstellten Schlüssel an Benutzer zurückzusenden, die zum Abrufen von Schlüsseln berechtigt sind. Hierzu gehören beispielsweise Mitglieder eines Gesprächsraums.

Da der Cluster die wichtige Funktion erfüllt, diese Schlüssel bereitzustellen, ist es höchst wichtig, dass der Cluster in Betrieb bleibt und korrekte Backups erstellt werden. Der Verlust der Hybrid Data Security-Datenbank oder der für das Schema verwendeten ISO-Konfiguration führt zu einem UNWIEDERHERSTELLBAREN VERLUST von Kundeninhalten. Die folgenden Praktiken sind zwingend erforderlich, um einem derartigen Verlust vorzubeugen:

Wenn die HDS-Bereitstellung im primären Rechenzentrum aufgrund eines Notfalls nicht mehr verfügbar ist, führen Sie für ein manuelles Failover auf das Standby-Rechenzentrum die folgenden Schritte aus.

Vorbereitungen

Melden Sie alle Knoten vom Partner Hub ab, wie unter Einen Knoten entfernenbeschrieben. Verwenden Sie die neueste ISO-Datei, die für die Knoten des zuvor aktiven Clusters konfiguriert wurde, um das unten beschriebene Failover-Verfahren durchzuführen.
1

Starten Sie das HDS-Setup-Tool und befolgen Sie die unter Erstellen einer Konfigurations-ISO für die HDS-Hostsbeschriebenen Schritte.

2

Schließen Sie den Konfigurationsprozess ab und speichern Sie die ISO-Datei an einem leicht auffindbaren Ort.

3

Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Bewahren Sie die Sicherungskopie sicher auf. Die Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Beschränken Sie den Zugriff auf diejenigen Hybrid Data Security-Administratoren, die Konfigurationsänderungen vornehmen dürfen.

4

Rechtsklicken Sie im linken Navigationsbereich des VMware vSphere Client auf die VM. Klicken Sie daraufhin auf Edit Settings (Einstellungen bearbeiten).

5

Klicken Sie auf Einstellungen bearbeiten >CD/DVD Laufwerk 1 und wählen Sie Datastore ISO File.

Stellen Sie sicher, dass Verbunden und Beim Einschalten verbinden aktiviert sind, damit aktualisierte Konfigurationsänderungen nach dem Starten der Knoten wirksam werden können.

6

Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 15 Minuten lang keine Alarme auftreten.

7

Registrieren Sie den Knoten im Partner-Hub. Siehe Registrieren Sie den ersten Knoten im Cluster.

8

Wiederholen Sie den Vorgang für jeden Knoten im Standby-Rechenzentrum.

Nächste Schritte

Wenn das primäre Rechenzentrum nach dem Failover wieder aktiv wird, melden Sie die Knoten des Standby-Rechenzentrums ab und wiederholen Sie den Vorgang zum Konfigurieren von ISO und Registrieren der Knoten des primären Rechenzentrums wie oben beschrieben.

(Optional) ISO nach HDS-Konfiguration aushängen

Die Standard-HDS-Konfiguration wird mit gemountetem ISO ausgeführt. Manche Kunden möchten ISO-Dateien jedoch nicht dauerhaft eingebunden lassen. Sie können die ISO-Datei aushängen, nachdem alle HDS-Knoten die neue Konfiguration übernommen haben.

Sie verwenden weiterhin die ISO-Dateien, um Konfigurationsänderungen vorzunehmen. Wenn Sie ein neues ISO erstellen oder ein ISO über das Setup-Tool aktualisieren, müssen Sie das aktualisierte ISO auf allen Ihren HDS-Knoten mounten. Sobald alle Ihre Knoten die Konfigurationsänderungen übernommen haben, können Sie das ISO mit diesem Verfahren wieder aushängen.

Vorbereitungen

Aktualisieren Sie alle Ihre HDS-Knoten auf Version 2021.01.22.4720 oder höher.

1

Fahren Sie einen Ihrer HDS-Knoten herunter.

2

Wählen Sie in der vCenter Server Appliance den HDS-Knoten aus.

3

Wählen Sie Einstellungen bearbeiten > CD/DVD Laufwerk und deaktivieren Sie Datastore ISO File.

4

Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 20 Minuten lang keine Alarme auftreten.

5

Wiederholen Sie dies nacheinander für jeden HDS-Knoten.

Problembehandlung der Hybrid-Datensicherheit

Anzeigen von Warnungen und Beheben von Fehlern

Eine Hybrid Data Security-Bereitstellung gilt als nicht verfügbar, wenn alle Knoten im Cluster nicht erreichbar sind oder der Cluster so langsam arbeitet, dass es bei Anforderungen zu einer Zeitüberschreitung kommt. Wenn Benutzer Ihren Hybrid Data Security-Cluster nicht erreichen können, treten die folgenden Symptome auf:

  • Neue Bereiche können nicht erstellt werden (es konnten keine neuen Schlüssel erstellt werden)

  • Nachrichten- und Bereichstitel konnten für folgende Benutzer nicht entschlüsselt werden:

    • Neue zu einem Bereich hinzugefügte Benutzer (Schlüssel konnten nicht abgerufen werden)

    • Vorhandene Benutzer in einem Bereich, der einen neuen Client verwendet (Schlüssel konnten nicht abgerufen werden)

  • Vorhandene Benutzer in einem Bereich werden weiterhin erfolgreich ausgeführt, sofern ihre Clients über einen Cache für Verschlüsselungsschlüssel verfügen

Es ist wichtig, dass Sie Ihren Hybrid Data Security-Cluster ordnungsgemäß überwachen und alle Warnungen umgehend beheben, um Dienstunterbrechungen zu vermeiden.

Warnungen

Wenn bei der Einrichtung der Hybrid Data Security ein Problem auftritt, zeigt Partner Hub dem Organisationsadministrator Warnungen an und sendet E-Mails an die konfigurierte E-Mail-Adresse. Die Warnungen betreffen viele gängige Szenarien.

Tabelle 1. Häufig auftretende Probleme und Schritte zur Problembehebung

Alarm

Vorgang

Fehler beim Zugriff auf die lokale Datenbank.

Überprüfen Sie das System auf Datenbankfehler oder lokale Netzwerkprobleme.

Fehler beim Herstellen einer Verbindung zur lokalen Datenbank.

Vergewissern Sie sich, dass der Datenbankserver verfügbar ist und die richtigen Dienstkonto-Anmeldeinformationen in der Knotenkonfiguration verwendet wurden.

Fehler beim Zugriff auf den Clouddienst.

Überprüfen Sie, ob die Knoten auf die Webex-Server zugreifen können, wie in Anforderungen an die externe Konnektivitätangegeben.

Registrierung des Clouddiensts wird erneuert.

Registrierung von Clouddiensten wurde verworfen. Erneuerung der Registrierung wird durchgeführt.

Registrierung des Clouddiensts wurde verworfen.

Registrierung von Clouddiensten wurde beendet. Dienst wird beendet.

Dienst noch nicht aktiviert.

Aktivieren Sie HDS im Partner Hub.

Konfigurierte Domäne stimmt nicht mit dem Serverzertifikat überein.

Vergewissern Sie sich, dass das Serverzertifikat mit der konfigurierten Dienstaktivierungsdomäne übereinstimmt.

Die wahrscheinlichste Ursache lautet, dass die Zertifikat-CN vor kurzem geändert wurde und nun von der CN abweicht, die während der ursprünglichen Einrichtung verwendet wurde.

Clouddienste konnten nicht authentifiziert werden.

Prüfen Sie die Daten auf korrekte Eingabe und einen möglichen Ablauf der Dienstkonto-Anmeldeinformationen.

Lokale Schlüsselspeicherdatei konnte nicht geöffnet werden.

Überprüfen Sie die lokale Schlüsselspeicherdatei auf Integrität und Kennwortgenauigkeit.

Lokales Serverzertifikat ist ungültig.

Überprüfen Sie das Ablaufdatum des Serverzertifikats und vergewissern Sie sich, dass es von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.

Metriken konnten nicht gepostet werden.

Überprüfen Sie den Zugriff des lokalen Netzwerks auf externe Clouddienste.

Das Verzeichnis /media/configdrive/hds ist nicht vorhanden.

Überprüfen Sie die ISO-Mountkonfiguration auf dem virtuellen Host. Vergewissern Sie sich, dass die ISO-Datei vorhanden ist, die beim Neustart für das Mounten konfiguriert ist und das Mounten erfolgreich ausgeführt wird.

Die Einrichtung der Mandantenorganisation ist für die hinzugefügten Organisationen nicht abgeschlossen

Schließen Sie die Einrichtung ab, indem Sie mit dem HDS-Setup-Tool CMKs für neu hinzugefügte Mandantenorganisationen erstellen.

Die Einrichtung der Mandantenorganisation ist für die entfernten Organisationen nicht abgeschlossen

Schließen Sie die Einrichtung ab, indem Sie die CMKs der Mandantenorganisationen widerrufen, die mit dem HDS-Setup-Tool entfernt wurden.

Problembehandlung der Hybrid-Datensicherheit

Verwenden Sie die folgenden allgemeinen Richtlinien bei der Fehlerbehebung von Problemen mit Hybrid Data Security.
1

Überprüfen Sie den Partner Hub auf etwaige Warnungen und beheben Sie alle dort gefundenen Probleme. Siehe das Bild unten als Referenz.

2

Überprüfen Sie die Syslog-Serverausgabe auf Aktivitäten aus der Hybrid Data Security-Bereitstellung. Filtern Sie nach Wörtern wie „Warnung“ und „Fehler“, um die Fehlerbehebung zu erleichtern.

3

Kontaktieren Sie den Cisco-Support.

Zusatzbemerkungen

Bekannte Probleme mit Hybrid-Datensicherheit

  • Wenn Sie Ihren Hybrid Data Security-Cluster herunterfahren (indem Sie ihn im Partner Hub löschen oder alle Knoten herunterfahren), Ihre ISO-Konfigurationsdatei verlieren oder den Zugriff auf die Keystore-Datenbank verlieren, können Webex-App-Benutzer von Kundenorganisationen keine Bereiche in ihrer Personenliste mehr verwenden, die mit Schlüsseln aus Ihrem KMS erstellt wurden. Wir haben aktuell keine Problemumgehung oder Lösung für dieses Problem und empfehlen Ihnen dringend, Ihre HDS-Dienste nicht herunterzufahren, sobald sie aktive Benutzerkonten verarbeiten.

  • Ein Client, der über eine bestehende ECDH-Verbindung zu einem KMS verfügt, hält die Verbindung für einen Zeitraum aufrecht (ca. eine Stunde).

Führen Sie das HDS-Setup-Tool mit Podman Desktop aus

Podman ist ein kostenloses Open-Source-Containerverwaltungstool, das das Ausführen, Verwalten und Erstellen von Containern ermöglicht. Podman Desktop kann von https://podman-desktop.io/downloadsheruntergeladen werden.

  • Das HDS Setup Tool wird als Docker-Container auf einem lokalen Computer ausgeführt. Um darauf zuzugreifen, laden Sie Podman herunter und führen Sie es auf diesem Computer aus. Für den Einrichtungsprozess sind die Anmeldeinformationen eines Control Hub-Kontos mit vollen Administratorrechten für Ihre Organisation erforderlich.

    Wenn das HDS-Setup-Tool in Ihrer Umgebung hinter einem Proxy ausgeführt wird, geben Sie die Proxy-Einstellungen (Server, Port, Anmeldeinformationen) über Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in Schritt 5 aufrufen. Diese Tabelle enthält einige mögliche Umgebungsvariablen:

    Beschreibung

    Variable

    HTTP-Proxy ohne Authentifizierung

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-Proxy ohne Authentifizierung

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-Proxy mit Authentifizierung

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-Proxy mit Authentifizierung

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Die von Ihnen generierte ISO-Konfigurationsdatei enthält den Hauptschlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die neueste Kopie dieser Datei immer dann, wenn Sie Konfigurationsänderungen vornehmen, wie etwa die folgenden:

    • Datenbankanmeldeinformationen

    • Zertifikatsaktualisierungen

    • Änderungen der Autorisierungsrichtlinie

  • Wenn Sie Datenbankverbindungen verschlüsseln möchten, richten Sie Ihre PostgreSQL- oder SQL Server-Bereitstellung für TLS ein.

Der Einrichtungsprozess von Hybrid Data Security erstellt eine ISO-Datei. Anschließend verwenden Sie die ISO, um Ihren Hybrid Data Security-Host zu konfigurieren.

1

Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

In regulären Umgebungen:

podman rmi ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

podman rmi ciscocitg/hds-setup-fedramp:stable

Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

2

Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

podman login docker.io -u hdscustomersro
3

Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

In regulären Umgebungen:

podman pull ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

podman pull ciscocitg/hds-setup-fedramp:stable
5

Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

  • In regulären Umgebungen ohne Proxy:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTP-Proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTPS-Proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In FedRAMP-Umgebungen ohne Proxy:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express-Server hören auf Port 8080) sehen.

Nächste Schritte

Befolgen Sie die verbleibenden Schritte unter Erstellen einer ISO-Konfiguration für die HDS-Hosts oder Ändern der Knotenkonfiguration, um eine ISO-Konfiguration zu erstellen oder zu ändern.

Verschieben Sie die vorhandene Single-Tenant-HDS-Bereitstellung einer Partnerorganisation im Control Hub in ein Multi-Tenant-HDS-Setup im Partner Hub

Die Konvertierung von einer vorhandenen Single-Tenant-HDS-Bereitstellung einer Partnerorganisation, die in Control Hub verwaltet wird, zu einer Multi-Tenant-HDS-Bereitstellung, die in Partner Hub verwaltet wird, umfasst in erster Linie das Deaktivieren des HDS-Dienstes in Control Hub, das Aufheben der Registrierung von Knoten und das Löschen des Clusters. Sie können sich dann beim Partner Hub anmelden, die Knoten registrieren, Multi-Tenant HDS aktivieren und Kunden zu Ihrem Cluster hinzufügen.

Der Begriff „Single-Tenant“ bezieht sich einfach auf eine vorhandene HDS-Bereitstellung in Control Hub.

HDS deaktivieren, Knoten abmelden und Cluster im Control Hub löschen

1

Melden Sie sich beim Control Hub an. Klicken Sie im linken Bereich auf Hybrid. Klicken Sie auf der Karte „Hybrid Data Security“ auf Einstellungen bearbeiten.

2

Scrollen Sie auf der Einstellungsseite nach unten zum Abschnitt Deaktivieren und klicken Sie auf Deaktivieren.

3

Klicken Sie nach der Deaktivierung auf den Reiter Ressourcen.

4

Auf der Seite Ressourcen werden die Cluster in Ihrer HDS-Bereitstellung aufgelistet. Klicken Sie auf einen Cluster. Es öffnet sich eine Seite mit allen Knoten unter diesem Cluster.

5

Klicken Sie rechts auf ... und dann auf Knoten abmelden. Wiederholen Sie den Vorgang für alle Knoten im Cluster.

6

Wenn Ihre Bereitstellung mehrere Cluster hat, wiederholen Sie Schritt 4 und Schritt 5, bis alle Knoten abgemeldet sind.

7

Klicken Sie auf Clustereinstellungen > Entfernen.

8

Klicken Sie auf Entfernung bestätigen, um den Cluster abzumelden.

9

Wiederholen Sie den Vorgang für alle Cluster in Ihrer HDS-Bereitstellung.

Nach der Deaktivierung von HDS, der Abmeldung von Knoten und dem Entfernen von Clustern wird unten auf der Hybrid Data Service-Karte im Control Hub Setup nicht abgeschlossen angezeigt.

Aktivieren Sie Multi-Tenant HDS für die Partnerorganisation im Partner Hub und fügen Sie Kunden hinzu

Vorbereitungen

Alle in Anforderungen an die Multi-Tenant-Hybrid-Datensicherheit genannten Voraussetzungen gelten hier. Stellen Sie außerdem sicher, dass während der Migration zum Multi-Tenant-HDS dieselbe Datenbank und dieselben Zertifikate verwendet werden.

1

Melden Sie sich beim Partner Hub an. Klicken Sie im linken Bereich auf Dienste.

Verwenden Sie zum Konfigurieren der Knoten dasselbe ISO aus Ihrer vorherigen HDS-Bereitstellung. Dadurch wird sichergestellt, dass von den Benutzern in der vorherigen HDS-Bereitstellung generierte Nachrichten und Inhalte auch in der neuen Multi-Tenant-Konfiguration zugänglich sind.

2

Suchen Sie im Abschnitt „Cloud-Dienste“ nach der Karte „Hybrid Data Security“ und klicken Sie auf Einrichten.

3

Klicken Sie auf der sich öffnenden Seite auf Ressource hinzufügen.

4

Geben Sie im ersten Feld der Karte Knoten hinzufügen einen Namen für den Cluster ein, dem Sie Ihren Hybrid Data Security-Knoten zuweisen möchten.

Benennen Sie Ihre Cluster nach Möglichkeit nach dem geografischen Standort der Clusterknoten. Beispiele: „San Francisco“ oder „New York“ oder „Dallas“

5

Geben Sie im zweiten Feld die interne IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) Ihres Knotens ein und klicken Sie unten auf dem Bildschirm auf Hinzufügen.

Diese IP-Adresse oder dieser FQDN sollte mit der IP-Adresse oder dem Hostnamen und der Domäne übereinstimmen, die Sie in Einrichten der Hybrid Data Security VMverwendet haben.

Es wird eine Meldung angezeigt, die angibt, dass Sie Ihren Knoten bei Webex registrieren können.
6

Klicken Sie auf Go to Node (Zum Knoten wechseln).

Nach einigen Augenblicken werden Sie zu den Knotenkonnektivitätstests für Webex-Dienste weitergeleitet. Sind alle Tests erfolgreich, wird die Seite „Allow Access to Hybrid Data Security Node“ (Zugriff zu Hybrid-Datensicherheits-Knoten gewähren) angezeigt. Dort bestätigen Sie, dass Sie Ihrer Webex-Organisation die Berechtigung zum Zugriff auf Ihren Knoten erteilen möchten.

7

Aktivieren Sie das Kontrollkästchen Allow Access to Your Hybrid Data Security Node (Zugriff zu Ihrem Hybrid-Datensicherheits-Knoten gewähren) und klicken Sie anschließend auf Continue (Weiter).

Ihr Konto wird validiert und die Meldung „Registrierung abgeschlossen“ zeigt an, dass Ihr Knoten jetzt bei der Webex-Cloud registriert ist. Auf der Seite Hybrid Data Security wird unter der Registerkarte Resources der neue Cluster angezeigt, der den von Ihnen registrierten Knoten enthält. Der Knoten lädt die aktuelle Software automatisch aus der Cloud herunter.
8

Gehen Sie zur Registerkarte Einstellungen und klicken Sie auf der HDS-Statuskarte auf Aktivieren.

Die MeldungHDS aktiviert wird unten auf dem Bildschirm angezeigt.
9

Klicken Sie in den Ressourcenauf den neu erstellten Cluster.

10

Klicken Sie auf der sich öffnenden Seite auf den Reiter Zugewiesene Kunden.

11

Klicken Sie auf Kunden hinzufügen.

12

Wählen Sie aus dem Dropdown-Menü den Kunden aus, den Sie hinzufügen möchten.

13

Klicken Sie auf Hinzufügen, der Kunde wird dem Cluster hinzugefügt.

14

Wiederholen Sie die Schritte 11 bis 13, um Ihrem Cluster mehrere Kunden hinzuzufügen.

15

Klicken Sie unten auf dem Bildschirm auf Fertig, nachdem Sie die Kunden hinzugefügt haben.

Nächste Schritte

Führen Sie das HDS-Setup-Tool wie unter Erstellen von Customer Main Keys (CMKs) mit dem HDS-Setup-Tool beschrieben aus, um den Setup-Vorgang abzuschließen.

Generieren einer PKCS12-Datei mit OpenSSL

Vorbereitungen

  • OpenSSL ist eines der Tools, mit denen die PKCS12-Datei im richtigen Format für das Laden in das HDS-Setuptool erstellt werden kann. Es gibt auch andere Verfahren, keines davon wird von uns bevorzugt.

  • Wenn Sie sich für die Verwendung von OpenSSL entscheiden, stellen wir Ihnen dieses Verfahren als Richtlinie zur Verfügung, um Ihnen bei der Erstellung einer Datei zu helfen, die die X.509-Zertifikatanforderungen in X.509-Zertifikatanforderungenerfüllt. Machen Sie sich mit diesen Anforderungen vertraut, bevor Sie fortfahren.

  • Installieren Sie OpenSSL in einer unterstützten Umgebung. Software und Dokumentation finden Sie auf https://www.openssl.org.

  • Erstellen Sie einen privaten Schlüssel.

  • Beginnen Sie mit diesem Verfahren, wenn Sie das Serverzertifikat von Ihrer Zertifizierungsstelle (CA, Certificate Authority) erhalten.

1

Wenn Sie das Serverzertifikat von Ihrer Zertifizierungsstelle erhalten, speichern Sie es als hdsnode.pem.

