- Etusivu
- /
- Artikkeli
Käyttöönotto-opas Webex Hybrid Data Security
Uutta ja muuttunutta tietoa
Päiväys | Muutoksia tehty | ||
---|---|---|---|
20. lokakuuta 2023 |
| ||
07. elokuuta 2023 |
| ||
23. toukokuuta 2023 |
| ||
06. joulukuuta 2022 |
| ||
23. marraskuuta 2022 |
| ||
13. lokakuuta 2021 | Docker Desktopin on suoritettava asennusohjelma, ennen kuin voit asentaa HDS-solmuja. Katso Docker Desktop -vaatimukset. | ||
24. kesäkuuta 2021 | Huomioi, että voit käyttää yksityisen avaimen tiedostoa ja CSR:ää uudelleen pyytääksesi uutta varmennetta. Katso Luo PKCS12-tiedosto OpenSSL:n avulla yksityiskohtia varten. | ||
30. huhtikuuta 2021 | Paikallisen kiintolevytilan VM-vaatimus muutettiin 30 Gt:ksi. Katso Virtuaalipalvelimen vaatimukset yksityiskohtia varten. | ||
24. helmikuuta 2021 | HDS Setup Tool voi nyt toimia välityspalvelimen takana. Katso Luo konfigurointi-ISO HDS-isäntäkoneille yksityiskohtia varten. | ||
2. helmikuuta 2021 | HDS voi nyt toimia ilman asennettua ISO-tiedostoa. Katso (Valinnainen) Irrota ISO HDS-määrityksen jälkeen yksityiskohtia varten. | ||
11. tammikuuta 2021 | Lisätty tietoja HDS Setup -työkalusta ja välityspalvelimista Luo konfigurointi-ISO HDS-isäntäkoneille. | ||
13. lokakuuta 2020 | Päivitetty Lataa asennustiedostot. | ||
8. lokakuuta 2020 | Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa komennoilla FedRAMP-ympäristöille. | ||
14. elokuuta 2020 | Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa kirjautumisprosessin muutoksilla. | ||
5. elokuuta 2020 | Päivitetty Testaa hybriditietoturvaasi lokiviestien muutoksille. Päivitetty Virtuaalipalvelimen vaatimukset poistaaksesi enimmäismäärän isäntiä. | ||
16. kesäkuuta 2020 | Päivitetty Poista solmu Control Hub -käyttöliittymän muutoksille. | ||
4. kesäkuuta 2020 | Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille muutoksista lisäasetuksiin, jotka voit määrittää. | ||
29. toukokuuta 2020 | Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille näyttää, että voit myös käyttää TLS:ää SQL Server -tietokantojen, käyttöliittymämuutosten ja muiden selvennusten kanssa. | ||
5. toukokuuta 2020 | Päivitetty Virtuaalipalvelimen vaatimukset näyttää ESXi 6.5:n uusi vaatimus. | ||
21. huhtikuuta 2020 | Päivitetty Ulkoisen yhteyden vaatimukset uusien Americas CI:n isäntien kanssa. | ||
1. huhtikuuta 2020 | Päivitetty Ulkoisen yhteyden vaatimukset tiedot alueellisista CI-isännöistä. | ||
20. helmikuuta 2020 | Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille tietoja uudesta valinnaisesta Lisäasetukset-näytöstä HDS-asetustyökalussa. | ||
4. helmikuuta 2020 | Päivitetty Välityspalvelinvaatimukset. | ||
16. joulukuuta 2019 | Selvensi vaatimusta, jonka mukaan estetty ulkoinen DNS-resoluutiotila toimii Välityspalvelinvaatimukset. | ||
19. marraskuuta 2019 | Lisätty tietoja Estetystä ulkoisesta DNS-resoluutiotilasta seuraaviin osioihin: | ||
8. marraskuuta 2019 | Voit nyt määrittää solmun verkkoasetukset OVA:n käyttöönoton aikana eikä sen jälkeen. Päivitetty seuraavat osiot vastaavasti:
| ||
6. syyskuuta 2019 | SQL Server Standard lisätty Tietokantapalvelimen vaatimukset. | ||
29. elokuuta 2019 | Lisätty Määritä Squid-välityspalvelimet hybriditietoturvaa varten liite, jossa on ohjeet Squid-välityspalvelinten määrittämiseen niin, että ne jättävät verkkosocket-liikenteen huomioimatta oikean toiminnan varmistamiseksi. | ||
20. elokuuta 2019 | Lisätty ja päivitetty osiot, jotka kattavat välityspalvelintuen Hybrid Data Security -solmuviestinnälle Webex-pilveen. Jos haluat käyttää vain olemassa olevan käyttöönoton välityspalvelimen tukisisältöä, katso Välityspalvelintuki hybriditietoturvalle ja Webex Video Meshille ohjeartikkeli. | ||
13. kesäkuuta 2019 | Päivitetty Kokeilu tuotantotehtäväkulkuun ja muistutus synkronoida HdsTrialGroup ryhmäobjektin ennen kokeilun aloittamista, jos organisaatiosi käyttää hakemistosynkronointia. | ||
6. maaliskuuta 2019 |
| ||
28. helmikuuta 2019 |
| ||
26. helmikuuta 2019 |
| ||
24. tammikuuta 2019 |
| ||
5. marraskuuta 2018 |
| ||
19. lokakuuta 2018 |
| ||
31. heinäkuuta 2018 |
| ||
21. toukokuuta 2018 | Muutettu terminologia vastaamaan Cisco Sparkin uudelleenbrändäystä:
| ||
11. huhtikuuta 2018 |
| ||
22. helmikuuta 2018 |
| ||
15. helmikuuta 2018 |
| ||
18. tammikuuta 2018 |
| ||
2. marraskuuta 2017 |
| ||
18. elokuuta 2017 | Ensimmäinen julkaistu |
Hybridin tietoturvan yleiskatsaus
Tietoturva on ollut ensimmäisestä päivästä lähtien suunnittelun pääpaino Webex-sovellus. Tämän suojauksen kulmakivi on päästä päähän -sisällön salaus, jonka mahdollistaa Webex-sovellus asiakkaat, jotka ovat vuorovaikutuksessa Key Management Servicen (KMS) kanssa. KMS on vastuussa salausavaimien luomisesta ja hallinnasta, joita asiakkaat käyttävät viestien ja tiedostojen dynaamiseen salaukseen ja salauksen purkamiseen.