2

Zeigen Sie das Zertifikat als Text an, und überprüfen Sie die Details.

openssl x509 -text -noout -in hdsnode.pem

3

Verwenden Sie einen Texteditor, um eine Zertifikatspaketdatei mit dem Namen hdsnode-bundle.pemzu erstellen. Die Paketdatei muss das Serverzertifikat, alle CA-Zwischenzertifikate sowie die CA-Stammzertifikate im unten angegebenen Format enthalten:

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

Erstellen Sie die .p12-Datei mit dem Anzeigenamen kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Überprüfen Sie die Zertifikatdetails.

  1. openssl pkcs12 -in hdsnode.p12

  2. Geben Sie ein Passwort an der Eingabeaufforderung ein, um den privaten Schlüssel zu verschlüsseln, sodass er in der Ausgabe aufgeführt wird. Überprüfen Sie dann, ob der private Schlüssel und das erste Zertifikat die Zeilen friendlyName: kms-private-keyenthalten.

    Beispiel:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: 
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----

-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

Nächste Schritte

Zurück zu Erfüllen Sie die Voraussetzungen für hybride Datensicherheit. Sie verwenden die Datei hdsnode.p12 und das dafür festgelegte Kennwort in Erstellen einer Konfigurations-ISO für die HDS-Hosts.

Sie können diese Dateien wiederverwenden, um ein neues Zertifikat anzufordern, wenn das ursprüngliche Zertifikat abläuft.

Datenverkehr zwischen den HDS-Knoten und der Cloud

Metriksammlung von ausgehendem Datenverkehr

Die Hybrid Data Security-Knoten senden bestimmte Metriken an die Webex-Cloud. Dazu gehören Systemmetriken für max. Heap, verbrauchter Heap, CPU-Auslastung und Threadanzahl; Metriken zu synchronen und asynchronen Threads; Metriken zu Warnungen, darunter auch ein Schwellenwert der verschlüsselten Verbindungen, Latenz oder eine Anforderungswarteschlangenlänge; Metriken zum Datenspeicher; und Metriken zu verschlüsselten Verbindungen. Die Knoten senden verschlüsseltes Schlüsselmaterial über einen Out-of-Band-Kanal (separat von der Anforderung).

Eingehender Datenverkehr

Die Hybrid Data Security-Knoten empfangen die folgenden Arten von eingehendem Datenverkehr aus der Webex-Cloud:

  • Verschlüsselungsanforderungen von Clients, die vom Verschlüsselungsdienst umgeleitet werden

  • Upgrades für die Knoten-Software

Konfigurieren von Tintenfisch für die Hybriddatensicherheit

WebSocket kann nicht über SquID Proxy verbunden werden

Squid-Proxys, die HTTPS-Verkehr prüfen, können die Herstellung von WebSocket-Verbindungen (wss:) stören, die Hybrid Data Security erfordert. Diese Abschnitte enthalten Anleitungen zum Konfigurieren verschiedener Versionen von Squid, um wss: den Datenverkehr zu ignorieren und so den ordnungsgemäßen Betrieb der Dienste zu gewährleisten.

Squid 4 und 5

Fügen Sie die Direktive on_unsupported_protocol zu squid.confhinzu :

on_unsupported_protocol tunnel all

Squid 3.5.27

Wir haben die Hybriddatensicherheit mit den folgenden zu squid.confhinzugefügten Regeln erfolgreich getestet. Diese Regeln können sich geändert werden, da wir Funktionen entwickeln und die WebEx Cisco aktualisieren.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Neue und geänderte Informationen

Neue und geänderte Informationen

Diese Tabelle umfasst neue Features oder Funktionalitäten, Änderungen an bestehenden Inhalten und alle wichtigen Fehler, die im Bereitstellungsleitfaden für Multi-Tenant Hybrid Data Securitybehoben wurden.

Datum

Vorgenommene Änderungen

21. November 2025

8. Mai 2025
4. März 2025

30. Januar 2025

Die SQL Server-Version 2022 wurde der Liste der unterstützten SQL Server in Datenbankserver-Anforderungenhinzugefügt.

15. Januar 2025

Hinzugefügt Einschränkungen der hybriden Datensicherheit in Multi-Tenant-Systemen.

8. Januar 2025

In Ersteinrichtung durchführen und Installationsdateien herunterladen wurde ein Hinweis hinzugefügt, der besagt, dass das Klicken auf Einrichten auf der HDS-Karte im Partner Hub ein wichtiger Schritt des Installationsprozesses ist.

7. Januar 2025

Aktualisierte Anforderungen anvirtuelle Hosts,Arbeitsablauf für die Bereitstellung hybrider Datensicherheit und Installation der HDS-Host - OVA , um die neue Anforderung von ESXi 7.0 aufzuzeigen.

13. Dezember 2024

Erstveröffentlichung.

Multi-Tenant Hybrid Data Security deaktivieren

Deaktivierungsablauf für Multi-Tenant HDS

Befolgen Sie diese Schritte, um Multi-Tenant HDS vollständig zu deaktivieren.

Vorbereitungen

Diese Aufgabe sollte nur von einem Partner-Volladministrator durchgeführt werden.
1

Entfernen Sie alle Kunden aus allen Ihren Clustern, wie in Mandantenorganisationen entfernenerwähnt.

2

Die CMKs aller Kunden werden widerrufen, wie in Widerrufen Sie die CMKs der aus HDS entfernten Mandanten..

3

Entfernen Sie alle Knoten aus allen Ihren Clustern, wie in Knoten entfernenbeschrieben.

4

Löschen Sie alle Ihre Cluster aus Partner Hub mit einer der folgenden beiden Methoden.

  • Klicken Sie auf den Cluster, den Sie löschen möchten, und wählen Sie dann oben rechts auf der Übersichtsseite die Option Diesen Cluster löschen aus.
  • Klicken Sie auf der Seite „Ressourcen“ rechts neben einem Cluster auf Menü „Mehr“ und wählen Sie dann Cluster entfernenaus.
5

Klicken Sie auf der Übersichtsseite „Hybrid Data Security“ auf die Registerkarte Einstellungen und klicken Sie auf der HDS-Statuskarte auf HDS deaktivieren.

Häufig gestellte Fragen

Häufig gestellte Fragen

F: Werden die CMKs und der Hauptschlüssel im ISO-Image oder in der Datenbank gespeichert?

A. Kunden-Hauptschlüssel (CMKs) werden in der Datenbank gespeichert und mit dem Hauptschlüssel, der im ISO gespeichert ist, verschlüsselt.

F: Wird ein einziger Schlüssel verwendet, um alle Daten der Kundenorganisationen zu verschlüsseln?

A. Nein. Die Daten jeder Kundenorganisation werden mit ihrem eigenen CMK (Customer Main Key) verschlüsselt.

F: Was passiert, wenn ich HDS im Partner Hub deaktiviere?

A. Einige Arbeitsabläufe, wie das Einrichten eines Raumes und das Planen von Besprechungen, werden unmittelbar betroffen sein. Vorhandene Inhalte in Bereichen bleiben so lange zugänglich, bis der lokale Cache abläuft. Nach 24 Stunden werden die vom Partner verwalteten Benutzer auf Cloud KMS umgestellt, und es können Probleme mit zuvor erstellten Bereichen und 1:1-Bereichen auftreten.

F: Sobald der CMK für eine Kundenorganisation über das HDS-Setup-Tool generiert wurde, können die Benutzer der Kundenorganisation Multi-Tenant HDS sofort nutzen?

A. Die Aktualisierung des Cloud-Caches kann bis zu 24 Stunden dauern.

F: Warum wird mir keine Kundenliste angezeigt, wenn ich im Partner Hub auf die Schaltfläche „Kunden hinzufügen“ klicke?

A. Dies bedeutet in der Regel, dass es keine Kundenorganisationen gibt, die die Cisco Webex-Lizenzanforderungen erfüllen.

F: Welche Auswirkungen hat es, wenn alle HDS-Knoten abgeschaltet werden oder wenn ein Netzwerkproblem alle HDS-Knoten betrifft?

A. Vorgänge wie die Einrichtung von Räumlichkeiten und die Terminplanung sind unmittelbar betroffen. Vorhandene Inhalte sind nur so lange zugänglich, bis der lokale Cache abläuft.

F: Werden die Benutzerdaten der Partnerorganisation mit dem während der ISO-Erstellung generierten Hauptschlüssel verschlüsselt?

A. Ja. Aktuell werden die Benutzerdaten der Partnerorganisation mit dem Hauptschlüssel verschlüsselt. Zukünftig werden Partnerorganisationen über partnerspezifische Schlüssel verfügen, ähnlich den Kunden-CMKs.

F: Können sich die Partnerorganisation und die Mandantenorganisationen in verschiedenen Regionen befinden (z. B. in den USA und der EU)?

A. Ja. Partner- und Mieterorganisationen können sich in unterschiedlichen geografischen Regionen befinden.

F: Gibt es einen Mechanismus, um Schlüssel zurück in die Cloud KMS zu übertragen?

A. Es gibt keinen Mechanismus, um Schlüssel nach einer HDS-Bereitstellung wieder in die Cloud zurückzuübertragen.

F: Kann ein Partner weiterhin Cloud KMS nutzen und Multi-Tenant HDS ausschließlich zur Kundenverwaltung einsetzen?

A. Nein, dies wird derzeit nicht unterstützt. Die Unterstützung dieser Funktionalität ist für die Zukunft geplant.

F: Wie kann ein Partner überprüfen, ob seine Organisation Multi-Tenant HDS für die Verschlüsselung verwendet?

A. Melden Sie sich im Partner Hub an. Gehen Sie zu Dienste > Hybride Datensicherheit > Einstellungen . Wenn der HDS-Status aktiviert ist, verwenden sowohl Benutzer der Partnerorganisation als auch zugewiesene Kunden Multi-Tenant HDS.

Alternativ können Sie in Ihren Systemprotokollen nachsehen, ob HDS aktiviert ist. Siehe Testen Sie Ihre hybride Datensicherheitsbereitstellung.

F: Gibt es eine Alternative zu Docker Desktop zum Ausführen des HDS-Setup-Tools?

A. Ja. Podman Desktop ist eine Open-Source-Alternative zu Docker Desktop. Siehe HDS-Setup-Tool mit Podman Desktop ausführen.

F: Wie viele Knoten kann ich in einem Multi-Tenant HDS-Cluster einsetzen?

A. Wir empfehlen mindestens zwei und maximal 1000 Knoten.

F: Welche Netzwerkvoraussetzungen sind für die Einrichtung von Multi-Tenant HDS erforderlich?

A. Siehe Anforderungen an die externe Konnektivität.

F: Ist das Pro Pack für Control Hub eine Voraussetzung für Partnerorganisationen?

A. Nein. Das Pro Pack ist für Partnerorganisationen keine Voraussetzung. Wenden Sie sich an Ihren Cisco-Partner oder Account Manager, um Unterstützung bei der Einrichtung von Multi-Tenant HDS zu erhalten.

F: Wird HSM in Multi-Tenant HDS unterstützt?

A. Nein, Multi-Tenant HDS unterstützt derzeit kein HSM.

F: Kann ich Multi-Tenant HDS mit einem selbstsignierten Zertifikat testen?

A. Nein. Multi-Tenant HDS benötigt ein Zertifikat, das von einer vertrauenswürdigen Zertifizierungsstelle bezogen wird und alle in X.509 Certificate Requirementsgenannten Anforderungen erfüllt.

F: Muss die ISO-Datei jedes Mal installiert werden, wenn ein neuer Kunde im Partner Hub hinzugefügt wird?

A. Nein. Die ISO-Datei muss nur eingebunden werden, wenn ISO-Konfigurationen geändert werden. Wenn Sie einen neuen Kunden im Partner Hub hinzufügen, stellen Sie sicher, dass Sie CMKs mithilfe des HDS Setup Tools erstellen können. Siehe Kundenspezifische Hauptschlüssel (CMKs) mit dem HDS-Setup-Tool erstellen.

F: Beginnen die Benutzer der Partnerorganisation nach der Bereitstellung von Multi-Tenant HDS auf Partner Hub damit, ein lokales KMS für die Schlüsselverwaltung zu nutzen?

A. Die Benutzer werden das lokale KMS für die Schlüsselverwaltung erst dann nutzen, wenn HDS im Partner Hub aktiviert wurde.

Starten Sie mit der hybriden Datensicherheit für mehrere Mandanten.

Überblick über die hybride Datensicherheit in Multi-Tenant-Umgebungen

Von Anfang an stand die Datensicherheit bei der Entwicklung der Webex-App im Vordergrund. Grundpfeiler dieser Sicherheit ist die Ende-zu-Ende-Verschlüsselung der Inhalte, die durch die Interaktion der Webex App-Clients mit dem Key Management Service (KMS) ermöglicht wird. Der KMS erstellt und verwaltet die Kryptografieschlüssel, mit denen die Clients ihre Nachrichten und Dateien dynamisch ver- und entschlüsseln.

Standardmäßig erhalten alle Webex App-Kunden eine Ende-zu-Ende-Verschlüsselung mit dynamischen Schlüsseln, die im Cloud-KMS, im Sicherheitsbereich von Cisco, gespeichert sind. Mit Hybrid Data Security werden KMS und andere Sicherheitsfunktionen in das Rechenzentrum Ihres Unternehmens verschoben, damit die Schlüssel zu ihren verschlüsselten Inhalten ausschließlich bei Ihnen liegen.

Multi-Tenant Hybrid Data Security ermöglicht es Unternehmen, HDS über einen vertrauenswürdigen lokalen Partner zu nutzen, der als Serviceanbieter fungieren und die lokale Verschlüsselung und andere Sicherheitsdienste verwalten kann. Diese Konfiguration ermöglicht es der Partnerorganisation, die Bereitstellung und Verwaltung der Verschlüsselungsschlüssel vollständig zu kontrollieren und gewährleistet, dass die Benutzerdaten der Kundenorganisationen vor externem Zugriff geschützt sind. Partnerorganisationen richten HDS-Instanzen ein und erstellen bei Bedarf HDS-Cluster. Jede Instanz kann mehrere Kundenorganisationen unterstützen, im Gegensatz zu einer regulären HDS-Bereitstellung, die auf eine einzelne Organisation beschränkt ist.

Während Partnerorganisationen die Kontrolle über die Bereitstellung und Verwaltung haben, haben sie keinen Zugriff auf die von Kunden generierten Daten und Inhalte. Dieser Zugriff ist auf Kundenorganisationen und deren Benutzer beschränkt.

Dies ermöglicht es auch kleineren Organisationen, HDS zu nutzen, da der Schlüsselverwaltungsdienst und die Sicherheitsinfrastruktur wie Rechenzentren dem vertrauenswürdigen lokalen Partner gehören.

Wie hybride Datensicherheit für mehrere Mandanten Datensouveränität und Datenkontrolle gewährleistet

  • Nutzergenerierte Inhalte sind vor externem Zugriff, beispielsweise durch Cloud-Dienstanbieter, geschützt.
  • Lokale, vertrauenswürdige Partner verwalten die Verschlüsselungsschlüssel von Kunden, mit denen sie bereits eine etablierte Geschäftsbeziehung pflegen.
  • Option auf lokalen technischen Support, sofern dieser vom Partner angeboten wird.
  • Unterstützt Inhalte für Besprechungen, Nachrichten und Anrufe.

Dieses Dokument soll Partnerorganisationen dabei helfen, Kunden in einem Multi-Tenant Hybrid Data Security System einzurichten und zu verwalten.

Einschränkungen der hybriden Datensicherheit für mehrere Mandanten

  • Partnerorganisationen dürfen keine aktive HDS-Bereitstellung im Control Hub haben.
  • Mieter- oder Kundenorganisationen, die von einem Partner verwaltet werden möchten, dürfen keine bestehende HDS-Implementierung im Control Hub haben.
  • Sobald Multi-Tenant HDS vom Partner implementiert wurde, beginnen alle Benutzer der Kundenorganisationen sowie die Benutzer der Partnerorganisation, Multi-Tenant HDS für ihre Verschlüsselungsdienste zu nutzen.

    Die Partnerorganisation und die von ihr verwalteten Kundenorganisationen werden auf derselben Multi-Tenant HDS-Bereitstellung laufen.

    Die Partnerorganisation wird nach der Bereitstellung von Multi-Tenant HDS kein Cloud-KMS mehr verwenden.

  • Es gibt keinen Mechanismus, um Schlüssel nach einer HDS-Bereitstellung wieder in Cloud KMS zu übertragen.
  • Administratorrollen haben gewisse Einschränkungen; Einzelheiten dazu finden Sie im folgenden Abschnitt.

Rollen in der hybriden Multi-Tenant-Datensicherheit

  • Partner-Volladministrator - Kann die Einstellungen für alle Kunden verwalten, die der Partner betreut. Außerdem können Sie bereits vorhandenen Benutzern in der Organisation Administratorrollen zuweisen und bestimmte Kunden für die Verwaltung durch Partneradministratoren zuweisen.
  • Partneradministrator - Kann Einstellungen für Kunden verwalten, die der Administrator bereitgestellt hat oder die dem Benutzer zugewiesen wurden.
  • Vollständiger Administrator - Administrator der Partnerorganisation, der berechtigt ist, Aufgaben wie das Ändern von Organisationseinstellungen, das Verwalten von Lizenzen und das Zuweisen von Rollen durchzuführen.
  • Vollständige Einrichtung und Verwaltung eines Multi-Tenant-HDS für alle Kundenorganisationen - Partner mit vollen Administratorrechten und vollständigen Administratorrechten erforderlich.
  • Verwaltung zugewiesener Mandantenorganisationen - Partneradministrator und vollständige Administratorrechte erforderlich.

Sicherheitsbereichsarchitektur

Die Webex-Cloud-Architektur trennt verschiedene Arten von Diensten in separate Bereiche oder Vertrauensdomänen, wie unten dargestellt.

Bereiche der Trennung (ohne hybride Datensicherheit)

Um Hybrid Data Security besser zu verstehen, betrachten wir zunächst diesen reinen Cloud-Fall, in dem Cisco alle Funktionen in seinen Cloud-Umgebungen bereitstellt. Der Identitätsdienst, der einzige Ort, an dem Benutzer direkt mit ihren persönlichen Informationen in Verbindung gebracht werden können, wie z. B. die E-Mail-Adresse, ist logisch und physisch vom Sicherheitsbereich in Rechenzentrum B getrennt. Er ist wiederum von dem Bereich getrennt, in dem verschlüsselte Inhalte letztendlich gespeichert werden, in Rechenzentrum C.

In diesem Diagramm ist der Client die Webex-App, die auf dem Laptop eines Benutzers läuft und sich beim Identitätsdienst authentifiziert hat. Wenn der Benutzer eine Nachricht verfasst, die er an einen Bereich senden möchte, finden folgende Schritte statt:

  1. Der Client stellt eine sichere Verbindung zum Schlüsselverwaltungsdienst her, und fordert anschließend einen Schlüssel zum Verschlüsseln der Nachricht an. Die sichere Verbindung verwendet ECDH und der Schlüsselverwaltungsdienst verschlüsselt den Schlüssel mit einem AES-256-Hauptschlüssel.

  2. Die Nachricht wird verschlüsselt, bevor sie den Client verlässt. Der Client sendet sie an den Indexdienst, der verschlüsselte Suchindizes erstellt, um zukünftige Suchvorgänge nach Inhalten zu unterstützen.

  3. Die verschlüsselte Nachricht wird an den Compliancedienst gesendet, damit Complianceprüfungen vorgenommen werden können.

  4. Die verschlüsselte Nachricht wird im Speicherbereich abgelegt.

Bei der Implementierung von Hybrid Data Security verlagern Sie die Sicherheitsbereichsfunktionen (KMS, Indizierung und Compliance) in Ihr lokales Rechenzentrum. Die übrigen Cloud-Dienste, aus denen Webex besteht (einschließlich Identitäts- und Inhaltsspeicherung), bleiben im Verantwortungsbereich von Cisco.

Zusammenarbeit mit anderen Organisationen

Benutzer in Ihrer Organisation verwenden möglicherweise regelmäßig die Webex-App, um mit externen Teilnehmern in anderen Organisationen zusammenzuarbeiten. Wenn einer Ihrer Benutzer einen Schlüssel für einen Bereich anfordert, der Ihrer Organisation gehört (da er von einem Ihrer Benutzer erstellt wurde) sendet Ihr Schlüsselverwaltungsdienst den Schlüssel über einen mit ECDH gesicherten Kanal an den Client. Wenn jedoch eine andere Organisation den Schlüssel für den Bereich besitzt, leitet Ihr KMS die Anfrage über einen separaten ECDH-Kanal an die Webex-Cloud weiter, um den Schlüssel vom entsprechenden KMS zu erhalten, und gibt den Schlüssel dann über den ursprünglichen Kanal an Ihren Benutzer zurück.

Der auf Organisation A laufende KMS-Dienst validiert die Verbindungen zu KMS-Systemen in anderen Organisationen mithilfe von x.509 PKI-Zertifikaten. Weitere Informationen zum Generieren eines x.509-Zertifikats für Ihre Multi-Tenant Hybrid Data Security-Bereitstellung finden Sie unter Umgebung vorbereiten.

Erwartungen an die Bereitstellung der Hybrid-Datensicherheit

Eine hybride Datensicherheitsimplementierung erfordert ein hohes Maß an Engagement und ein Bewusstsein für die Risiken, die mit dem Besitz von Verschlüsselungsschlüsseln einhergehen.

Für die Bereitstellung von Hybrid Data Security müssen Sie Folgendes bereitstellen:

  • Ein sicheres Rechenzentrum in einem Land, das als Standort für die CiscoWebex Teams-Pläne unterstützt wird.

  • Die in Bereiten Sie Ihre Umgebung vor.

Der vollständige Verlust entweder der von Ihnen für Hybrid Data Security erstellten Konfigurations-ISO oder der von Ihnen bereitgestellten Datenbank führt zum Verlust der Schlüssel. Der Verlust des Schlüssels verhindert, dass Benutzer den Inhalt des Bereichs und andere verschlüsselte Daten in der Webex-App entschlüsseln können. Falls dies geschieht, können Sie eine neue Bereitstellung erstellen, es werden dabei jedoch nur neue Inhalte angezeigt. Gehen Sie folgendermaßen vor, damit Sie nicht den Zugriff auf die Daten verlieren:

  • Verwalten Sie die Sicherung und Wiederherstellung der Datenbank und die ISO-Konfigurationsdatei.

  • Seien Sie darauf vorbereitet, im Katastrophenfall, wie beispielsweise einem Ausfall der Datenbankfestplatte oder einem Ausfall des Rechenzentrums, eine schnelle Wiederherstellung durchzuführen.

Es gibt keinen Mechanismus, um Schlüssel nach einer HDS-Bereitstellung wieder in die Cloud zurückzuübertragen.

Einrichtungsprozess auf hoher Ebene

Dieses Dokument beschreibt die Einrichtung und Verwaltung einer mandantenfähigen hybriden Datensicherheitslösung:

  • Hybride Datensicherheit einrichten— Dies umfasst die Vorbereitung der erforderlichen Infrastruktur und die Installation der Hybrid-Datensicherheitssoftware, den Aufbau eines HDS-Clusters, das Hinzufügen von Mandantenorganisationen zum Cluster und die Verwaltung ihrer Kundenschlüssel (CMKs). Dadurch können alle Benutzer Ihrer Kundenorganisationen Ihren Hybrid Data Security Cluster für Sicherheitsfunktionen nutzen.

    Die Einrichtungs-, Aktivierungs- und Verwaltungsphasen werden in den nächsten drei Kapiteln ausführlich behandelt.

  • Pflegen Sie Ihre Hybrid-Datensicherheitsbereitstellung—Die Webex-Cloud bietet automatisch fortlaufende Upgrades. Ihre IT-Abteilung kann Ebene-1-Support anbieten und bei Bedarf den Cisco-Support hinzuziehen. Im Partner Hub können Sie Bildschirmbenachrichtigungen nutzen und E-Mail-basierte Benachrichtigungen einrichten.

  • Häufige Warnmeldungen, Schritte zur Fehlerbehebung und bekannte Probleme verstehen— Sollten Sie bei der Bereitstellung oder Verwendung von Hybrid Data Security auf Probleme stoßen, können Ihnen das letzte Kapitel dieses Leitfadens und der Anhang „Bekannte Probleme“ dabei helfen, das Problem zu ermitteln und zu beheben.

Bereitstellungsmodell für die Hybrid-Datensicherheit

Innerhalb Ihres Unternehmensrechenzentrums implementieren Sie Hybrid Data Security als einen einzigen Cluster von Knoten auf separaten virtuellen Hosts. Die Knoten kommunizieren über sichere WebSockets und sicheres HTTP mit der Webex-Cloud.

Während des Installationsvorgangs stellen wir Ihnen die OVA-Datei bereit, mit der Sie die virtuelle Appliance auf den von Ihnen angegebenen VMs einrichten können. Mit dem HDS-Setuptool erstellen Sie eine benutzerdefinierte ISO-Clusterkonfigurationsdatei, die Sie bei den einzelnen Knoten mounten. Der Hybrid Data Security Cluster verwendet Ihren bereitgestellten Syslogd-Server und eine PostgreSQL- oder Microsoft SQL Server-Datenbank. (Die Konfiguration von Syslogd und der Datenbankverbindung erfolgt im HDS Setup Tool.)

Bereitstellungsmodell für die Hybrid-Datensicherheit

Die Mindestanzahl von Knoten in einem Cluster lautet zwei. Wir empfehlen mindestens drei pro Cluster. Durch die Verwendung mehrerer Knoten wird sichergestellt, dass der Dienst während eines Software-Upgrades oder anderer Wartungsarbeiten an einem Knoten nicht unterbrochen wird. (Die Webex-Cloud aktualisiert immer nur einen Knoten gleichzeitig.)

Alle Knoten in einem Cluster greifen auf denselben Schlüsseldatenspeicher zu und sie protokollieren Aktivitäten auf demselben Syslog-Server. Die Knoten selbst besitzen keinen Status und verarbeiten Schlüsselanfragen nach dem Round-Robin-Verfahren, wie von der Cloud vorgegeben.

Knoten werden aktiv, sobald Sie sie im Partner Hub registrieren. Um einen einzelnen Knoten zu deaktivieren, können Sie die Registrierung aufheben und ggf. zu einem späteren Zeitpunkt erneut registrieren.

Standby-Rechenzentrum für die Notfallwiederherstellung

Während der Bereitstellung richten Sie ein sicheres Standby-Rechenzentrum ein. Im Falle eines Ausfalls des Rechenzentrums können Sie Ihre Bereitstellung manuell auf das Standby-Rechenzentrum umschalten.

Vor dem Failover verfügt Rechenzentrum A über aktive HDS-Knoten und die primäre PostgreSQL- oder Microsoft SQL Server-Datenbank, während B über eine Kopie der ISO-Datei mit zusätzlichen Konfigurationen, VMs, die bei der Organisation registriert sind, und eine Standby-Datenbank verfügt. Nach dem Failover verfügt Rechenzentrum B über aktive HDS-Knoten und die primäre Datenbank, während Rechenzentrum A nicht registrierte VMs und eine Kopie der ISO-Datei enthält und sich die Datenbank im Standby-Modus befindet.
Manuelles Failover zum Standby-Rechenzentrum

Die Datenbanken der aktiven und der Standby-Rechenzentren sind miteinander synchronisiert, wodurch die für den Failover benötigte Zeit minimiert wird.

Die aktiven Hybrid Data Security-Knoten müssen sich immer im selben Rechenzentrum wie der aktive Datenbankserver befinden.

Einrichtung eines Standby-Rechenzentrums für die Notfallwiederherstellung

Führen Sie die folgenden Schritte aus, um die ISO-Datei des Standby-Rechenzentrums zu konfigurieren:

Vorbereitungen

  • Das Standby-Rechenzentrum sollte die Produktionsumgebung von VMs und einer Backup-PostgreSQL- oder Microsoft SQL Server-Datenbank widerspiegeln. Wenn beispielsweise in der Produktion 3 VMs HDS-Knoten ausführen, sollte die Backup-Umgebung 3 VMs haben. (Eine Übersicht über dieses Failover-Modell finden Sie unter Standby-Rechenzentrum für die Notfallwiederherstellung.)

  • Stellen Sie sicher, dass die Datenbanksynchronisierung zwischen den Datenbanken der aktiven und passiven Clusterknoten aktiviert ist.

1

Starten Sie das HDS Setup-Tool und folgen Sie den Schritten unter Erstellen einer Konfigurations-ISO für die HDS-Hosts.

Die ISO-Datei muss eine Kopie der ursprünglichen ISO-Datei des primären Rechenzentrums sein, auf dem die folgenden Konfigurationsaktualisierungen vorgenommen werden sollen.

2

Nach der Konfiguration des Syslogd-Servers klicken Sie auf Erweiterte Einstellungen.

3

Fügen Sie auf der Seite Erweiterte Einstellungen die unten stehende Konfiguration hinzu, um den Knoten in den passiven Modus zu versetzen. In diesem Modus wird der Knoten bei der Organisation registriert und mit der Cloud verbunden, verarbeitet aber keinen Datenverkehr.


passiveMode: 'true'

4

Schließen Sie den Konfigurationsprozess ab und speichern Sie die ISO-Datei an einem leicht zu findenden Ort.

5

Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Bewahren Sie die Sicherungskopie sicher auf. Die Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Der Zugriff soll auf diejenigen Hybrid Data Security-Administratoren beschränkt werden, die Konfigurationsänderungen vornehmen sollen.

6

Klicken Sie im linken Navigationsbereich des VMware vSphere-Clients mit der rechten Maustaste auf die VM und klicken Sie auf Einstellungen bearbeiten..

7

Klicken Sie auf Einstellungen bearbeiten >CD/DVD Laufwerk 1 und Datenspeicher-ISO-Datei auswählen.

Stellen Sie sicher, dass die Optionen Verbunden und Beim Einschalten verbinden aktiviert sind, damit aktualisierte Konfigurationsänderungen nach dem Start der Knoten wirksam werden können.

8

Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 15 Minuten lang keine Alarme ausgelöst werden.

9

Wiederholen Sie den Vorgang für jeden Knoten im Standby-Rechenzentrum.

Überprüfen Sie die Systemprotokolle, um sicherzustellen, dass sich die Knoten im passiven Modus befinden. Sie sollten die Meldung „KMS im passiven Modus konfiguriert“ in den Systemprotokollen sehen können.

Nächste Schritte

Nachdem Sie passiveMode die -Einstellungen in der ISO-Datei konfiguriert und diese gespeichert haben, können Sie eine weitere Kopie der ISO-Datei ohne die passiveMode -Konfiguration erstellen und diese an einem sicheren Ort speichern. Diese Kopie der ISO-Datei ohne die Konfiguration passiveMode kann bei einem schnellen Failover-Prozess während der Notfallwiederherstellung hilfreich sein. Die detaillierte Vorgehensweise beim Failover finden Sie unter Disaster Recovery using Standby Data Center.

Proxy-Support

Die Hybriddatensicherheit unterstützt explizite, transparente Inspektionen und Nichtinspizierungsproxys. Sie können diese Proxys an Ihre Bereitstellung binden, damit Sie den Datenverkehr aus dem Unternehmen heraus in die-Cisco sichern und überwachen können. Sie können eine Netzwerkverwaltung auf den Knoten für Zertifikats-Management verwenden und den Status der gesamten Konnektivität überprüfen, nachdem Sie den Proxy auf den Knoten eingerichtet haben.

Die Hybrid Data Sicherheitshinweis unterstützt die folgenden Proxyoptionen:

  • Kein Proxy— Standardeinstellung, wenn Sie den Trust Store des HDS-Knotens nicht verwenden. & Proxy-Konfiguration zur Integration eines Proxys. Es ist keine Zertifikatsaktualisierung erforderlich.

  • Transparenter, nicht-prüfender Proxy—Die Knoten sind nicht für die Verwendung einer bestimmten Proxy-Serveradresse konfiguriert und sollten keine Änderungen benötigen, um mit einem nicht-prüfenden Proxy zu funktionieren. Es ist keine Zertifikatsaktualisierung erforderlich.

  • Transparentes Tunneling oder Inspektionsproxy—Die Knoten sind nicht für die Verwendung einer bestimmten Proxy-Serveradresse konfiguriert. Es sind keine Änderungen bei der Konfigurationänderung von http oder HTTPS Allerdings benötigen die Knoten eine Stammzertifikat, sodass Sie dem Proxy Vertrauen. Die Inspektion von Proxys wird in der Regel von ihm verwendet, um Strategien durchzusetzen, welche Websites besichtigt werden können und welche Arten von Inhalten nicht zulässig sind. Diese Art von Proxy entschlüsselt den gesamten Datenverkehr (auch HTTPS).

  • Expliziter Proxy—Mit einem expliziten Proxy teilen Sie den HDS-Knoten mit, welchen Proxy-Server und welches Authentifizierungsschema sie verwenden sollen. Um einen expliziten Proxy zu konfigurieren, müssen Sie die folgenden Informationen zu den einzelnen Knoten eingeben:

    1. Proxy IP/FQDN—Adresse, über die der Proxy-Rechner erreicht werden kann.

    2. Proxy-Port—Eine Portnummer, die der Proxy verwendet, um auf den weitergeleiteten Datenverkehr zu lauschen.

    3. Proxy-Protokoll—Je nachdem, welche Protokolle Ihr Proxy-Server unterstützt, wählen Sie eines der folgenden Protokolle:

      • – Und steuert alle Anfragen, die der Client sendet.

      • HTTPS – stellt einen Kanal zum Server bereit. Der Client erhält und prüft das Zertifikat des Servers.

    4. Authentifizierungstyp—Wählen Sie einen der folgenden Authentifizierungstypen aus:

      • Keine—Es ist keine weitere Authentifizierung erforderlich.

        Verfügbar, wenn Sie entweder http oder HTTPS als Proxyprotokoll auswählen.

      • Basic—Wird von einem HTTP-Benutzeragenten verwendet, um bei einer Anfrage einen Benutzernamen und ein Passwort anzugeben. Zertifikatsformat verwendet.

        Verfügbar, wenn Sie entweder http oder HTTPS als Proxyprotokoll auswählen.

        Hiermit müssen Sie die Benutzername und das Passwort eines jeden Knotens eingeben.

      • Digest— Wird verwendet, um das Konto zu bestätigen, bevor sensible Informationen gesendet werden. Gibt eine Hashfunktion auf die Benutzername und das Passwort ein, bevor Sie über das Netzwerk senden.

        Nur verfügbar, wenn Sie HTTPS als Proxyprotokoll auswählen.

        Hiermit müssen Sie die Benutzername und das Passwort eines jeden Knotens eingeben.

Beispiel für hybride Datensicherheitsknoten und Proxy

Dieses Diagramm zeigt eine Beispielverbindung zwischen der Hybriddatensicherheit, dem Netzwerk und einem Proxy. Für die transparente Inspektion und HTTPS explizite Überprüfung der Proxyoptionen müssen dieselben Stammzertifikat auf dem Proxy und auf den Hybriden Datensicherheitsknoten installiert sein.

Diagramm mit einer beispielhaften Verbindung zwischen dem Hybrid Data Security-Netzwerk und einem Proxy.

Externer DNS Auflösungsmodus blockiert (explizite Proxykonfigurationen)

Wenn Sie einen Knoten registrieren oder die Proxykonfiguration des Knotens überprüfen, testet das Verfahren die DNS und die Konnektivität der Cisco WebEx. Bei Bereitstellungen mit expliziten Proxykonfigurationen, die keine externe DNS für interne Clients zulassen, wenn der Knoten die DNS-Server nicht Abfragen kann, geht er automatisch in den gesperrten externen DNS-Server. In diesem Modus können Knotenregistrierungen und andere Proxyverbindungstests fortgeführt werden.

Umgebung vorbereiten

Anforderungen an die hybride Datensicherheit für mehrere Mandanten

Cisco Webex-Lizenzanforderungen

So implementieren Sie hybride Datensicherheit für mehrere Mandanten:

  • Partnerorganisationen: Wenden Sie sich an Ihren Cisco-Partner oder Account Manager und vergewissern Sie sich, dass die Multi-Tenant-Funktion aktiviert ist.

  • Mieterorganisationen: Sie benötigen das Pro Pack für Cisco Webex Control Hub. (Siehe https://www.cisco.com/go/pro-pack.)

Docker Desktop-Anforderungen

Bevor Sie Ihre HDS-Knoten installieren, benötigen Sie Docker Desktop, um ein Setup-Programm auszuführen. Docker hat kürzlich sein Lizenzmodell aktualisiert. Ihre Organisation benötigt möglicherweise ein kostenpflichtiges Abonnement für Docker Desktop. Weitere Informationen finden Sie im Docker-Blog-Post: " Docker aktualisiert und erweitert unsere Produktabonnements".

Kunden ohne Docker Desktop-Lizenz können ein Open-Source-Container-Management-Tool wie Podman Desktop verwenden, um Container auszuführen, zu verwalten und zu erstellen. Weitere Informationen finden Sie unter Ausführen des HDS-Setup-Tools mit Podman Desktop.

Anforderungen an das X.509-Zertifikat

Diese Zertifikatskette muss die folgenden Anforderungen erfüllen:

Tabelle 1: X.509-Zertifikatsanforderungen für die hybride Datensicherheitsbereitstellung

Anforderung

Details

  • Von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert

Standardmäßig vertrauen wir den Zertifizierungsstellen in der Mozilla-Liste (mit Ausnahme von WoSign und StartCom) unter https://wiki.mozilla.org/CA:IncludedCAs.

  • Trägt einen allgemeinen Namen (CN), der Ihre Hybrid-Datensicherheitsbereitstellung identifiziert.

  • Ist kein Platzhalterzertifikat

Der CN muss nicht erreichbar und kein Live-Host sein. Wir empfehlen Ihnen, einen Namen zu verwenden, der Ihre Organisation widerspiegelt, zum Beispiel hds.company.com.

Der CN darf kein * (Wildcard).

Der CN wird verwendet, um die Hybrid Data Security-Knoten gegenüber Webex App-Clients zu verifizieren. Alle Hybrid Data Security-Knoten in Ihrem Cluster verwenden dasselbe Zertifikat. Ihr KMS identifiziert sich selbst unter Verwendung der CN-Domäne, nicht einer beliebigen Domäne, die in den x.509v3-SAN-Feldern definiert ist.

Nachdem Sie einen Knoten mit diesem Zertifikat registriert haben, kann der CN-Domänenname nicht mehr geändert werden.

  • Keine SHA1-Signatur

Die KMS-Software unterstützt keine SHA1-Signaturen zum Validieren von Verbindungen zu KMS anderer Organisationen.

  • Als passwortgeschützte PKCS #12-Datei formatiert

  • Verwenden Sie den Anzeigenamen kms-private-key, um das Zertifikat, den privaten Schlüssel und alle Zwischenzertifikate, die hochgeladen werden sollen, zu kennzeichnen.

Sie können das Format Ihres Zertifikats mithilfe einer Konvertierungssoftware wie OpenSSL ändern.

Sie müssen das Passwort eingeben, wenn Sie das HDS-Setuptool ausführen.

Die KMS-Software erzwingt keine Schlüsselnutzung und beschränkt erweiterte Schlüsselnutzung nicht. Einige Zertifizierungsstellen erfordern Beschränkungen einer erweiterten Schlüsselnutzung für jedes Zertifikat, wie z. B. Server-Authentifizierung. Die Server-Authentifizierung oder andere Einstellungen zu verwenden, ist zulässig.

Anforderungen an virtuelle Hosts

Die virtuellen Hosts, die Sie als Hybrid Data Security-Knoten in Ihrem Cluster einrichten, müssen folgende Anforderungen erfüllen:

  • Mindestens zwei separate Hosts (3 empfohlen) sollten im selben sicheren Rechenzentrum untergebracht sein.

  • VMware ESXi 7.0 oder 8.0 ist installiert und läuft.

    Sie müssen ein Upgrade durchführen, wenn Sie eine ältere Version von ESXi verwenden.

  • Mindestens 4 vCPUs, 8 GB Arbeitsspeicher, 30 GB lokaler Festplattenspeicher pro Server

Anforderungen an den Datenbankserver

Erstellen Sie eine neue Datenbank zur Schlüsselspeicherung. Verwenden Sie nicht die Standarddatenbank. Die HDS-Anwendungen erstellen bei Installation das Datenbankschema.

Für den Datenbankserver gibt es zwei Optionen. Die Anforderungen für die einzelnen Positionen lauten wie folgt:

Tabelle 2. Anforderungen an Datenbankserver je nach Datenbanktyp

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14, 15 oder 16 ist installiert und läuft.

  • SQL Server 2016, 2017, 2019 oder 2022 (Enterprise oder Standard) installiert.

    Für SQL Server 2016 ist Service Pack 2 und das kumulative Update 2 oder höher erforderlich.

Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichend Festplattenkapazität und Überwachung zur Sicherstellung, dass dieser nicht überschritten wird (2 TB empfohlen, falls die Datenbank über längere Zeit ohne Erweiterung der Festplattenkapazität ausgeführt werden soll)

Mindestens 8 vCPUs, 16 GB Hauptspeicher, ausreichend Festplattenkapazität und Überwachung zur Sicherstellung, dass dieser nicht überschritten wird (2 TB empfohlen, falls die Datenbank über längere Zeit ohne Erweiterung der Festplattenkapazität ausgeführt werden soll)

Die HDS-Software installiert aktuell die folgenden Treiberversionen für die Kommunikation mit dem Datenbankserver:

PostgreSQL

Microsoft SQL Server

Postgres JDBC-Treiber 42.2.5

SQL Server JDBC-Treiber 4.6

Diese Treiberversion unterstützt SQL Server Always On ( Always On Failover Cluster Instances und Always On availability groups).

Zusätzliche Anforderungen für die Windows-Authentifizierung gegenüber Microsoft SQL Server

Wenn HDS-Knoten die Windows-Authentifizierung verwenden sollen, um auf Ihre Keystore-Datenbank auf Microsoft SQL Server zuzugreifen, benötigen Sie die folgende Konfiguration in Ihrer Umgebung:

  • Die HDS-Knoten, die Active Directory-Infrastruktur und der MS SQL Server müssen alle mit NTP synchronisiert werden.