Oletuksena kaikki Webex-sovellus asiakkaat saavat päästä päähän -salauksen dynaamisilla avaimilla, jotka on tallennettu pilvi-KMS:ään Ciscon tietoturva-alueella. Hybrid Data Security siirtää KMS:n ja muut turvallisuuteen liittyvät toiminnot yrityksesi datakeskukseen, joten kukaan muu kuin sinä omistaa salatun sisältösi avaimet.
Security Realm -arkkitehtuuri
Webex-pilviarkkitehtuuri erottaa erityyppiset palvelut erillisiksi alueiksi tai luottamusalueiksi, kuten alla on kuvattu.
Ymmärtääksemme paremmin hybriditietoturvaa, katsotaanpa ensin tätä puhdasta pilvikoteloa, jossa Cisco tarjoaa kaikki toiminnot pilvialueillaan. Identiteettipalvelu, ainoa paikka, jossa käyttäjät voidaan suoraan korreloida henkilökohtaisten tietojensa, kuten sähköpostiosoitteensa kanssa, on loogisesti ja fyysisesti erillään tietokeskuksen B turvallisuusalueesta. Molemmat ovat puolestaan erillisiä alueesta, johon salattu sisältö lopulta tallennetaan. , palvelinkeskuksessa C.
Tässä kaaviossa asiakas on Webex-sovellus, joka toimii käyttäjän kannettavassa tietokoneessa ja on todennettu identiteettipalvelulla. Kun käyttäjä kirjoittaa tilaan lähetettävän viestin, seuraavat vaiheet tapahtuvat:
Asiakas muodostaa suojatun yhteyden avaintenhallintapalveluun (KMS) ja pyytää sitten avainta viestin salaamiseksi. Suojattu yhteys käyttää ECDH:ta, ja KMS salaa avaimen AES-256-pääavaimella.
Viesti salataan ennen kuin se lähtee asiakkaalta. Asiakas lähettää sen indeksointipalveluun, joka luo salattuja hakuhakemistoja auttamaan tulevia sisällönhakuja.
Salattu viesti lähetetään vaatimustenmukaisuuspalveluun vaatimustenmukaisuustarkastuksia varten.
Salattu viesti tallennetaan tallennusalueelle.
Kun otat käyttöön Hybrid Data Securityn, siirrät suojausalueen toiminnot (KMS, indeksointi ja vaatimustenmukaisuus) paikalliseen tietokeskukseesi. Muut Webexin muodostavat pilvipalvelut (mukaan lukien identiteetti ja sisällön tallennus) jäävät Ciscon toimialueille.
Yhteistyö muiden organisaatioiden kanssa
Organisaatiosi käyttäjät voivat säännöllisesti käyttää Webex-sovellusta tehdäkseen yhteistyötä muiden organisaatioiden ulkopuolisten osallistujien kanssa. Kun joku käyttäjistäsi pyytää avainta organisaatiosi omistamaan tilaan (koska sen on luonut yksi käyttäjistäsi), KMS lähettää avaimen asiakkaalle ECDH-suojatun kanavan kautta. Kuitenkin, kun toinen organisaatio omistaa tilan avaimen, KMS-järjestelmäsi reitittää pyynnön Webex-pilveen erillisen ECDH-kanavan kautta saadakseen avaimen asianmukaiselta KMS:ltä ja palauttaa sitten avaimen käyttäjällesi alkuperäisessä kanavassa.