  • Das Windows-Konto, das Sie den HDS-Knoten bereitstellen, muss Folgendes aufweisen: read/write Zugriff auf die Datenbank.

  • Die DNS-Server, die Sie den HDS-Knoten bereitstellen, müssen in der Lage sein, Ihr Key Distribution Center (KDC) aufzulösen.

  • Sie können die HDS-Datenbankinstanz auf Ihrem Microsoft SQL Server als Dienstprinzipalnamen (SPN) in Ihrem Active Directory registrieren. Siehe Registrieren eines Dienstprinzipalnamens für Kerberos-Verbindungen.

    Das HDS-Setup-Tool, der HDS-Launcher und der lokale KMS benötigen alle die Windows-Authentifizierung, um auf die Keystore-Datenbank zuzugreifen. Sie verwenden die Details aus Ihrer ISO-Konfiguration, um den SPN zu erstellen, wenn sie mit Kerberos-Authentifizierung Zugriff anfordern.

Anforderungen an die externe Konnektivität

Konfigurieren Sie Ihre Firewall so, dass die folgenden Verbindungen für die HDS-Anwendungen zugelassen werden:

Anwendung

Protokoll

Port

Wegbeschreibung aus der App

Zielort

Knoten für hybride Datensicherheit

TCP

443

Ausgehend HTTPS und WSS

  • Webex-Server:

    • *.wbx2.com

    • *.ciscospark.com

  • Alle Common Identity-Hosts

  • Weitere URLs, die für Hybrid Data Security in der Tabelle Zusätzliche URLs für Webex Hybrid Services der Netzwerkanforderungen für Webex Servicesaufgeführt sind

HDS-Setup-Tool

TCP

443

Ausgehendes HTTPS

  • *.wbx2.com

  • Alle Common Identity-Hosts

  • hub.docker.com

Die Hybrid Data Security-Knoten funktionieren mit Network Access Translation (NAT) oder hinter einer Firewall, sofern die NAT oder die Firewall die erforderlichen ausgehenden Verbindungen zu den Domänenzielen in der vorhergehenden Tabelle zulässt. Bei eingehenden Verbindungen zu den Hybrid Data Security-Knoten dürfen keine Ports aus dem Internet sichtbar sein. Innerhalb Ihres Rechenzentrums benötigen Clients für administrative Zwecke Zugriff auf die Hybrid Data Security-Knoten über die TCP-Ports 443 und 22.

Die URLs für die Common Identity (CI)-Hosts sind regionsspezifisch. Dies sind die aktuellen CI-Hosts:

Region

Gemeinsame Identitätshost-URLs

Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Europäische Union

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Vereinigte Arabische Emirate

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Vorgaben für Proxy-Server

  • Wir unterstützen offiziell die folgenden Proxylösungen, die in ihre Hybriden Sicherheitsknoten integriert werden können.

  • Wir unterstützen die folgenden Authentifizierungskombinationen für explizite Proxys:

    • Keine Authentifizierung mit http oder HTTPS

    • Grundlegende Authentifizierung mit http oder HTTPS

    • Verdauungsauthentifizierung nur mit HTTPS

  • Um einen transparenten Proxy oder einen HTTPS expliziten Proxy zu erhalten, müssen Sie eine Kopie des Stammzertifikat des Stellvertreters besitzen. Die Bereitstellungsanweisungen in diesem Handbuch zeigen Ihnen, wie Sie die Kopie in die Vertrauensspeicher der Hybriden Datensicherheitsknoten hochladen können.

  • Das Netzwerk, das die HDS Nodes hostet, muss so konfiguriert sein, dass es den ausgehenden TCP Traffic auf Port 443 durch den Proxy zwingt

  • Proxys, die den Webverkehr inspizieren, können die Websteckverbindung beeinträchtigen. Wenn dieses Problem auftritt, lässt sich das Problem durch Umgehen (Nicht-Überprüfen) des Datenverkehrs zu wbx2.com und ciscospark.com beheben.

Erfüllen der Voraussetzungen für die Hybrid-Datensicherheit

Nutzen Sie diese Checkliste, um sicherzustellen, dass Sie für die Installation und Konfiguration Ihres Hybrid Data Security-Clusters bereit sind.
1

Stellen Sie sicher, dass Ihre Partnerorganisation die Multi-Tenant HDS-Funktion aktiviert hat und besorgen Sie sich die Zugangsdaten eines Kontos mit vollständigen Administratorrechten des Partners. Stellen Sie sicher, dass Ihre Webex-Kundenorganisation für Pro Pack für Cisco Webex Control Hub aktiviert ist. Wenden Sie sich an Ihren Cisco-Partner oder an Ihren Account Manager, falls Sie Hilfe bei diesem Verfahren benötigen.

Kundenorganisationen sollten keine bestehende HDS-Implementierung haben.

2

Wählen Sie einen Domänennamen für Ihre HDS-Bereitstellung (z. B. hds.company.com) und besorgen Sie sich eine Zertifikatskette, die ein X.509-Zertifikat, einen privaten Schlüssel und alle Zwischenzertifikate enthält. Die Zertifikatskette muss die Anforderungen in X.509 Zertifikatsanforderungenerfüllen.

3

Bereiten Sie identische virtuelle Hosts vor, die Sie als Hybrid Data Security-Knoten in Ihrem Cluster einrichten werden. Sie benötigen mindestens zwei separate Hosts (3 werden empfohlen), die im selben sicheren Rechenzentrum untergebracht sind und die Anforderungen unter Anforderungen an virtuelle Hostserfüllen.

4

Bereiten Sie den Datenbankserver, der als zentraler Datenspeicher für den Cluster dienen soll, gemäß den Anforderungen an den Datenbankserver vor. Der Datenbankserver muss sich im selben sicheren Rechenzentrum wie die virtuellen Hosts befinden.

  1. Erstellen Sie eine Datenbank zur Schlüsselspeicherung. (Sie müssen diese Datenbank selbst erstellen – verwenden Sie nicht die Standarddatenbank.) Die HDS-Anwendungen erstellen bei Installation das Datenbankschema.)

  2. Sammeln Sie die Informationen, die die Knoten zur Kommunikation mit dem Datenbankserver benötigen:

    • Der Hostname oder die IP-Adresse (Host) und der Port

    • Der Name der Datenbank (dbname) zur Schlüsselspeicherung

    • Der Benutzername und das Kennwort eines Benutzers mit allen Rechten in der Schlüsseldatenbank

5

Für eine schnelle Wiederherstellung nach einem Datenverlust sollten Sie eine Backup-Umgebung in einem anderen Rechenzentrum einrichten. Die Backup-Umgebung spiegelt die Produktionsumgebung aus VMs und einem Backup-Datenbankserver wider. Wenn beispielsweise in der Produktion 3 VMs HDS-Knoten ausführen, sollte die Backup-Umgebung 3 VMs haben.

6

Richten Sie einen syslog-Host ein, um Protokolle aus den Knoten im Cluster zu sammeln. Dokumentieren Sie dessen Netzwerkadresse und syslog-Port (Standard ist UDP 514).

7

Erstellen Sie eine sichere Backup-Richtlinie für die Hybrid Data Security-Knoten, den Datenbankserver und den Syslog-Host. Um einen nicht wiederherstellbaren Datenverlust zu verhindern, müssen Sie zumindest die Datenbank und die für die Hybrid Data Security-Knoten generierte Konfigurations-ISO-Datei sichern.

Da die Hybrid Data Security-Knoten die Schlüssel speichern, die zur Ver- und Entschlüsselung von Inhalten verwendet werden, führt ein Versäumnis, eine betriebsbereite Bereitstellung aufrechtzuerhalten, zum UNWIEDERHERSTELLBAREN VERLUST dieser Inhalte.

Webex App-Clients speichern ihre Schlüssel im Cache, daher ist ein Ausfall möglicherweise nicht sofort erkennbar, wird aber mit der Zeit deutlich. Vorübergehende Ausfälle sind unvermeidlich, aber behebbar. Bei einem vollständigen Verlust (keine Backups verfügbar) entweder der Datenbank oder der ISO-Konfigurationsdatei gehen jedoch Kundendaten unwiederbringlich verloren. Die Betreiber der Hybrid Data Security-Knoten sind verpflichtet, regelmäßig Backups der Datenbank und der Konfigurations-ISO-Datei zu erstellen und im Falle eines katastrophalen Ausfalls auf den Wiederaufbau des Hybrid Data Security-Rechenzentrums vorbereitet zu sein.

8

Stellen Sie sicher, dass Ihre Firewall-Konfiguration die Konnektivität für Ihre Hybrid Data Security-Knoten gemäß den Anforderungen an die externe Konnektivität ermöglicht.

9

Installieren Sie Docker ( https://www.docker.com) auf einem beliebigen lokalen Rechner mit einem unterstützten Betriebssystem (Microsoft Windows 10 Professional oder Enterprise 64-Bit oder Mac OSX Yosemite 10.10.3 oder höher) und einem Webbrowser, der auf Docker unter http://127.0.0.1:8080.zugreifen kann.

Sie verwenden die Docker-Instanz, um das HDS Setup Tool herunterzuladen und auszuführen, das die lokalen Konfigurationsinformationen für alle Hybrid Data Security-Knoten erstellt. Möglicherweise benötigen Sie eine Docker Desktop-Lizenz. Weitere Informationen finden Sie unter Docker Desktop-Anforderungen.

Für die Installation und Ausführung des HDS Setup Tools muss der lokale Rechner über die in Externe Verbindungsanforderungenbeschriebenen Verbindungen verfügen.

10

Wenn Sie einen Proxy in Hybrid Data Security integrieren, stellen Sie sicher, dass er die Anforderungen an den Proxy-Server erfüllt.

Einrichten eines Hybrid-Datensicherheitsclusters

Aufgabenablauf für die Bereitstellung hybrider Datensicherheit

Vorbereitungen

1

Führen Sie die Ersteinrichtung durch und laden Sie die Installationsdateien herunter.

Laden Sie die OVA-Datei zur späteren Verwendung auf Ihren lokalen Rechner herunter.

2

Erstellen einer ISO-Konfigurationsdatei für die HDS-Hosts

Verwenden Sie das HDS Setup Tool, um eine ISO-Konfigurationsdatei für die Hybrid Data Security-Knoten zu erstellen.

3

Installieren des HDS Host OVA

Erstellen Sie eine virtuelle Maschine aus der OVA-Datei und führen Sie die Erstkonfiguration durch, z. B. die Netzwerkeinstellungen.

Die Möglichkeit, Netzwerkeinstellungen während der OVA-Bereitstellung zu konfigurieren, wurde mit ESXi 7.0 und 8.0 getestet. Diese Option ist in früheren Versionen möglicherweise nicht verfügbar.

4

Einrichten der Hybrid-Datensicherheits-VM

Melden Sie sich in der VM-Konsole an und legen Sie die Anmeldeinformationen fest. Konfigurieren Sie die Netzwerkeinstellungen für den Knoten, falls Sie diese nicht bereits bei der OVA-Bereitstellung konfiguriert haben.

5

Hochladen und Mounten der HDS-Konfigurations-ISO

Konfigurieren Sie die VM anhand der ISO-Konfigurationsdatei, die Sie mit dem HDS Setup Tool erstellt haben.

6

Konfigurieren des HDS Knotens für Proxyintegration

Falls die Netzwerkumgebung eine Proxy-Konfiguration erfordert, geben Sie den Proxy-Typ an, den Sie für den Knoten verwenden möchten, und fügen Sie gegebenenfalls das Proxy-Zertifikat zum Truststore hinzu.

7

Registrieren Sie den ersten Knoten im Cluster

Registrieren Sie die VM in der Cisco Webex Cloud als Hybrid Data Security-Knoten.

8

Weitere Knoten erstellen und registrieren

Schließen Sie die Cluster-Einrichtung ab.

9

Aktivieren Sie Multi-Tenant HDS im Partner Hub.

Aktivieren Sie HDS und verwalten Sie Mandantenorganisationen im Partner Hub.

Führen Sie die Ersteinrichtung durch und laden Sie die Installationsdateien herunter.

Bei dieser Aufgabe laden Sie eine OVA-Datei auf Ihren Rechner herunter (nicht auf die Server, die Sie als Hybrid Data Security-Knoten eingerichtet haben). Sie können diese Datei zu einem späteren Zeitpunkt im Installationsprozess verwenden.

1

Melden Sie sich im Partner Hub an und klicken Sie dann auf Services.

2

Suchen Sie im Abschnitt „Hybrid“ die Karte „Hybrid Data Security“ und klicken Sie dann auf Einrichten.

Das Klicken auf Einrichten im Partner Hub ist für den Bereitstellungsprozess unerlässlich. Fahren Sie mit der Installation nicht fort, ohne diesen Schritt abgeschlossen zu haben.

3

Klicken Sie auf Ressource hinzufügen und anschließend auf .OVA-Datei herunterladen auf der Karte Software installieren und konfigurieren.

Ältere Versionen des Softwarepakets (OVA) sind nicht mit den neuesten Hybrid Data Security-Upgrades kompatibel. Dies kann zu Problemen beim Aktualisieren der Anwendung führen. Laden Sie unbedingt die neueste Version der OVA-Datei herunter.

Sie können die OVA auch jederzeit im Hilfebereich herunterladen . Klicken Sie auf Einstellungen > Helfen > Hybrid Data Security Software herunterladen.

Der Download der OVA-Datei beginnt automatisch. Speichern Sie die Datei auf Ihrem Computer.

Erstellen einer ISO-Konfigurationsdatei für die HDS-Hosts

Der Einrichtungsprozess für hybride Datensicherheit erzeugt eine ISO-Datei. Anschließend verwenden Sie die ISO-Datei, um Ihren Hybrid Data Security-Host zu konfigurieren.

Vorbereitungen
1

Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

In regulären Umgebungen:

docker rmi ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

docker rmi ciscocitg/hds-setup-fedramp:stable

Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

2

Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

docker login -u hdscustomersro
3

Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

In regulären Umgebungen:

docker pull ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

  • In regulären Umgebungen ohne Proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTP-Proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTPS-Proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In FedRAMP-Umgebungen ohne Proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express-Server hören auf Port 8080) sehen.

6

Das Setup-Tool unterstützt keine Verbindung zu localhost über . http://localhost:8080. Verwenden Sie http://127.0.0.1:8080, um eine Verbindung zu localhost herzustellen.

Öffnen Sie einen Webbrowser, gehen Sie zu localhost, http://127.0.0.1:8080und geben Sie an der Eingabeaufforderung den Administrator-Benutzernamen für Partner Hub ein.

Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto einzustellen. Anschließend wird die Standard-Anmeldeaufforderung angezeigt.

7

Geben Sie bei Aufforderung Ihre Anmeldedaten für den Partner Hub-Administrator ein und klicken Sie dann auf Anmelden, um den Zugriff auf die für Hybrid Data Security erforderlichen Dienste zu ermöglichen.

8

Klicken Sie auf der Übersichtsseite des Setup Tool auf Get Started (Erste Schritte).

9

Auf der Seite ISO-Import stehen Ihnen folgende Optionen zur Verfügung:

  • Nein—Wenn Sie Ihren ersten HDS-Knoten erstellen, haben Sie keine ISO-Datei zum Hochladen.
  • Ja—Wenn Sie bereits HDS-Knoten erstellt haben, wählen Sie Ihre ISO-Datei im Browser aus und laden Sie sie hoch.
10

Prüfen Sie, ob Ihr X.509-Zertifikat die Anforderungen unter X.509-Zertifikatsanforderungenerfüllt.

  • Falls Sie noch nie ein Zertifikat hochgeladen haben, laden Sie das X.509-Zertifikat hoch, geben Sie das Passwort ein und klicken Sie auf Weiter.
  • Wenn Ihr Zertifikat in Ordnung ist, klicken Sie auf Weiter.
  • Wenn Ihr Zertifikat abgelaufen ist oder Sie es ersetzen möchten, wählen Sie Nein für HDS-Zertifikatskette und privaten Schlüssel aus vorheriger ISO weiterhin verwenden?. Laden Sie ein neues X.509-Zertifikat hoch, geben Sie das Passwort ein und klicken Sie auf Weiter.
11

Geben Sie die Datenbankadresse und das HDS-Konto ein, um auf Ihren Schlüsseldatenspeicher zuzugreifen:

  1. Wählen Sie Ihren Datenbanktyp (PostgreSQL oder Microsoft SQL Server).

    Wenn Sie Microsoft SQL Serverauswählen, erhalten Sie ein Feld für den Authentifizierungstyp.

  2. (Nur Microsoft SQL Server ) Wählen Sie Ihren Authentifizierungstyp:

    • Basisauthentifizierung: Sie benötigen einen lokalen SQL Server-Kontonamen im Feld Benutzername.

    • Windows-Authentifizierung: Sie benötigen ein Windows-Konto im Format username@DOMAIN im Feld Benutzername.

  3. Geben Sie die Adresse des Datenbankservers im Format : oder :ein.

    Beispiel:
    dbhost.example.org:1433 oder 198.51.100.17:1433

    Sie können eine IP-Adresse für die Basisauthentifizierung verwenden, wenn die Knoten den Hostnamen nicht per DNS auflösen können.

    Wenn Sie die Windows-Authentifizierung verwenden, müssen Sie einen vollqualifizierten Domänennamen im folgenden Format eingeben: dbhost.example.org:1433

  4. Geben Sie den Datenbanknamenein.

  5. Geben Sie den Benutzernamenund das Passwort eines Benutzers ein, der über alle Berechtigungen für die Schlüsselspeicherdatenbank verfügt.

12

Wählen Sie einen TLS-Datenbankverbindungsmodus:

Modus

Beschreibung

TLS bevorzugen (Standardoption)

HDS-Knoten benötigen kein TLS, um eine Verbindung zum Datenbankserver herzustellen. Wenn Sie TLS auf dem Datenbankserver aktivieren, versuchen die Knoten eine verschlüsselte Verbindung herzustellen.

TLS erforderlich

HDS-Knoten verbinden sich nur, wenn der Datenbankserver TLS aushandeln kann.

TLS erforderlich und Zertifikat signer überprüfen

Dieser Modus ist für SQL Server-Datenbanken nicht anwendbar.

  • HDS-Knoten verbinden sich nur, wenn der Datenbankserver TLS aushandeln kann.

  • Nach dem Aufbau einer TLS-Verbindung vergleicht der Knoten den Unterzeichner des Zertifikats vom Datenbankserver mit der Zertifizierungsstelle im Datenbank-Stammzertifikat. Wenn sie nicht übereinstimmen, wird die Verbindung durch den Knoten hergestellt.

Verwenden Sie die Stammzertifikat-Steuerung unterhalb des Dropdown-Dropdowns, um den Stammzertifikat Option hochzuladen.

TLS erforderlich und Zertifikats signer und Hostname überprüfen

  • HDS-Knoten verbinden sich nur, wenn der Datenbankserver TLS aushandeln kann.

  • Nach dem Aufbau einer TLS-Verbindung vergleicht der Knoten den Unterzeichner des Zertifikats vom Datenbankserver mit der Zertifizierungsstelle im Datenbank-Stammzertifikat. Wenn sie nicht übereinstimmen, wird die Verbindung durch den Knoten hergestellt.

  • Die Knoten überprüfen außerdem, ob der Hostname im Serverzertifikat mit dem Hostnamen im Feld Datenbank-Host und Port übereinstimmt. Die Namen müssen genau mit den Namen übereinstimmen, oder der Knoten unterfällt die Verbindung.

Verwenden Sie die Stammzertifikat-Steuerung unterhalb des Dropdown-Dropdowns, um den Stammzertifikat Option hochzuladen.

Wenn Sie das Stammzertifikat hochladen (falls erforderlich) und auf Weiterklicken, testet das HDS Setup Tool die TLS-Verbindung zum Datenbankserver. Das Tool überprüft auch den Zertifikat signer und den Hostnamen, falls vorhanden. Wenn ein Test fehlschlägt, zeigt das Tool eine Fehlermeldung an, in der das Problem beschrieben wird. Sie können auswählen, ob Sie den Fehler ignorieren und mit der Einrichtung fortfahren möchten. (Aufgrund von Unterschieden in der Konnektivität können die HDS-Knoten möglicherweise eine TLS-Verbindung herstellen, selbst wenn der Rechner des HDS Setup Tools diese nicht erfolgreich testen kann.)

13

Konfigurieren Sie auf der Seite „Systemprotokolle“ Ihren Syslogd-Server:

  1. Geben Sie die URL des Syslog-Servers ein.

    Wenn der Server von den Knoten Ihres HDS-Clusters aus nicht per DNS auflösbar ist, verwenden Sie eine IP-Adresse in der URL.

    Beispiel:
    udp://10.92.43.23:514 zeigt an, dass Protokolle an den Syslogd-Host 10.92.43.23 auf UDP-Port 514 gesendet werden.

  2. Wenn Sie Ihren Server für die Verwendung von TLS-Verschlüsselung eingerichtet haben, überprüfen Sie Ist Ihr Syslog-Server für SSL-Verschlüsselung konfiguriert?.

    Wenn Sie dieses Kontrollkästchen aktivieren, geben Sie bitte eine TCP-URL wie z. B. tcp://10.92.43.23:514ein.

  3. Wählen Sie im Dropdown-Menü Select syslog record terminate die passende Einstellung für Ihre ISO-Datei aus: Für Graylog und Rsyslog TCP wird „Choose“ oder „Newline“ verwendet.

    • Nullbyte -- \x00

    • Neue Zeile -- \n—Wählen Sie diese Option für Graylog und Rsyslog TCP.

  4. Klicken Sie auf Weiter.

14

(Optional) Sie können den Standardwert für einige Datenbankverbindungsparameter in den Erweiterten Einstellungenändern. Im Allgemeinen ist dies der einzige Parameter, den Sie möglicherweise ändern möchten:

app_datasource_connection_pool_maxSize: 10
15

Klicken Sie auf dem Bildschirm „Passwort für Dienstkonten zurücksetzen“ auf „ Weiter .

Die Passwörter für Dienstkonten haben eine Gültigkeitsdauer von neun Monaten. Verwenden Sie diesen Bildschirm, wenn Ihre Passwörter bald ablaufen oder Sie sie zurücksetzen möchten, um frühere ISO-Dateien ungültig zu machen.

16

Klicken Sie auf Download ISO File (ISO-Datei herunterladen). Speichern Sie die Datei an einem leicht zu findenden Ort.

17

Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System.

Bewahren Sie die Sicherungskopie sicher auf. Die Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Der Zugriff soll auf diejenigen Hybrid Data Security-Administratoren beschränkt werden, die Konfigurationsänderungen vornehmen sollen.

18

Um das Setup-Tool zu beenden, geben Sie CTRL+Cein.

Nächste Schritte

Sichern Sie die ISO-Konfigurationsdatei. Sie benötigen es, um weitere Knoten für die Wiederherstellung zu erstellen oder um Konfigurationsänderungen vorzunehmen. Wenn Sie alle Kopien der ISO-Datei verlieren, verlieren Sie auch den Hauptschlüssel. Die Wiederherstellung der Schlüssel aus Ihrer PostgreSQL- oder Microsoft SQL Server-Datenbank ist nicht möglich.

Wir besitzen niemals eine Kopie dieses Schlüssels und können Ihnen nicht helfen, wenn Sie ihn verlieren.

Installieren des HDS Host OVA

Verwenden Sie dieses Verfahren, um eine virtuelle Maschine aus der OVA-Datei zu erstellen.
1

Melden Sie sich über den VMware vSphere-Client auf Ihrem Computer bei dem ESXi virtuellen Host an.

2

Wählen Sie Datei > OVF-Vorlage bereitstellen aus.

3

Geben Sie im Assistenten den Speicherort der zuvor heruntergeladenen OVA-Datei an und klicken Sie dann auf Weiter.

4

Auf der Seite Wählen Sie einen Namen und einen Ordner aus, geben Sie einen Namen für die virtuelle Maschine für den Knoten ein (z. B. "HDS_Node_1"), wählen Sie einen Speicherort für die Bereitstellung des virtuellen Maschinenknotens und klicken Sie dann auf Weiter.

5

Auf der Seite Wählen Sie eine Rechenressource die Zielrechenressource aus und klicken Sie dann auf Weiter.

Es wird eine Validierungsprüfung durchgeführt. Nach Abschluss des Vorgangs werden die Vorlagendetails angezeigt.

6

Überprüfen Sie die Vorlagendetails und klicken Sie dann auf Weiter.

7

Wenn Sie aufgefordert werden, die Ressourcenkonfiguration auf der Seite Konfiguration auszuwählen, klicken Sie auf 4 CPU und anschließend auf Weiter.

8

Klicken Sie auf der Seite Speicher auswählen auf Weiter, um das Standard-Festplattenformat und die VM-Speicherrichtlinie zu übernehmen.

9

Auf der Seite Netzwerke auswählen wählen Sie aus der Liste der Einträge die Netzwerkoption aus, um die gewünschte Verbindung zur VM herzustellen.

10

Konfigurieren Sie auf der Seite Vorlage anpassen die folgenden Netzwerkeinstellungen:

  • Hostname—Geben Sie den FQDN (Hostname und Domäne) oder einen einwortigen Hostnamen für den Knoten ein.

    • Sie müssen die Domäne nicht auf die Domäne ändern, über die Sie das X.509-Zertifikat erhalten haben.

    • Um eine erfolgreiche Registrierung in der Cloud zu gewährleisten, verwenden Sie im FQDN oder Hostnamen, den Sie für den Knoten festlegen, ausschließlich Kleinbuchstaben. Großbuchstaben werden derzeit nicht unterstützt.

    • Der FQDN darf insgesamt nicht länger als 64 Zeichen sein.

  • IP-Adresse— Geben Sie die IP-Adresse für die interne Schnittstelle des Knotens ein.

    Ihr Knoten hat jetzt eine interne IP-Adresse und einen DNS-Namen. DHCP wird nicht unterstützt.

  • Maske—Geben Sie die Subnetzmaskenadresse in Punktdezimalschreibweise ein. Zum Beispiel: 255.255.255.0.
  • Gateway—Geben Sie die Gateway-IP-Adresse ein. Ein Gateway ist ein Netzwerkknoten, der als Zugangspunkt zu einem anderen Netzwerk dient.
  • DNS-Server—Geben Sie eine durch Kommas getrennte Liste von DNS-Servern ein, die die Übersetzung von Domainnamen in numerische IP-Adressen übernehmen. (Es sind bis zu 4 DNS-Einträge zulässig.)
  • NTP-Server—Geben Sie den NTP-Server Ihrer Organisation oder einen anderen externen NTP-Server ein, der in Ihrer Organisation verwendet werden kann. Die standardmäßigen NTP-Server funktionieren möglicherweise nicht für alle Unternehmen. Sie können auch eine durch Kommas getrennte Liste verwenden, um mehrere NTP-Server einzugeben.

  • Stellen Sie alle Knoten im selben Subnetz oder VLAN bereit, damit alle Knoten in einem Cluster von Clients in Ihrem Netzwerk zu administrativen Zwecken erreichbar sind.

Falls gewünscht, können Sie die Konfiguration der Netzwerkeinstellungen überspringen und stattdessen die Schritte unter Einrichten der Hybrid Data Security VM befolgen, um die Einstellungen über die Knotenkonsole zu konfigurieren.

Die Möglichkeit, Netzwerkeinstellungen während der OVA-Bereitstellung zu konfigurieren, wurde mit ESXi 7.0 und 8.0 getestet. Diese Option ist in früheren Versionen möglicherweise nicht verfügbar.

11

Klicken Sie mit der rechten Maustaste auf die Knoten-VM und wählen Sie dann Energie. > Einschalten.

Die Hybrid Data Security Software wird als Gastsystem auf dem VM-Host installiert. Sie können sich nun in der Konsole anmelden und den Knoten konfigurieren.

Leitfaden zur Fehlerbehebung

Es kann zu einer Verzögerung von einigen Minuten kommen, bis die Knotencontainer angezeigt werden. Beim erstmaligen Start wird eine Bridge-Firewall-Nachricht angezeigt, während der Sie sich anmelden können.

Einrichten der Hybrid-Datensicherheits-VM

Verwenden Sie dieses Verfahren, um sich zum ersten Mal bei der VM-Konsole des Hybrid Data Security-Knotens anzumelden und die Anmeldeinformationen festzulegen. Über die Konsole können Sie auch die Netzwerkeinstellungen für den Knoten konfigurieren, falls Sie diese nicht bereits bei der OVA-Bereitstellung konfiguriert haben.

1

Wählen Sie im VMware vSphere-Client, Ihre Hybrid-Datensicherheitsknoten-VM und daraufhin die Registerkarte Console (Konsole) aus.

Die VM fährt hoch und ein Anmeldebildschirm erscheint. Drücken Sie die Eingabetaste, falls der Anmeldebildschirm nicht angezeigt wird.
2

Verwenden Sie den folgenden Standard-Anmeldenamen und das Standardkennwort, um sich anzumelden und die Anmeldedaten zu ändern:

  1. Benutzername: admin

  2. Passwort: cisco

Da Sie sich zum ersten Mal bei der VM anmelden, müssen Sie das Administratorkennwort ändern.

3

Wenn Sie die Netzwerkeinstellungen bereits in Installieren Sie die HDS Host OVAkonfiguriert haben, überspringen Sie den Rest dieser Prozedur. Alternativ können Sie im Hauptmenü die Option Konfiguration bearbeiten auswählen.

4

Richten Sie eine statische Konfiguration ein und geben Sie die Daten für IP-Adresse, Maske, Gateway und DNS ein. Ihr Knoten hat jetzt eine interne IP-Adresse und einen DNS-Namen. DHCP wird nicht unterstützt.

5

(Optional) Ändern Sie die Werte für Hostname, Domäne oder NTP-Server, wenn dies gemäß Ihren Netzwerkrichtlinien erforderlich ist.

Sie müssen die Domäne nicht auf die Domäne ändern, über die Sie das X.509-Zertifikat erhalten haben.

6

Speichern Sie die Netzwerkkonfiguration und starten Sie die VM neu, damit die Änderungen in Kraft treten.

Hochladen und Mounten der HDS-Konfigurations-ISO

Verwenden Sie dieses Verfahren, um die virtuelle Maschine über die ISO-Datei, die Sie mit dem HDS Setup Tool erstellt haben, zu konfigurieren.

Vorbereitungen

Da die ISO-Datei den Hauptschlüssel enthält, sollte sie nur nach dem „Need-to-know“-Prinzip zugänglich gemacht werden, und zwar ausschließlich für die Hybrid Data Security VMs und Administratoren, die gegebenenfalls Änderungen vornehmen müssen. Stellen Sie sicher, dass nur diese Administratoren Zugriff auf den Datenspeicher haben.

1

Laden Sie die ISO-Datei von Ihrem Computer hoch:

  1. Klicken Sie im linken Navigationsbereich des VMware vSphere Client auf den ESXi-Server.

  2. Klicken Sie in der Hardwareliste der Registerkarte „Configuration“ (Konfiguration) auf Storage (Speicher).

  3. Rechtsklicken Sie in der Datenspeicher-Liste auf den Datenspeicher Ihrer VMs. Klicken Sie daraufhin auf Browse Datastore (Datenspeicher durchsuchen).

  4. Klicken Sie auf das Symbol „Upload Files“ (Dateien hochladen) und daraufhin auf Upload File (Datei hochladen).

  5. Navigieren Sie zum Speicherort der ISO-Datei auf Ihrem Computer und klicken Sie auf Open (Öffnen).

  6. Klicken Sie auf Yes (Ja), um die Upload/Download-Warnung zu bestätigen und schließen Sie den Datenspeicherdialog.

2

Mounten Sie die ISO-Datei:

  1. Rechtsklicken Sie im linken Navigationsbereich des VMware vSphere Client auf die VM. Klicken Sie daraufhin auf Edit Settings (Einstellungen bearbeiten).

  2. Klicken Sie auf OK, um die Warnung zu eingeschränkten Optionen zu bestätigen.

  3. Klicken Sie auf CD/DVD Drive 1, wählen Sie die Option zum Einbinden aus einer Datenspeicher-ISO-Datei und navigieren Sie zu dem Speicherort, an dem Sie die Konfigurations-ISO-Datei hochgeladen haben.

  4. Aktivieren Sie die Kontrollkästchen Connected (Verbunden) und Connect at power on (Beim Einschalten verbinden).

  5. Speichern Sie Ihre Änderungen und starten Sie die virtuelle Maschine neu.

Nächste Schritte

Falls Ihre IT-Richtlinien dies erfordern, können Sie die ISO-Datei optional aushängen, nachdem alle Ihre Knoten die Konfigurationsänderungen übernommen haben. Siehe (Optional) ISO nach HDS-Konfiguration aushängen für Details.

Konfigurieren des HDS Knotens für Proxyintegration

Wenn die Netzwerkumgebung einen Proxy erfordert, geben Sie mit diesem Vorgang den Typ des Proxy an, den Sie in die Hybriddatensicherheit integrieren möchten. Wenn Sie einen transparenten Anrufproxy oder einen HTTPS expliziten Proxy wählen, können Sie die Stammzertifikat über die Schnittstelle des Knotens hochladen und installiert werden. Sie können auch die Proxyverbindung über die Schnittstelle überprüfen und mögliche Probleme beheben.

Vorbereitungen

1

Geben Sie die HDS-Knoten-Setup-URL https://[HDS Node IP or FQDN]/setup in einem Webbrowser ein, geben Sie die Administrator-Anmeldeinformationen ein, die Sie für den Knoten eingerichtet haben, und klicken Sie dann auf Anmelden.

2

Gehen Sie zu Trust Store & Proxyund wählen Sie dann eine Option:

  • Kein Proxy—Die Standardoption, bevor Sie einen Proxy integrieren. Es ist keine Zertifikatsaktualisierung erforderlich.
  • Transparenter, nicht prüfender Proxy—Die Knoten sind nicht für die Verwendung einer bestimmten Proxy-Serveradresse konfiguriert und sollten keine Änderungen benötigen, um mit einem nicht prüfenden Proxy zu funktionieren. Es ist keine Zertifikatsaktualisierung erforderlich.
  • Transparenter Inspektionsproxy—Knoten sind nicht für die Verwendung einer bestimmten Proxy-Serveradresse konfiguriert. Bei der Bereitstellung der Hybriden Datensicherheit sind keine HTTPS-Konfigurationshinstellungsänderungen erforderlich, allerdings benötigen die Hägg-Knoten eine Stammzertifikat, damit Sie dem Proxy Vertrauen. Die Inspektion von Proxys wird in der Regel von ihm verwendet, um Strategien durchzusetzen, welche Websites besichtigt werden können und welche Arten von Inhalten nicht zulässig sind. Diese Art von Proxy entschlüsselt den gesamten Datenverkehr (auch HTTPS).
  • Expliziter Proxy—Mit einem expliziten Proxy teilen Sie dem Client (HDS-Knoten) mit, welchen Proxy-Server er verwenden soll. Diese Option unterstützt verschiedene Authentifizierungstypen. Nachdem Sie diese Option aktiviert haben, müssen Sie folgende Informationen eingeben:

    1. Proxy IP/FQDN—Adresse, über die der Proxy-Rechner erreicht werden kann.

    2. Proxy-Port—Eine Portnummer, die der Proxy verwendet, um auf den weitergeleiteten Datenverkehr zu lauschen.

    3. Proxy-Protokoll— Wählen Sie http (sieht und steuert alle Anfragen, die vom Client empfangen werden) oder https (stellt einen Kanal zum Server bereit, und der Client empfängt und validiert das Serverzertifikat). Wählen Sie eine Option, basierend auf Ihren Proxy-Server unterstützt.

    4. Authentifizierungstyp—Wählen Sie einen der folgenden Authentifizierungstypen aus:

      • Keine—Es ist keine weitere Authentifizierung erforderlich.

        Verfügbar für http oder HTTPS.

      • Basic—Wird von einem HTTP-Benutzeragenten verwendet, um bei einer Anfrage einen Benutzernamen und ein Passwort anzugeben. Zertifikatsformat verwendet.

        Verfügbar für http oder HTTPS.

        Wenn Sie diese Option auswählen, müssen Sie auch die Benutzername und das Passwort eingeben.

      • Digest— Wird verwendet, um das Konto zu bestätigen, bevor sensible Informationen gesendet werden. Gibt eine Hashfunktion auf die Benutzername und das Passwort ein, bevor Sie über das Netzwerk senden.

        Nur für HTTPS Proxies verfügbar.

        Wenn Sie diese Option auswählen, müssen Sie auch die Benutzername und das Passwort eingeben.

Befolgen Sie die nächsten Schritte für einen transparenten Inspektionsproxy, einen HTTP expliziten Proxy mit Basisauthentifizierung oder einen HTTPS expliziten Proxy

3

Klicken Sie auf ein Zertifikat für das Stammzertifikat oder Endnutzerzertifikat hochladen, und navigieren Sie dann zu einer Stammzertifikat für den Proxy.

Das Zertifikat ist hochgeladen, aber noch nicht installiert, da Sie den Knoten neu starten müssen, um das Zertifikat zu installieren. Klicken Sie auf den Chevron Pfeil unter dem Namen des Zertifikats, um weitere Details zu erhalten, oder klicken Sie auf löschen, Wenn Sie Fehler gemacht haben und die Datei erneut hochladen möchten.

4

Klicken Sie auf Stellvertreterverbindung prüfen , um die Netzwerkverbindung zwischen dem Knoten und dem Proxy zu testen.

Wenn der Verbindungstest ausfällt, wird eine Fehlermeldung angezeigt, die den Grund und die Frage, wie Sie das Problem beheben können, anzeigt.

Wenn Sie eine Meldung sehen, dass eine externe DNS nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen. Diese Bedingung wird in vielen expliziten Proxykonfigurationen erwartet. Sie können mit dem Setup fortfahren, und der Knoten wird im gesperrten externen DNS-Server funktionieren. Wenn Sie glauben, dass dies ein Fehler ist, führen Sie diese Schritte aus und sehen Sie dann Deaktivieren des Modus „Blockierter externer DNS-Auflösung“.

5

Nach dem Durchführen des Verbindungstests, für expliziten Proxy, der nur auf HTTPS gesetzt ist, aktivieren Sie die Option so schalten Sie alle Port 443/444 https Anfragen aus diesem Knoten durch den expliziten Proxy Diese Einstellung benötigt 15 Sekunden, um wirksam zu werden.

6

Klicken Sie auf alle-Zertifizierungsstellen in den Trust Store installieren (erscheint für einen HTTPS expliziten Proxy oder einen transparenten Inspektionskrimi) oder Neustart (erscheint für einen HTTP expliziten Proxy), lesen Sie die Aufforderung, und klicken Sie dann auf in

Der Knoten startet innerhalb weniger Minuten.

7

Nachdem der Knoten erneut gestartet wurde, melden Sie sich bei Bedarf erneut an, und öffnen Sie dann die Übersichtsseite, um die Verbindungsüberprüfungen zu überprüfen, um sicherzustellen, dass Sie alle im grünen Status sind.

Die Proxyverbindung prüft nur eine Unterdomäne von WebEx.com. Wenn es Verbindungsprobleme gibt, ist ein häufiges Problem, dass einige der in den instructions aufgeführten-C-Domänen beim Proxy gesperrt werden.

Registrieren Sie den ersten Knoten im Cluster

Diese Aufgabe nimmt den generischen Knoten, den Sie in der Einrichtung der Hybrid Data Security VMerstellt haben, registriert den Knoten bei der Webex-Cloud und wandelt ihn in einen Hybrid Data Security-Knoten um.

Bei der Registrierung Ihres ersten Knotens erstellen Sie ein Cluster, zu dem der Knoten zugewiesen wird. Ein Cluster umfasst einen oder mehrere Knoten, die aus Redundanzgründen bereitgestellt werden.

Vorbereitungen

  • Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.

  • Stellen Sie sicher, dass alle Pop-up-Blocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.

1

Melden Sie sich bei https://admin.webex.com an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Im Abschnitt „Hybrid“ finden Sie die Karte „Hybrid Data Security“ und klicken Sie auf Einrichten.

4

Klicken Sie auf der sich öffnenden Seite auf Ressource hinzufügen.

5

Geben Sie im ersten Feld der Karte Neuen Cluster erstellen einen Namen für den Cluster ein, dem Sie Ihren Hybrid Data Security-Knoten zuweisen möchten.

Benennen Sie Ihre Cluster nach Möglichkeit nach dem geografischen Standort der Clusterknoten. Beispiele: „San Francisco“ oder „New York“ oder „Dallas“

6

Im zweiten Feld geben Sie die interne IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) Ihres Knotens ein und klicken Sie unten auf dem Bildschirm auf Hinzufügen.

Diese IP-Adresse oder dieser FQDN sollte mit der IP-Adresse oder dem Hostnamen und der Domäne übereinstimmen, die Sie in Einrichten der Hybrid Data Security VMverwendet haben.

Es erscheint eine Meldung, die Sie darüber informiert, dass Sie Ihren Knoten bei Webex registrieren können.
7

Klicken Sie auf Go to Node (Zum Knoten wechseln).

Nach kurzer Zeit werden Sie zu den Knotenverbindungstests für Webex-Dienste weitergeleitet. Sind alle Tests erfolgreich, wird die Seite „Allow Access to Hybrid Data Security Node“ (Zugriff zu Hybrid-Datensicherheits-Knoten gewähren) angezeigt. Dort bestätigen Sie, dass Sie Ihrer Webex-Organisation die Berechtigung erteilen möchten, auf Ihren Knoten zuzugreifen.

8

Aktivieren Sie das Kontrollkästchen Allow Access to Your Hybrid Data Security Node (Zugriff zu Ihrem Hybrid-Datensicherheits-Knoten gewähren) und klicken Sie anschließend auf Continue (Weiter).

Ihr Konto wurde validiert und die Meldung „Registrierung abgeschlossen“ zeigt an, dass Ihr Knoten nun in der Webex-Cloud registriert ist.
9

Klicken Sie auf den Link oder schließen Sie den Tab, um zur Partner Hub Hybrid Data Security-Seite zurückzukehren.

Auf der Seite Hybrid Data Security wird der neue Cluster, der den von Ihnen registrierten Knoten enthält, unter der Registerkarte Resources angezeigt. Der Knoten lädt die aktuelle Software automatisch aus der Cloud herunter.

Weitere Knoten erstellen und registrieren

Um Ihrem Cluster weitere Knoten hinzuzufügen, erstellen Sie einfach weitere VMs, mounten die ISO-Konfigurationsdatei und registrieren daraufhin den Knoten. Wir empfehlen, mindestens 3 Knoten zu betreiben.

Vorbereitungen

  • Sie müssen die Registrierung eines Knotens nach dem Beginn innerhalb von 60 Minuten abschließen, andernfalls müssen Sie erneut beginnen.

  • Stellen Sie sicher, dass alle Pop-up-Blocker in Ihrem Browser deaktiviert sind oder dass Sie eine Ausnahme für admin.webex.com zulassen.

1

Erstellen Sie eine neue virtuelle Maschine aus der OVA, indem Sie die Schritte in Installieren Sie die HDS Host OVAwiederholen.

2

Richten Sie die Erstkonfiguration auf der neuen VM ein, indem Sie die Schritte in Einrichten der Hybrid Data Security VMwiederholen.

3

Wiederholen Sie auf der neuen VM die Schritte unter Hochladen und Einbinden der HDS-Konfigurations-ISO.

4

Wenn Sie einen Proxy für Ihre Bereitstellung einrichten, wiederholen Sie die Schritte unter Konfigurieren des HDS-Knotens für die Proxy-Integration nach Bedarf für den neuen Knoten.

5

Registrieren Sie den Knoten.

  1. Wählen Sie unter https://admin.webex.com Services (Dienste) aus dem Menü auf der linken Bildschirmseite aus.

  2. Im Abschnitt „Hybrid“ finden Sie die Karte „Hybrid Data Security“ und klicken auf Alle anzeigen.

    Die Seite „Ressourcen für hybride Datensicherheit“ wird angezeigt.

  3. Der neu erstellte Cluster wird auf der Seite Ressourcen angezeigt.

  4. Klicken Sie auf den Cluster, um die dem Cluster zugewiesenen Knoten anzuzeigen.

  5. Klicken Sie auf der rechten Seite des Bildschirms auf Knoten hinzufügen.

  6. Geben Sie die interne IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) Ihres Knotens ein und klicken Sie auf Hinzufügen.

    Es öffnet sich eine Seite mit einer Meldung, die Sie darüber informiert, dass Sie Ihren Knoten in der Webex-Cloud registrieren können. Nach kurzer Zeit werden Sie zu den Knotenverbindungstests für Webex-Dienste weitergeleitet. Sind alle Tests erfolgreich, wird die Seite „Allow Access to Hybrid Data Security Node“ (Zugriff zu Hybrid-Datensicherheits-Knoten gewähren) angezeigt. Dort bestätigen Sie, dass Sie Ihrer Organisation die Berechtigung zum Zugriff auf Ihren Knoten erteilen möchten.

  7. Aktivieren Sie das Kontrollkästchen Allow Access to Your Hybrid Data Security Node (Zugriff zu Ihrem Hybrid-Datensicherheits-Knoten gewähren) und klicken Sie anschließend auf Continue (Weiter).

    Ihr Konto wurde validiert und die Meldung „Registrierung abgeschlossen“ zeigt an, dass Ihr Knoten nun in der Webex-Cloud registriert ist.

  8. Klicken Sie auf den Link oder schließen Sie den Tab, um zur Partner Hub Hybrid Data Security-Seite zurückzukehren.

    Knoten hinzugefügt Popup-Meldung erscheint auch am unteren Bildschirmrand im Partner Hub.

    Ihr Knoten ist registriert.

Nächste Schritte

Um weitere Cluster zu erstellen, melden Sie sich im Partner Hub an und klicken Sie auf Services. > Hybride Datensicherheit > Alle anzeigen > Cluster hinzufügen. Um den ersten Knoten zum zusätzlichen Cluster oder den zusätzlichen Clustern hinzuzufügen, befolgen Sie die im obigen Abschnitt beschriebenen Schritte.

Verwaltung von Mandantenorganisationen auf hybriden Multi-Tenant-Datensicherheitssystemen

Aktivieren Sie Multi-Tenant HDS auf dem Partner Hub.

Diese Aufgabe stellt sicher, dass alle Benutzer der Kundenorganisationen HDS für lokale Verschlüsselungsschlüssel und andere Sicherheitsdienste nutzen können.

Vorbereitungen

Stellen Sie sicher, dass Sie die Einrichtung Ihres Multi-Tenant HDS-Clusters mit der erforderlichen Anzahl von Knoten abgeschlossen haben.

1

Melden Sie sich bei https://admin.webex.com an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Im Abschnitt „Hybrid“ finden Sie die Option „Hybrid Data Security“ und klicken auf Einstellungen bearbeiten.

4

Klicken Sie auf der Karte HDS Status auf HDS aktivieren.

Fügen Sie Mandantenorganisationen im Partner Hub hinzu.

In dieser Aufgabe ordnen Sie Kundenorganisationen Ihrem Hybrid Data Security Cluster zu.

1

Melden Sie sich bei https://admin.webex.com an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Im Abschnitt „Hybrid“ finden Sie die Option „Hybrid Data Security“. Klicken Sie anschließend auf Alle anzeigen.

4

Wechseln Sie zur Registerkarte Zugewiesene Kunden.

Die Registerkarte „ Zugewiesene Kunden “ wird erst angezeigt, wenn Sie einen Cluster erstellen.

5

Klicken Sie auf Kunden hinzufügen.

6

Wählen Sie im Dropdown-Menü den Kunden aus, den Sie hinzufügen möchten.

7

Klicken Sie auf Hinzufügen, dann wird der Kunde dem Cluster hinzugefügt.

8

Wiederholen Sie die Schritte 5 bis 7, um Ihrem Cluster mehrere Kunden hinzuzufügen.

9

Klicken Sie unten auf dem Bildschirm auf Fertig, sobald Sie die Kunden hinzugefügt haben.

Hinzugefügte Kunden werden in allen verfügbaren Clustern synchronisiert.

Nächste Schritte

Führen Sie das HDS Setup-Tool wie in Erstellen von Kunden-Hauptschlüsseln (CMKs) mit dem HDS Setup-Tool beschrieben aus, um den Einrichtungsprozess abzuschließen.

Erstellen Sie Kundenhauptschlüssel (CMKs) mithilfe des HDS-Setup-Tools.

Vorbereitungen

Weisen Sie Kunden wie in beschrieben zu. Fügen Sie Mandantenorganisationen im Partner Hub hinzu. Führen Sie das HDS-Setup-Tool aus, um den Einrichtungsprozess für die neu hinzugefügten Kundenorganisationen abzuschließen.

  • Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zu zugreifen, führen Sie Docker auf diesem Computer aus. Für die Einrichtung werden die Zugangsdaten eines Partner Hub-Kontos mit vollen Administratorrechten für Ihre Organisation benötigt.

    Wenn das HDS Setup-Tool in Ihrer Umgebung hinter einem Proxy läuft, geben Sie die Proxy-Einstellungen (Server, Port, Anmeldeinformationen) über Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in Schritt 5starten. Diese Tabelle enthält einige mögliche Umgebungsvariablen:

    Beschreibung

    Variable

    HTTP-Proxy ohne Authentifizierung

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-Proxy ohne Authentifizierung

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-Proxy mit Authentifizierung

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-Proxy mit Authentifizierung

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Die von Ihnen generierte Konfigurations-ISO-Datei enthält den Hauptschlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen immer die aktuellste Version dieser Datei, wenn Sie Konfigurationsänderungen vornehmen, wie beispielsweise diese:

    • Datenbankzugangsdaten

    • Zertifikatsaktualisierungen

    • Änderungen der Autorisierungsrichtlinie

  • Wenn Sie Datenbankverbindungen verschlüsseln möchten, richten Sie Ihre PostgreSQL- oder SQL Server-Bereitstellung für TLS ein.

Der Einrichtungsprozess für hybride Datensicherheit erzeugt eine ISO-Datei. Anschließend verwenden Sie die ISO-Datei, um Ihren Hybrid Data Security-Host zu konfigurieren.

1

Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

In regulären Umgebungen:

docker rmi ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

docker rmi ciscocitg/hds-setup-fedramp:stable

Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

2

Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

docker login -u hdscustomersro
3

Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

In regulären Umgebungen:

docker pull ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

  • In regulären Umgebungen ohne Proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTP-Proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTPS-Proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In FedRAMP-Umgebungen ohne Proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express-Server hören auf Port 8080) sehen.

6

Das Setup-Tool unterstützt keine Verbindung zu localhost über . http://localhost:8080. Verwenden Sie http://127.0.0.1:8080, um eine Verbindung zu localhost herzustellen.

Öffnen Sie einen Webbrowser, gehen Sie zu localhost, http://127.0.0.1:8080und geben Sie an der Eingabeaufforderung den Administrator-Benutzernamen für Partner Hub ein.

Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto einzustellen. Anschließend wird die Standard-Anmeldeaufforderung angezeigt.

7

Geben Sie bei Aufforderung Ihre Anmeldedaten für den Partner Hub-Administrator ein und klicken Sie dann auf Anmelden, um den Zugriff auf die für Hybrid Data Security erforderlichen Dienste zu ermöglichen.

8

Klicken Sie auf der Übersichtsseite des Setup Tool auf Get Started (Erste Schritte).

9

Klicken Sie auf der Seite ISO Import auf Ja.

10

Wählen Sie Ihre ISO-Datei im Browser aus und laden Sie sie hoch.

Stellen Sie sicher, dass eine Verbindung zu Ihrer Datenbank besteht, um die CMK-Verwaltung durchzuführen.
11

Wechseln Sie zur Registerkarte Tenant CMK Management, wo Sie die folgenden drei Möglichkeiten zur Verwaltung von Tenant CMKs finden.

  • CMK für alle ORGs erstellen oder CMK erstellen - Klicken Sie auf diese Schaltfläche im Banner oben auf dem Bildschirm, um CMKs für alle neu hinzugefügten Organisationen zu erstellen.
  • Klicken Sie auf die Schaltfläche CMKs verwalten auf der rechten Seite des Bildschirms und klicken Sie auf CMKs erstellen, um CMKs für alle neu hinzugefügten Organisationen zu erstellen.
  • Klicken Sie in der Tabelle neben dem Status "CMK-Verwaltung ausstehend" einer bestimmten Organisation auf Menü „Mehr“ und klicken Sie dann auf "CMK erstellen", um einen CMK für diese Organisation zu erstellen.
12

Sobald die CMK-Erstellung erfolgreich war, ändert sich der Status in der Tabelle von CMK-Verwaltung ausstehend zu CMK verwaltet.

13

Wenn die CMK-Erstellung fehlschlägt, wird eine Fehlermeldung angezeigt.

Mieterorganisationen entfernen

Vorbereitungen

Nach der Entfernung können Benutzer von Kundenorganisationen HDS nicht mehr für ihre Verschlüsselungsanforderungen nutzen und verlieren alle bestehenden Bereiche. Bevor Sie Kundenorganisationen entfernen, wenden Sie sich bitte an Ihren Cisco-Partner oder Account Manager.

1

Melden Sie sich bei https://admin.webex.com an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Im Abschnitt „Hybrid“ finden Sie die Option „Hybrid Data Security“. Klicken Sie anschließend auf Alle anzeigen.

4

Klicken Sie auf der sich öffnenden Seite auf die Registerkarte Zugewiesene Kunden.

5

Klicken Sie in der Liste der angezeigten Kundenorganisationen auf die Menü „Mehr“ ] auf der rechten Seite der Kundenorganisation, die Sie entfernen möchten, und klicken Sie dann auf Aus Cluster entfernen.

Nächste Schritte

Schließen Sie den Entfernungsprozess ab, indem Sie die CMKs der Kundenorganisationen wie in CMKs von aus HDS entfernten Mandanten widerrufenbeschrieben widerrufen.

Widerruf der CMKs von Mietern, die aus HDS entfernt wurden.

Vorbereitungen

Kunden wie in beschrieben entfernen. Mandantenorganisationen entfernen. Führen Sie das HDS-Setup-Tool aus, um den Entfernungsprozess für die entfernten Kundenorganisationen abzuschließen.

  • Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zu zugreifen, führen Sie Docker auf diesem Computer aus. Für die Einrichtung werden die Zugangsdaten eines Partner Hub-Kontos mit vollen Administratorrechten für Ihre Organisation benötigt.

    Wenn das HDS Setup-Tool in Ihrer Umgebung hinter einem Proxy läuft, geben Sie die Proxy-Einstellungen (Server, Port, Anmeldeinformationen) über Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in Schritt 5starten. Diese Tabelle enthält einige mögliche Umgebungsvariablen:

    Beschreibung

    Variable

    HTTP-Proxy ohne Authentifizierung

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-Proxy ohne Authentifizierung

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-Proxy mit Authentifizierung

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-Proxy mit Authentifizierung

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Die von Ihnen generierte Konfigurations-ISO-Datei enthält den Hauptschlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen immer die aktuellste Version dieser Datei, wenn Sie Konfigurationsänderungen vornehmen, wie beispielsweise diese:

    • Datenbankzugangsdaten

    • Zertifikatsaktualisierungen

    • Änderungen der Autorisierungsrichtlinie

  • Wenn Sie Datenbankverbindungen verschlüsseln möchten, richten Sie Ihre PostgreSQL- oder SQL Server-Bereitstellung für TLS ein.

Der Einrichtungsprozess für hybride Datensicherheit erzeugt eine ISO-Datei. Anschließend verwenden Sie die ISO-Datei, um Ihren Hybrid Data Security-Host zu konfigurieren.

1

Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

In regulären Umgebungen:

docker rmi ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

docker rmi ciscocitg/hds-setup-fedramp:stable

Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

2

Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

docker login -u hdscustomersro
3

Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

In regulären Umgebungen:

docker pull ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

  • In regulären Umgebungen ohne Proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTP-Proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTPS-Proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In FedRAMP-Umgebungen ohne Proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express-Server hören auf Port 8080) sehen.

6

Das Setup-Tool unterstützt keine Verbindung zu localhost über . http://localhost:8080. Verwenden Sie http://127.0.0.1:8080, um eine Verbindung zu localhost herzustellen.

Öffnen Sie einen Webbrowser, gehen Sie zu localhost, http://127.0.0.1:8080und geben Sie an der Eingabeaufforderung den Administrator-Benutzernamen für Partner Hub ein.

Das Tool verwendet diesen ersten Eintrag des Benutzernamens, um die richtige Umgebung für dieses Konto einzustellen. Anschließend wird die Standard-Anmeldeaufforderung angezeigt.

7

Geben Sie bei Aufforderung Ihre Anmeldedaten für den Partner Hub-Administrator ein und klicken Sie dann auf Anmelden, um den Zugriff auf die für Hybrid Data Security erforderlichen Dienste zu ermöglichen.

8

Klicken Sie auf der Übersichtsseite des Setup Tool auf Get Started (Erste Schritte).

9

Klicken Sie auf der Seite ISO Import auf Ja.

10

Wählen Sie Ihre ISO-Datei im Browser aus und laden Sie sie hoch.

11

Wechseln Sie zur Registerkarte Tenant CMK Management, wo Sie die folgenden drei Möglichkeiten zur Verwaltung von Tenant CMKs finden.

  • CMK für alle ORGs widerrufen oder CMK widerrufen - Klicken Sie auf diese Schaltfläche im Banner oben auf dem Bildschirm, um die CMKs aller entfernten Organisationen zu widerrufen.
  • Klicken Sie auf die Schaltfläche CMKs verwalten auf der rechten Seite des Bildschirms und klicken Sie auf CMKs widerrufen, um die CMKs aller entfernten Organisationen zu widerrufen.
  • Klicken Sie in der Tabelle neben dem Status Menü „Mehr“CMK zu widerrufen einer bestimmten Organisation auf [] und klicken Sie dann auf CMK widerrufen, um die CMK für diese Organisation zu widerrufen.
12

Sobald der CMK-Widerruf erfolgreich war, wird die Kundenorganisation nicht mehr in der Tabelle angezeigt.

13

Wenn der CMK-Widerruf fehlschlägt, wird eine Fehlermeldung angezeigt.

Testen Sie Ihre Hybrid-Datensicherheitsbereitstellung

Testen Ihrer Bereitstellung für die Hybrid-Datensicherheit

Verwenden Sie dieses Verfahren, um Szenarien für die hybride Datensicherheit in Multi-Tenant-Umgebungen zu testen.

Vorbereitungen

  • Richten Sie Ihre Multi-Tenant-Hybrid-Datensicherheitsbereitstellung ein.

  • Stellen Sie sicher, dass Sie Zugriff auf das Syslog haben, um zu überprüfen, ob wichtige Anfragen an Ihre Multi-Tenant Hybrid Data Security-Bereitstellung weitergeleitet werden.

1

Schlüssel für einen bestimmten Bereich werden vom Ersteller des Bereichs festgelegt. Melden Sie sich als Benutzer der Kundenorganisation bei der Webex-App an und erstellen Sie anschließend einen Bereich.

Wenn Sie die Bereitstellung der Hybrid-Datensicherheit deaktivieren, sind Inhalte in Bereichen, die Benutzer erstellen, nicht mehr zugänglich, sobald die clientseitig zwischengespeicherten Kopien der Verschlüsselungsschlüssel ersetzt wurden.

2

Senden Sie Nachrichten an den neuen Bereich.

3

Überprüfen Sie die Syslog-Ausgabe, um sicherzustellen, dass die Schlüsselanforderungen an Ihre Hybrid Data Security-Bereitstellung weitergeleitet werden.

Wenn ein Benutzer einer neu hinzugefügten Kundenorganisation eine Aktion ausführt, wird die Org-ID der Organisation in den Protokollen angezeigt. Anhand dieser ID kann überprüft werden, ob die Organisation Multi-Tenant HDS nutzt. Überprüfen Sie den Wert von kms.data.orgId in den Systemprotokollen.

  1. Um zu prüfen, ob ein Benutzer zuerst einen sicheren Kanal zum KMS herstellt, filtern Sie nach kms.data.method=create und kms.data.type=EPHEMERAL_KEY_COLLECTION. :

    Sie sollten einen Eintrag wie den folgenden finden (IDs wurden zur besseren Lesbarkeit gekürzt):
    2025-04-10 04:38:20.208 (+0000) INFO  KMS [pool-19-thread-13] - [KMS:REQUEST] received, deviceId: 
https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5 ecdheKid: kms://collabdemoorg.cisco.com/statickeys/8[~]3 
clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]6,
 kms.data.method=create, kms.merc.id=d[~]7, kms.merc.sync=false, kms.data.uriHost=collabdemoorg.cisco.com, 
kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=1[~]f, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/ecdhe, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  2. Um zu prüfen, ob ein Benutzer einen bereits vorhandenen Schlüssel vom KMS anfordert, filtern Sie nach kms.data.method=retrieve und kms.data.type=KEY. :

    Sie sollten einen Eintrag wie den folgenden finden:
    2025-04-10 04:38:24.144 (+0000) INFO  KMS [pool-19-thread-26] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558)
 WEBEX_TRACKINGID=webex-web-client_0[~]0, kms.data.method=retrieve, kms.merc.id=5[~]3, kms.merc.sync=false,
 kms.data.uriHost=collabdemoorg.cisco.com, kms.data.type=KEY, kms.data.requestId=4[~]7, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/keys/2[~]e, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  3. Um zu prüfen, ob ein Benutzer die Erstellung eines neuen KMS-Schlüssels anfordert, filtern Sie nach kms.data.method=create und kms.data.type=KEY_COLLECTION. :

    Sie sollten einen Eintrag wie den folgenden finden:
    2025-04-10 04:42:22.739 (+0000) INFO  KMS [pool-19-thread-29] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::7 orgId: 2[~]b
 (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]3, kms.data.method=create, 
kms.merc.id=6[~]4, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, 
kms.data.orgId=2[~]b, kms.data.uri=/keys, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  4. Um zu prüfen, ob ein Benutzer die Erstellung eines neuen KMS-Ressourcenobjekts (KRO) anfordert, wenn ein Bereich oder eine andere geschützte Ressource erstellt wird, filtern Sie nach kms.data.method=create und kms.data.type=RESOURCE_COLLECTION. :

    Sie sollten einen Eintrag wie den folgenden finden: 
    2025-04-10 04:42:23.690 (+0000) INFO  KMS [pool-19-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/3[~]6 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 
clusterConnection: prodachm::1 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]2,
 kms.data.method=create, kms.merc.id=3[~]0, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=5[~]8, kms.data.orgId=2[~]b, kms.data.uri=/resources, kms.data.userId=1[~]f, kms.data.httpUserAgent=conversation

Überwachen des Status der Hybrid-Datensicherheit

Eine Statusanzeige im Partner Hub zeigt Ihnen an, ob mit der Multi-Tenant Hybrid Data Security-Bereitstellung alles in Ordnung ist. Für stärker proaktive Warnungen können Sie sich für E-Mail-Benachrichtigungen anmelden. Sie werden benachrichtigt, wenn Alarme oder Software-Upgrades den Dienst beeinträchtigen.
1

Im PartnerHub wählen Sie im Menü auf der linken Seite des Bildschirms die Option „ Services “ aus.

2

Im Abschnitt „Hybrid“ finden Sie die Option „Hybrid Data Security“ und klicken auf Einstellungen bearbeiten.

Die Seite „Hybrid Data Security Settings“ (Einstellungen für Hybrid-Datensicherheit) wird angezeigt.
3

Geben Sie im Abschnitt zu E-Mail-Benachrichtigungen eine oder mehrere Adressen durch Komma getrennt ein und drücken Sie Enter.

Verwalten Sie Ihre HDS-Bereitstellung

Verwalten der HDS-Bereitstellung

Nutzen Sie die hier beschriebenen Aufgaben, um Ihre Hybrid-Datensicherheitsbereitstellung zu verwalten.

Festlegen des Upgrade-Zeitplans für Cluster

Software-Upgrades für Hybrid Data Security werden automatisch auf Clusterebene durchgeführt, wodurch sichergestellt wird, dass auf allen Knoten immer die gleiche Softwareversion ausgeführt wird. Die Upgrades werden gemäß des Upgrade-Zeitplans für den Cluster ausgeführt. Sie können neue verfügbare Software-Upgrades optional auch vor dem geplanten Upgrade-Zeitpunkt manuell installieren. Sie können einen eigenen Upgrade-Zeitplan festlegen oder den Standardzeitplan um 3:00 Uhr morgens täglich für USA: Amerika/Los Angeles verwenden. Bei Bedarf können Sie anstehende Upgrades auch verzögern.

So legen Sie den Upgrade-Zeitplan fest:

1

Melden Sie sich bei Partner Hub an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Im Abschnitt „Hybrid“ finden Sie die Option „Hybride Datensicherheit“ und klicken Sie auf Einrichten

4

Wählen Sie auf der Seite „Hybride Datensicherheitsressourcen“ den Cluster aus.

5

Klicken Sie auf die Registerkarte Cluster-Einstellungen.

6

Wählen Sie auf der Seite „Cluster-Einstellungen“ unter „Upgrade-Zeitplan“ die Uhrzeit und die Zeitzone für den Upgrade-Zeitplan aus.

Hinweis: Unter der Zeitzone wird der nächste verfügbare Zeitpunkt für ein Upgrade angezeigt. Sie können das Upgrade bei Bedarf auf den folgenden Tag verschieben, indem Sie auf Um 24 Stunden verschiebenklicken.

Ändern der Knotenkonfiguration

Gelegentlich kann es erforderlich sein, die Konfiguration Ihres Hybrid-Datensicherheitsknotens zu ändern, z. B.:

  • Änderung der x.509-Zertifikate aufgrund Ablaufs oder anderer Gründe.

    Wir unterstützen keine Änderung des CN-Domänennamens eines Zertifikats. Die Domäne muss mit der Originaldomäne übereinstimmen, die zur Registrierung des Clusters verwendet wurde.

  • Datenbankeinstellungen werden aktualisiert, um auf eine Replik der PostgreSQL- oder Microsoft SQL Server-Datenbank zu wechseln.

    Wir unterstützen keine Migration von Daten von PostgreSQL zu Microsoft SQL Server oder auf den entgegengesetzten Weg. Um die Datenbankumgebung zu wechseln, starten Sie eine neue Bereitstellung von Hybrid Data Security.

  • Erstellen einer neuen Konfiguration, um ein neues Datenzentrum vorzubereiten.

Aus Sicherheitsgründen verwendet Hybrid Data Security Dienstkonto-Passwörter mit einer Laufzeit von neun Monaten. Nachdem das HDS Setup Tool diese Passwörter generiert hat, stellen Sie sie für jeden Ihrer HDS-Knoten in der ISO-Konfigurationsdatei bereit. Wenn die Kennwörter Ihrer Organisation fast ablaufen, erhalten Sie eine Benachrichtigung vom Webex-Team, mit der Sie das Passwort für Ihr Computerkonto zurücksetzen können. (Die E-Mail enthält den Text "Verwenden Sie die Maschinenkonto-API, um das Passwort zu aktualisieren"). Wenn Ihre Passwörter noch nicht abgelaufen sind, bietet Ihnen das Tool zwei Optionen:

  • Soft Reset— Sowohl das alte als auch das neue Passwort sind bis zu 10 Tage gültig. Verwenden Sie diesen Zeitraum, um die ISO-Datei der Knoten schrittweise zu ersetzen.

  • Hard Reset—Die alten Passwörter funktionieren sofort nicht mehr.

Wenn Ihre Passwörter ohne Zurücksetzen ablaufen, wirkt sich dies auf Ihren HDS-Dienst aus, was ein sofortiges Zurücksetzen und Ersetzen der ISO-Datei auf allen Knoten erfordert.

Verwenden Sie dieses Verfahren, um eine neue ISO-Konfigurationsdatei zu generieren und auf Ihren Cluster anzuwenden.

Vorbereitungen

  • Das HDS Setup Tool wird als Docker Container auf einem lokalen Computer ausgeführt. Um darauf zu zugreifen, führen Sie Docker auf diesem Computer aus. Für den Einrichtungsprozess werden die Zugangsdaten eines Partner Hub-Kontos mit vollen Administratorrechten benötigt.

    Falls Sie keine Docker Desktop-Lizenz besitzen, können Sie Podman Desktop verwenden, um das HDS Setup-Tool für die Schritte 1.a bis 1.e der folgenden Vorgehensweise auszuführen. Weitere Informationen finden Sie unter Ausführen des HDS-Setup-Tools mit Podman Desktop.

    Wenn das HDS-Setup-Tool in Ihrer Umgebung hinter einem Proxy läuft, geben Sie die Proxy-Einstellungen (Server, Port, Anmeldeinformationen) über Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in 1.estarten. Diese Tabelle enthält einige mögliche Umgebungsvariablen:

    Beschreibung

    Variable

    HTTP-Proxy ohne Authentifizierung

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-Proxy ohne Authentifizierung

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-Proxy mit Authentifizierung

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-Proxy mit Authentifizierung

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Um eine neue Konfiguration zu erstellen, benötigen Sie eine Kopie der aktuellen ISO-Konfigurationsdatei. Die ISO enthält den Masterschlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen die ISO-Datei, wenn Sie Konfigurationsänderungen vornehmen, wie z. B. Datenbank-Anmeldeinformationen, Zertifikataktualisierungen oder Änderungen an der Autorisierungsrichtlinie.

1

Führen Sie auf einem lokalen Computer, auf dem Docker läuft, das HDS Setup Tool aus.

  1. Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

    In regulären Umgebungen:

    docker rmi ciscocitg/hds-setup:stable

    In FedRAMP-Umgebungen:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

  2. Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

    docker login -u hdscustomersro

  3. Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

    In regulären Umgebungen:

    docker pull ciscocitg/hds-setup:stable

    In FedRAMP-Umgebungen:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Stellen Sie sicher, dass Sie für hierfür per Pull das neueste Setup-Tool aufrufen. Versionen des Tools, die vor dem 22. Februar 2018 erstellt wurden, verfügen nicht über die Bildschirme zum Zurücksetzen des Passworts.

  5. Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

    • In regulären Umgebungen ohne Proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • In regulären Umgebungen mit einem HTTP-Proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • In regulären Umgebungen mit einem HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • In FedRAMP-Umgebungen ohne Proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express-Server hören auf Port 8080) sehen.

  6. Verwenden Sie einen Browser, um sich mit dem Localhost zu http://127.0.0.1:8080verbinden.

    Das Setup-Tool unterstützt keine Verbindung zu localhost über . http://localhost:8080. Verwenden Sie http://127.0.0.1:8080, um eine Verbindung zu localhost herzustellen.

  7. Geben Sie nach Aufforderung Ihre Anmeldedaten für den Partner Hub ein und klicken Sie dann auf Akzeptieren, um fortzufahren.

  8. Importieren Sie die aktuelle ISO-Konfigurationsdatei.

  9. Befolgen Sie die Anweisungen, um das Tool abzuschließen und die aktualisierte Datei herunterzuladen.

    Um das Setup-Tool zu beenden, geben Sie CTRL+Cein.

  10. Erstellen Sie in einem anderen Rechenzentrum eine Sicherungskopie der aktualisierte Datei.

2

Falls Sie nur einen HDS-Knoten betreiben,erstellen Sie eine neue Hybrid Data Security-Knoten-VM und registrieren Sie diese mit der neuen Konfigurations-ISO-Datei. Für detailliertere Anweisungen siehe Weitere Knoten erstellen und registrieren.

  1. Installieren des HDS Host OVA

  2. Richten Sie die HDS-VM ein.

  3. Mounten Sie die aktualisierte Konfigurationsdatei.

  4. Registrieren Sie den neuen Knoten im Partner Hub.

3

Mounten Sie bei vorhandenen HDS-Knoten, auf denen die ältere Konfigurationsdatei ausgeführt wird, die ISO-Datei. Führen Sie für jeden Knoten des Knotens folgende Schritte durch, indem Sie jeden Knoten aktualisieren, bevor Sie den nächsten Knoten deaktivieren:

  1. Deaktivieren Sie die Virtuelle Maschine.

  2. Klicken Sie im linken Navigationsbereich mit der rechten Maustaste auf die VM und klicken Sie auf Einstellungen bearbeiten .

  3. Klicken Sie auf CD/DVD Drive 1, wählen Sie die Option zum Einbinden aus einer ISO-Datei und navigieren Sie zu dem Speicherort, an dem Sie die neue Konfigurations-ISO-Datei heruntergeladen haben.

  4. Aktivieren Sie das Kontrollkästchen Verbinden beim Einschalten.

  5. Speichern Sie Ihre Änderungen und starten Sie Sie die virtuelle Maschine.

4

Wiederholen Sie Schritt 3, um bei jedem weiteren Knoten zu ersetzen, auf dem noch die alte Konfiguration ausgeführt wird, die Konfiguration zu ersetzen.

Blockierte externe DNS Auflösungsmodus deaktivieren

Wenn Sie einen Knoten registrieren oder die Proxykonfiguration des Knotens überprüfen, testet das Verfahren die DNS und die Konnektivität der Cisco WebEx. Wenn der DNS-Server des Knotens öffentliche DNS nicht auflösen kann, geht der Knoten automatisch in den gesperrten externen DNS-Server.

Wenn Ihre Knoten öffentliche DNS über interne DNS-Server auflösen können, aktivieren Sie diesen Modus, indem Sie den Proxyverbindungstest für jeden Knoten deaktivieren.

Vorbereitungen

Stellen Sie sicher, dass Ihre internen DNS-Server öffentliche DNS und ihre Knoten mit Ihnen kommunizieren können.
1

Öffnen Sie in einem Webbrowser die Schnittstelle des Hybrid Data Security-Knotens (IP address/setup, Geben Sie beispielsweise die Administratoranmeldeinformationen ein https://192.0.2.0/setup),, die Sie für den Knoten eingerichtet haben, und klicken Sie dann auf Anmelden.

2

Gehen Sie zu Übersicht (Standardseite).

Übersichtsseite des Cisco Webex Hybrid Security-Knotens mit Anzeige von Knotendetails, Knotenstatus und Knoteneinstellungen.

Wenn diese Option aktiviert ist, ist Blocked External DNS Resolution (Blockierte externe DNS-Auflösung) auf Yes (Ja ) festgelegt.

3

Gehen Sie zur Seite Vertrauensspeicher und Proxy .

4

Klicken Sie auf Stellvertreterverbindung prüfen.

Wenn Sie eine Meldung sehen, dass eine externe DNS nicht erfolgreich war, konnte der Knoten den DNS-Server nicht erreichen und wird in diesem Modus verbleiben. Andernfalls sollte nach dem Neustart des Knotens und der Rückfahrt zur Übersichtsseite die gesperrte externe DNS auf "Nein" gesetzt werden.

Nächste Schritte

Wiederholen Sie den Proxy Verbindungstest für jeden Knoten in Ihrem Cisco Data SicherheitCluster.

Entfernen eines Knotens

Gehen Sie wie folgt vor, um einen Hybrid Data Security-Knoten aus der Webex-Cloud zu entfernen. Nachdem Sie den Knoten aus dem Cluster entfernt haben, löschen Sie die virtuelle Maschine, um einen weiteren Zugriff auf Ihre Sicherheitsdaten zu verhindern.
1

Melden Sie sich über den VMware vSphere-Client auf Ihrem Computer bei dem ESXi virtuellen Host an und schalten Sie die virtuelle Maschine aus.

2

Entfernen des Knotens:

  1. Melden Sie sich im Partner Hub an und wählen Sie dann Servicesaus.

  2. Klicken Sie auf der Karte „Hybride Datensicherheit“ auf Alle anzeigen, um die Seite „Ressourcen für hybride Datensicherheit“ anzuzeigen.

  3. Wählen Sie Ihren Cluster aus, um dessen Übersichtsfenster anzuzeigen.

  4. Klicken Sie auf den Knoten, den Sie entfernen möchten.

  5. Klicken Sie im daraufhin rechts erscheinenden Bereich auf Diesen Knoten abmelden.

  6. Sie können den Knoten auch abmelden, indem Sie auf die drei Punkte auf der rechten Seite des Knotens klicken und dann Knoten abmeldenauswählen.

3

Löschen Sie die VM im vSphere-Client. (Klicken Sie im linken Navigationsbereich mit der rechten Maustaste auf die VM und klicken Sie auf Löschen.)

Wenn Sie die VM nicht löschen, denken Sie daran, die Konfigurations-ISO-Datei auszuhängen. Ohne die ISO-Datei können Sie die VM nicht verwenden, um auf Ihre Sicherheitsdaten zuzugreifen.

Notfallwiederherstellung mithilfe eines Standby-Rechenzentrums

Die wichtigste Dienstleistung, die Ihr Hybrid Data Security Cluster erbringt, ist die Erstellung und Speicherung von Schlüsseln, die zur Verschlüsselung von Nachrichten und anderen Inhalten verwendet werden, die in der Webex-Cloud gespeichert sind. Für jeden Benutzer innerhalb der Organisation, der der Hybrid-Datensicherheit zugeordnet ist, werden neue Schlüsselerstellungsanforderungen an den Cluster weitergeleitet. Der Cluster ist zudem dafür verantwortlich, die erstellten Schlüssel an Benutzer zurückzusenden, die zum Abrufen von Schlüsseln berechtigt sind. Hierzu gehören beispielsweise Mitglieder eines Gesprächsraums.

Da der Cluster die wichtige Funktion erfüllt, diese Schlüssel bereitzustellen, ist es höchst wichtig, dass der Cluster in Betrieb bleibt und korrekte Backups erstellt werden. Der Verlust der Hybrid Data Security-Datenbank oder der für das Schema verwendeten Konfigurations-ISO führt zu einem NICHT WIEDERHERSTELLBAREN VERLUST von Kundendaten. Die folgenden Praktiken sind zwingend erforderlich, um einem derartigen Verlust vorzubeugen:

Falls aufgrund eines Katastrophenfalls die HDS-Bereitstellung im primären Rechenzentrum nicht verfügbar ist, befolgen Sie dieses Verfahren, um manuell auf das Standby-Rechenzentrum umzuschalten.

Vorbereitungen

Verwenden Sie die neueste ISO-Datei, die für die Knoten des zuvor aktiven Clusters konfiguriert wurde, um das unten beschriebene Failover-Verfahren durchzuführen.
1

Starten Sie das HDS Setup-Tool und folgen Sie den Schritten unter Erstellen einer Konfigurations-ISO für die HDS-Hosts.

2

Nach der Konfiguration des Syslogd-Servers klicken Sie auf Erweiterte Einstellungen.

3

Auf der Seite Erweiterte Einstellungen können Sie die unten stehende Konfiguration hinzufügen oder die passiveMode Konfiguration entfernen, um den Knoten zu aktivieren. Sobald dies konfiguriert ist, kann der Knoten den Datenverkehr verarbeiten.


passiveMode: 'false'

4

Schließen Sie den Konfigurationsprozess ab und speichern Sie die ISO-Datei an einem leicht zu findenden Ort.

5

Erstellen Sie eine Sicherungskopie der ISO-Datei auf Ihrem lokalen System. Bewahren Sie die Sicherungskopie sicher auf. Die Datei enthält einen Master-Verschlüsselungsschlüssel für die Datenbankinhalte. Der Zugriff soll auf diejenigen Hybrid Data Security-Administratoren beschränkt werden, die Konfigurationsänderungen vornehmen sollen.

6

Klicken Sie im linken Navigationsbereich des VMware vSphere-Clients mit der rechten Maustaste auf die VM und klicken Sie auf Einstellungen bearbeiten..

7

Klicken Sie auf Einstellungen bearbeiten >CD/DVD Laufwerk 1 und Datenspeicher-ISO-Datei auswählen.

Stellen Sie sicher, dass die Optionen Verbunden und Beim Einschalten verbinden aktiviert sind, damit aktualisierte Konfigurationsänderungen nach dem Start der Knoten wirksam werden können.

8

Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 15 Minuten lang keine Alarme ausgelöst werden.

9

Wiederholen Sie den Vorgang für jeden Knoten im Standby-Rechenzentrum.

Überprüfen Sie die Syslog-Ausgabe, um sicherzustellen, dass sich die Knoten des Standby-Rechenzentrums nicht im passiven Modus befinden. Die Meldung „KMS im passiven Modus konfiguriert“ sollte nicht in den Systemprotokollen erscheinen.

Nächste Schritte

Nach einem Failover und falls das primäre Rechenzentrum wieder aktiv wird, versetzen Sie das Standby-Rechenzentrum wieder in den passiven Modus, indem Sie die in Einrichten eines Standby-Rechenzentrums für die Notfallwiederherstellungbeschriebenen Schritte befolgen.

(Optional) ISO-Datei nach HDS-Konfiguration aushängen

Die Standard-HDS-Konfiguration läuft mit montiertem ISO-Laufwerk. Manche Kunden bevorzugen es jedoch, ISO-Dateien nicht dauerhaft eingebunden zu lassen. Sie können die ISO-Datei aushängen, nachdem alle HDS-Knoten die neue Konfiguration übernommen haben.

Sie verwenden weiterhin die ISO-Dateien, um Konfigurationsänderungen vorzunehmen. Wenn Sie über das Setup-Tool eine neue ISO-Datei erstellen oder eine bestehende ISO-Datei aktualisieren, müssen Sie die aktualisierte ISO-Datei auf allen Ihren HDS-Knoten einbinden. Sobald alle Ihre Knoten die Konfigurationsänderungen übernommen haben, können Sie die ISO-Datei mit diesem Verfahren wieder aushängen.

Vorbereitungen

Aktualisieren Sie alle Ihre HDS-Knoten auf Version 2025.06.02.6983 oder höher.

1

Schalten Sie einen Ihrer HDS-Knoten ab.

2

Wählen Sie in der vCenter Server Appliance den HDS-Knoten aus.

3

Wählen Sie Einstellungen bearbeiten > CD/DVD Laufwerk und deaktivieren Sie Datenspeicher-ISO-Datei.

4

Schalten Sie den HDS-Knoten ein und stellen Sie sicher, dass mindestens 20 Minuten lang keine Alarme ausgelöst werden.

5

Wiederholen Sie dies nacheinander für jeden HDS-Knoten.

Problembehandlung der Hybrid-Datensicherheit

Anzeigen von Warnungen und Beheben von Fehlern

Eine Hybrid-Datensicherheitsbereitstellung gilt als nicht verfügbar, wenn alle Knoten im Cluster nicht erreichbar sind oder der Cluster so langsam arbeitet, dass Anfragen ein Timeout verursachen. Wenn Benutzer Ihren Hybrid Data Security-Cluster nicht erreichen können, treten folgende Symptome auf:

  • Neue Bereiche können nicht erstellt werden (es konnten keine neuen Schlüssel erstellt werden)

  • Nachrichten- und Bereichstitel konnten für folgende Benutzer nicht entschlüsselt werden:

    • Neue zu einem Bereich hinzugefügte Benutzer (Schlüssel konnten nicht abgerufen werden)

    • Vorhandene Benutzer in einem Bereich, der einen neuen Client verwendet (Schlüssel konnten nicht abgerufen werden)

  • Vorhandene Benutzer in einem Bereich werden weiterhin erfolgreich ausgeführt, sofern ihre Clients über einen Cache für Verschlüsselungsschlüssel verfügen

Es ist wichtig, dass Sie Ihren Hybrid Data Security Cluster ordnungsgemäß überwachen und auf etwaige Warnmeldungen umgehend reagieren, um Serviceunterbrechungen zu vermeiden.

Warnungen

Wenn es ein Problem mit der Einrichtung der Hybrid-Datensicherheit gibt, zeigt Partner Hub dem Organisationsadministrator Warnmeldungen an und sendet E-Mails an die konfigurierte E-Mail-Adresse. Die Warnungen betreffen viele gängige Szenarien.

Tabelle 1: Häufig auftretende Probleme und Schritte zur Problembehebung

Alarm

Vorgang

Fehler beim Zugriff auf die lokale Datenbank.

Überprüfen Sie das System auf Datenbankfehler oder lokale Netzwerkprobleme.

Fehler beim Herstellen einer Verbindung zur lokalen Datenbank.

Vergewissern Sie sich, dass der Datenbankserver verfügbar ist und die richtigen Dienstkonto-Anmeldeinformationen in der Knotenkonfiguration verwendet wurden.

Fehler beim Zugriff auf den Clouddienst.

Prüfen Sie, ob die Knoten auf die Webex-Server zugreifen können, wie in Externe Verbindungsanforderungenangegeben.

Registrierung des Clouddiensts wird erneuert.

Registrierung von Clouddiensten wurde verworfen. Erneuerung der Registrierung wird durchgeführt.

Registrierung des Clouddiensts wurde verworfen.

Registrierung von Clouddiensten wurde beendet. Dienst wird beendet.

Dienst noch nicht aktiviert.

Aktivieren Sie HDS im Partner Hub.

Konfigurierte Domäne stimmt nicht mit dem Serverzertifikat überein.

Vergewissern Sie sich, dass das Serverzertifikat mit der konfigurierten Dienstaktivierungsdomäne übereinstimmt.

Die wahrscheinlichste Ursache lautet, dass die Zertifikat-CN vor kurzem geändert wurde und nun von der CN abweicht, die während der ursprünglichen Einrichtung verwendet wurde.

Clouddienste konnten nicht authentifiziert werden.

Prüfen Sie die Daten auf korrekte Eingabe und einen möglichen Ablauf der Dienstkonto-Anmeldeinformationen.

Lokale Schlüsselspeicherdatei konnte nicht geöffnet werden.

Überprüfen Sie die lokale Schlüsselspeicherdatei auf Integrität und Kennwortgenauigkeit.

Lokales Serverzertifikat ist ungültig.

Überprüfen Sie das Ablaufdatum des Serverzertifikats und vergewissern Sie sich, dass es von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.

Metriken konnten nicht gepostet werden.

Überprüfen Sie den Zugriff des lokalen Netzwerks auf externe Clouddienste.

Das Verzeichnis /media/configdrive/hds ist nicht vorhanden.

Überprüfen Sie die ISO-Mountkonfiguration auf dem virtuellen Host. Vergewissern Sie sich, dass die ISO-Datei vorhanden ist, die beim Neustart für das Mounten konfiguriert ist und das Mounten erfolgreich ausgeführt wird.

Die Einrichtung der Mandantenorganisation für die hinzugefügten Organisationen ist noch nicht abgeschlossen.

Vervollständigen Sie die Einrichtung, indem Sie CMKs für neu hinzugefügte Mandantenorganisationen mithilfe des HDS Setup Tools erstellen.

Die Einrichtung der Mandantenorganisation ist für die entfernten Organisationen nicht abgeschlossen.

Schließen Sie die Einrichtung ab, indem Sie die CMKs der Mandantenorganisationen widerrufen, die mit dem HDS Setup Tool entfernt wurden.

Problembehandlung der Hybrid-Datensicherheit

Beachten Sie bei der Fehlerbehebung von Problemen mit Hybrid Data Security die folgenden allgemeinen Richtlinien.
1

Melden Sie sich bei Partner Hub an.

2

Wählen Sie im Menü auf der linken Seite die Option Dienste aus.

3

Im Abschnitt „Hybrid“ finden Sie die Option „Hybrid Data Security“ und klicken auf Events.

4

Überprüfen Sie die Seite mit dem Ereignisverlauf auf etwaige Warnmeldungen und beheben Sie alle dort gefundenen Probleme. Siehe das untenstehende Bild als Referenz.

5

Überprüfen Sie die Syslog-Serverausgabe auf Aktivitäten der Hybrid Data Security-Bereitstellung. Filtern Sie nach Wörtern wie „Warnung“ und „Fehler“, um die Fehlersuche zu erleichtern.

6

Kontaktieren Sie den Cisco-Support.

Weitere Anmerkungen

Bekannte Probleme mit Hybrid-Datensicherheit

  • Wenn Sie alle Ihre aktiven Hybrid Data Security-Cluster herunterfahren (indem Sie sie im Partner Hub löschen oder alle Knoten herunterfahren), Ihre Konfigurations-ISO-Datei verlieren oder den Zugriff auf die Keystore-Datenbank verlieren, können Webex App-Benutzer von Kundenorganisationen die Bereiche unter ihrer Personenliste, die mit Schlüsseln aus Ihrem KMS erstellt wurden, nicht mehr verwenden. Wir haben aktuell keine Problemumgehung oder Lösung für dieses Problem und empfehlen Ihnen dringend, Ihre HDS-Dienste nicht herunterzufahren, sobald sie aktive Benutzerkonten verarbeiten.

  • Ein Client, der über eine bestehende ECDH-Verbindung zu einem KMS verfügt, hält die Verbindung für einen Zeitraum aufrecht (ca. eine Stunde).

Führen Sie das HDS-Setup-Tool mit Podman Desktop aus.

Podman ist ein kostenloses Open-Source-Container-Management-Tool, das die Möglichkeit bietet, Container auszuführen, zu verwalten und zu erstellen. Podman Desktop kann von https://podman-desktop.io/downloadsheruntergeladen werden.

  • Das HDS Setup Tool wird als Docker-Container auf einem lokalen Computer ausgeführt. Um darauf zuzugreifen, laden Sie Podman herunter und führen Sie es auf diesem Rechner aus. Für den Einrichtungsprozess sind die Anmeldeinformationen eines Control Hub-Kontos mit vollen Administratorrechten für Ihre Organisation erforderlich.

    Falls das HDS-Setup-Tool in Ihrer Umgebung hinter einem Proxy läuft, geben Sie die Proxy-Einstellungen (Server, Port, Anmeldeinformationen) über Docker-Umgebungsvariablen an, wenn Sie den Docker-Container in Schritt 5 starten. Diese Tabelle enthält einige mögliche Umgebungsvariablen:

    Beschreibung

    Variable

    HTTP-Proxy ohne Authentifizierung

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-Proxy ohne Authentifizierung

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-Proxy mit Authentifizierung

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-Proxy mit Authentifizierung

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Die von Ihnen generierte Konfigurations-ISO-Datei enthält den Hauptschlüssel zur Verschlüsselung der PostgreSQL- oder Microsoft SQL Server-Datenbank. Sie benötigen immer die aktuellste Version dieser Datei, wenn Sie Konfigurationsänderungen vornehmen, wie beispielsweise diese:

    • Datenbankzugangsdaten

    • Zertifikatsaktualisierungen

    • Änderungen der Autorisierungsrichtlinie

  • Wenn Sie Datenbankverbindungen verschlüsseln möchten, richten Sie Ihre PostgreSQL- oder SQL Server-Bereitstellung für TLS ein.

Der Einrichtungsprozess für hybride Datensicherheit erzeugt eine ISO-Datei. Anschließend verwenden Sie die ISO-Datei, um Ihren Hybrid Data Security-Host zu konfigurieren.

1

Geben Sie in der Befehlszeile Ihres Computers den entsprechenden Befehl für Ihre Umgebung ein:

In regulären Umgebungen:

podman rmi ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

podman rmi ciscocitg/hds-setup-fedramp:stable

Mit diesem Schritt werden die Bilder vorheriger HDS-Setup-Tools bereinigt. Wenn keine vorherigen Bilder angezeigt werden, erhalten Sie eine Fehlermeldung, die Sie ignorieren können.

2

Um sich bei der Docker-Image-Registrierung anmelden zu können, geben Sie Folgendes ein:

podman login docker.io -u hdscustomersro
3

Geben Sie in der Passwortaufforderung diese Hash-Eingabe ein:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Laden Sie das aktuellste stabile Bild für Ihre Umgebung herunter:

In regulären Umgebungen:

podman pull ciscocitg/hds-setup:stable

In FedRAMP-Umgebungen:

podman pull ciscocitg/hds-setup-fedramp:stable
5

Geben Sie nach Abschluss des Pull-Befehls den entsprechenden Befehl für Ihre Umgebung ein:

  • In regulären Umgebungen ohne Proxy:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTP-Proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In regulären Umgebungen mit einem HTTPS-Proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • In FedRAMP-Umgebungen ohne Proxy:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTP-Proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • In FedRAMP-Umgebungen mit einem HTTPS-Proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wenn der Container ausgeführt wird, wird "Express server listening on port 8080" (Express-Server hören auf Port 8080) sehen.

Nächste Schritte

Folgen Sie den restlichen Schritten in Erstellen einer Konfigurations-ISO für die HDS-Hosts oder Ändern der Knotenkonfiguration, um eine ISO-Konfiguration zu erstellen oder zu ändern.

Verschieben Sie die bestehende Single-Tenant-HDS-Bereitstellung einer Partnerorganisation im Control Hub in eine Multi-Tenant-HDS-Umgebung im Partner Hub.

Die Umstellung von einer bestehenden Single-Tenant-HDS-Bereitstellung einer Partnerorganisation, die im Control Hub verwaltet wird, auf eine Multi-Tenant-HDS-Bereitstellung, die im Partner Hub verwaltet wird, beinhaltet im Wesentlichen die Deaktivierung des HDS-Dienstes im Control Hub, die Abmeldung von Knoten und die Löschung des Clusters. Anschließend können Sie sich im Partner Hub anmelden, die Knoten registrieren, Multi-Tenant HDS aktivieren und Kunden zu Ihrem Cluster hinzufügen.

Der Begriff „Single-Tenant“ bezieht sich lediglich auf eine bestehende HDS-Bereitstellung im Control Hub.

Deaktivieren Sie HDS, melden Sie Knoten ab und löschen Sie alle Cluster im Control Hub.

1

Melden Sie sich bei Control Hub an. Klicken Sie im linken Bereich auf Hybrid. Klicken Sie auf der Karte „Hybride Datensicherheit“ aufEinstellungen bearbeiten.

2

Scrollen Sie auf der Einstellungsseite nach unten zum Abschnitt „Deaktivieren“ und klicken Sie auf Deaktivieren.

3

Klicken Sie nach der Deaktivierung auf die Registerkarte Ressourcen.

4

Auf der Seite Ressourcen werden die Cluster Ihrer HDS-Bereitstellung aufgelistet. Wenn Sie auf einen Cluster klicken, öffnet sich eine Seite mit allen Knoten, die diesem Cluster zugeordnet sind.

5

Klicken Sie rechts auf Menü „Mehr“ und klicken Sie dann auf Knotenabmelden. Wiederholen Sie den Vorgang für alle Knoten im Cluster.

6

Falls Ihre Bereitstellung mehrere Cluster umfasst, wiederholen Sie Schritt 4 und Schritt 5, bis alle Knoten abgemeldet sind.

7

Klicken Sie auf Cluster-Einstellungen > Entfernen.

8

Klicken Sie auf Entfernen bestätigen, um den Cluster abzumelden.

9

Wiederholen Sie den Vorgang für alle Cluster in Ihrer HDS-Bereitstellung.

Nach der Deaktivierung von HDS, der Abmeldung von Knoten und dem Entfernen von Clustern wird auf der Hybrid Data Service-Karte im Control Hub unten die Meldung Einrichtung nicht abgeschlossen angezeigt.

Aktivieren Sie Multi-Tenant HDS für die Partnerorganisation im Partner Hub und fügen Sie Kunden hinzu.

Vorbereitungen

Alle in Anforderungen an die hybride Datensicherheit für mehrere Mandanten genannten Voraussetzungen gelten auch hier. Stellen Sie außerdem sicher, dass bei der Migration zu Multi-Tenant HDS dieselbe Datenbank und dieselben Zertifikate verwendet werden.

1

Melden Sie sich im Partner Hub an. Klicken Sie im linken Bereich auf Services.

Verwenden Sie dieselbe ISO-Datei wie bei Ihrer vorherigen HDS-Bereitstellung, um die Knoten zu konfigurieren. Dadurch wird sichergestellt, dass Nachrichten und Inhalte, die von den Benutzern in der bisherigen HDS-Bereitstellung generiert wurden, auch in der neuen Multi-Tenant-Konfiguration weiterhin zugänglich sind.

2

Im Abschnitt „Hybrid“ finden Sie die Karte „Hybrid Data Security“ und klicken Sie auf Einrichten.

3

Klicken Sie auf der sich öffnenden Seite auf Ressource hinzufügen.

4

Geben Sie im ersten Feld der Karte Cluster erstellen einen Namen für den Cluster ein, dem Sie Ihren Hybrid Data Security-Knoten zuweisen möchten.

Benennen Sie Ihre Cluster nach Möglichkeit nach dem geografischen Standort der Clusterknoten. Beispiele: „San Francisco“ oder „New York“ oder „Dallas“

5

Im zweiten Feld geben Sie die interne IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) Ihres Knotens ein und klicken Sie unten auf dem Bildschirm auf Hinzufügen.

Diese IP-Adresse oder dieser FQDN sollte mit der IP-Adresse oder dem Hostnamen und der Domäne übereinstimmen, die Sie in Einrichten der Hybrid Data Security VMverwendet haben.

Es erscheint eine Meldung, die Sie darüber informiert, dass Sie Ihren Knoten bei Webex registrieren können.
6

Klicken Sie auf Go to Node (Zum Knoten wechseln).

Nach kurzer Zeit werden Sie zu den Knotenverbindungstests für Webex-Dienste weitergeleitet. Sind alle Tests erfolgreich, wird die Seite „Allow Access to Hybrid Data Security Node“ (Zugriff zu Hybrid-Datensicherheits-Knoten gewähren) angezeigt. Dort bestätigen Sie, dass Sie Ihrer Webex-Organisation die Berechtigung erteilen möchten, auf Ihren Knoten zuzugreifen.

7

Aktivieren Sie das Kontrollkästchen Allow Access to Your Hybrid Data Security Node (Zugriff zu Ihrem Hybrid-Datensicherheits-Knoten gewähren) und klicken Sie anschließend auf Continue (Weiter).

Ihr Konto wurde validiert und die Meldung „Registrierung abgeschlossen“ zeigt an, dass Ihr Knoten nun bei Webex Cloud registriert ist. Auf der Seite Hybrid Data Security wird der neue Cluster, der den von Ihnen registrierten Knoten enthält, unter der Registerkarte Resources angezeigt. Der Knoten lädt die aktuelle Software automatisch aus der Cloud herunter.
8

Gehen Sie zum Tab Einstellungen und klicken Sie auf der HDS-Statuskarte auf Aktivieren.

Die Meldung "HDS aktiviert" erscheint am unteren Bildschirmrand.
9

Klicken Sie auf die Registerkarte Zugewiesene Kunden.

10

Klicken Sie auf Kunden hinzufügen.

11

Wählen Sie im Dropdown-Menü den Kunden aus, den Sie hinzufügen möchten.

12

Klicken Sie auf Hinzufügen, dann wird der Kunde dem Cluster hinzugefügt.

13

Wiederholen Sie die Schritte 11 bis 13, um Ihrem Cluster mehrere Kunden hinzuzufügen.

14

Klicken Sie unten auf dem Bildschirm auf Fertig, sobald Sie die Kunden hinzugefügt haben.

Nächste Schritte

Führen Sie das HDS Setup-Tool wie in Erstellen von Kunden-Hauptschlüsseln (CMKs) mit dem HDS Setup-Tool beschrieben aus, um den Einrichtungsprozess abzuschließen.

Generieren einer PKCS12-Datei mit OpenSSL

Vorbereitungen

  • OpenSSL ist eines der Tools, mit denen die PKCS12-Datei im richtigen Format für das Laden in das HDS-Setuptool erstellt werden kann. Es gibt auch andere Verfahren, keines davon wird von uns bevorzugt.

  • Falls Sie sich für die Verwendung von OpenSSL entscheiden, stellen wir Ihnen dieses Verfahren als Leitfaden zur Verfügung, um Ihnen bei der Erstellung einer Datei zu helfen, die den X.509-Zertifikatsanforderungen in X.509-Zertifikatsanforderungenentspricht. Machen Sie sich mit diesen Anforderungen vertraut, bevor Sie fortfahren.

  • Installieren Sie OpenSSL in einer unterstützten Umgebung. Software und Dokumentation finden Sie auf https://www.openssl.org.

  • Erstellen Sie einen privaten Schlüssel.

  • Beginnen Sie mit diesem Verfahren, wenn Sie das Serverzertifikat von Ihrer Zertifizierungsstelle (CA, Certificate Authority) erhalten.

1

Wenn Sie das Serverzertifikat von Ihrer Zertifizierungsstelle erhalten, speichern Sie es als hdsnode.pem.

2

Zeigen Sie das Zertifikat als Text an, und überprüfen Sie die Details.

openssl x509 -text -noout -in hdsnode.pem

3

Verwenden Sie einen Texteditor, um eine Zertifikatspaketdatei mit dem Namen hdsnode-bundle.pemzu erstellen. Die Paketdatei muss das Serverzertifikat, alle CA-Zwischenzertifikate sowie die CA-Stammzertifikate im unten angegebenen Format enthalten:

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

Erstellen Sie die .p12-Datei mit dem Anzeigenamen kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Überprüfen Sie die Zertifikatdetails.

  1. openssl pkcs12 -in hdsnode.p12

  2. Geben Sie ein Passwort an der Eingabeaufforderung ein, um den privaten Schlüssel zu verschlüsseln, sodass er in der Ausgabe aufgeführt wird. Überprüfen Sie anschließend, ob der private Schlüssel und das erste Zertifikat die Zeilen friendlyName: kms-private-keyenthalten.

    Beispiel:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: 
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----

-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

Nächste Schritte

Zurück zu Erfüllung der Voraussetzungen für hybride Datensicherheit. Sie werden die hdsnode.p12 Datei und das von Ihnen festgelegte Passwort in Erstellen einer Konfigurations-ISO für die HDS-Hostsverwenden.

Sie können diese Dateien wiederverwenden, um ein neues Zertifikat anzufordern, wenn das ursprüngliche Zertifikat abläuft.

Datenverkehr zwischen den HDS-Knoten und der Cloud

Metriksammlung von ausgehendem Datenverkehr

Die Hybrid Data Security-Knoten senden bestimmte Metriken an die Webex-Cloud. Dazu gehören Systemmetriken für max. Heap, verbrauchter Heap, CPU-Auslastung und Threadanzahl; Metriken zu synchronen und asynchronen Threads; Metriken zu Warnungen, darunter auch ein Schwellenwert der verschlüsselten Verbindungen, Latenz oder eine Anforderungswarteschlangenlänge; Metriken zum Datenspeicher; und Metriken zu verschlüsselten Verbindungen. Die Knoten senden verschlüsseltes Schlüsselmaterial über einen Out-of-Band-Kanal (separat von der Anforderung).

Eingehender Datenverkehr

Die Hybrid Data Security-Knoten empfangen die folgenden Arten von eingehendem Datenverkehr aus der Webex-Cloud:

  • Verschlüsselungsanforderungen von Clients, die vom Verschlüsselungsdienst umgeleitet werden

  • Upgrades für die Knoten-Software

Konfigurieren von Tintenfisch für die Hybriddatensicherheit

WebSocket kann nicht über SquID Proxy verbunden werden

Squid-Proxys, die den HTTPS-Verkehr untersuchen, können die Herstellung von WebSocket-Verbindungen (wss:) stören, die für Hybrid Data Security erforderlich sind. Diese Abschnitte geben Anleitungen, wie verschiedene Versionen von Squid so konfiguriert werden können, dass sie den wss: -Datenverkehr ignorieren, um den ordnungsgemäßen Betrieb der Dienste zu gewährleisten.

Squid 4 und 5

Fügen Sie die on_unsupported_protocol -Direktive zu squid.confhinzu. :

on_unsupported_protocol tunnel all

Squid 3.5.27

Wir haben Hybrid Data Security erfolgreich getestet, wobei die folgenden Regeln zu squid.confhinzugefügt wurden. Diese Regeln können sich geändert werden, da wir Funktionen entwickeln und die WebEx Cisco aktualisieren.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
War dieser Artikel hilfreich für Sie?
War dieser Artikel hilfreich für Sie?
PreiseWebex-AppMeetingsCallingNachrichtenTeilen von Bildschirminhalten
Webex SuiteCallingMeetingsNachrichtenSlidoWebinareEventsContact CenterCPaaSSicherheitControl Hub
HeadsetsKamerasTisch-SerieRoom-SerieBoard-SerieTelefon-SerieZubehör
BildungGesundheitswesenRegierungsbehördenFinanzenSport und UnterhaltungFrontlineGemeinnützigStartupsHybrid-Arbeit
DownloadsTest-Meeting beitretenOnline-KurseIntegrationenZugänglichkeitInklusivitätLive- und On-Demand-WebinareWebex-CommunityWebex-EntwicklerNeuigkeiten und Innovationen
CiscoSupport kontaktierenKontaktieren Sie das Sales-TeamWebex BlogWebex Thought LeadershipWebex Merch StoreKarrieren
  • X
  • LinkedIn
  • Facebook
  • Youtube
  • Instagram
NutzungsbedingungenDatenschutzerklärungCookiesMarkenzeichen
©2025 Cisco und/oder Partnerunternehmen. Alle Rechte vorbehalten.
NutzungsbedingungenDatenschutzerklärungCookiesMarkenzeichen