Organisaatiossa A toimiva KMS-palvelu vahvistaa yhteydet muiden organisaatioiden KMS-järjestelmiin käyttämällä x.509 PKI -varmenteita. Katso Valmistele ympäristösi lisätietoja x.509-varmenteen luomisesta käytettäväksi Hybrid Data Security -asennuksesi kanssa.
Hybriditietoturvan käyttöönottoon liittyvät odotukset
Hybrid Data Security -käyttöönotto edellyttää merkittävää asiakkaiden sitoutumista ja tietoisuutta salausavainten omistamiseen liittyvistä riskeistä.
Hybriditietoturvan käyttöönottoa varten sinun on toimitettava:
Turvallinen datakeskus maassa, joka on a Cisco Webex Teams -suunnitelmien tuettu sijainti.
Kohdassa kuvatut laitteet, ohjelmistot ja verkkoyhteys Valmistele ympäristösi.
Joko Hybrid Data Securitylle luomasi ISO-kokoonpanon tai toimittamasi tietokannan täydellinen menetys johtaa avainten katoamiseen. Avaimen katoaminen estää käyttäjiä purkamasta avaruussisällön ja muiden salattujen tietojen salausta Webex Appissa. Jos näin tapahtuu, voit rakentaa uuden käyttöönoton, mutta vain uusi sisältö näkyy. Jotta et menetä tietoja, sinun on:
Hallitse tietokannan varmuuskopiointia ja palautusta sekä ISO-konfiguraatiota.
Ole valmis suorittamaan nopean katastrofipalautuksen, jos tapahtuu katastrofi, kuten tietokantalevyvika tai tietokeskuksen katastrofi.
Ei ole mekanismia avainten siirtämiseksi takaisin pilveen HDS-asennuksen jälkeen. |
Korkean tason asennusprosessi
Tämä asiakirja kattaa Hybrid Data Securityn käyttöönoton ja hallinnan:
Ota käyttöön hybriditietoturva– Tämä sisältää tarvittavan infrastruktuurin valmistelemisen ja Hybrid Data Security -ohjelmiston asentamisen, käyttöönoton testaamisen käyttäjien osajoukolla kokeilutilassa ja, kun testaus on valmis, siirtyminen tuotantoon. Tämä muuntaa koko organisaation käyttämään Hybrid Data Security -klusteriasi suojaustoimintoihin.
Asennus-, kokeilu- ja tuotantovaiheet käsitellään yksityiskohtaisesti seuraavassa kolmessa luvussa.
Ylläpidä Hybrid Data Security -käyttöönottoasi— Webex-pilvi tarjoaa automaattisesti jatkuvat päivitykset. IT-osastosi voi tarjota ykköstason tukea tälle käyttöönotolle ja Ciscon tukea tarvittaessa. Voit käyttää näytön ilmoituksia ja määrittää sähköpostipohjaisia hälytyksiä Control Hubissa.
Ymmärrä yleiset hälytykset, vianetsintävaiheet ja tunnetut ongelmat— Jos Hybrid Data Securityn käyttöönotossa tai käytössä ilmenee ongelmia, tämän oppaan viimeinen luku ja Tunnetut ongelmat -liite voivat auttaa sinua määrittämään ja korjaamaan ongelman.
Hybriditietoturvan käyttöönottomalli
Otat yrityksesi tietokeskuksessa käyttöön Hybrid Data Securityn yhtenä solmuklusterina erillisissä virtuaalikoneissa. Solmut kommunikoivat Webex-pilven kanssa suojattujen verkkoliitäntöjen ja suojatun HTTP:n kautta.
Asennusprosessin aikana annamme sinulle OVA-tiedoston, jonka avulla voit määrittää virtuaalilaitteiston toimittamillesi VM-koneille. Käytät HDS Setup Toolia luodaksesi mukautetun klusterin kokoonpanon ISO-tiedoston, joka liitetään kuhunkin solmuun. Hybrid Data Security -klusteri käyttää toimittamaasi Syslogd-palvelinta ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. (Määrität Syslogd- ja tietokantayhteystiedot HDS-asennustyökalussa.)
Solmujen vähimmäismäärä klusterissa on kaksi. Suosittelemme vähintään kolmea, ja sinulla voi olla jopa viisi. Useiden solmujen käyttö varmistaa, että palvelu ei keskeydy ohjelmistopäivityksen tai muun solmun ylläpitotoimenpiteen aikana. (Webex-pilvi päivittää vain yhden solmun kerrallaan.)
Kaikki klusterin solmut käyttävät samaa avaintietovarastoa ja kirjaavat toiminnan samaan lokipalvelimeen. Itse solmut ovat valtiottomia ja käsittelevät avainpyyntöjä kiertoteitse pilven ohjeiden mukaisesti.
Solmut aktivoituvat, kun rekisteröit ne Control Hubiin. Voit poistaa yksittäisen solmun käytöstä poistamalla sen rekisteröinnin ja rekisteröimällä sen myöhemmin uudelleen tarvittaessa.
Tuemme vain yhtä klusteria organisaatiota kohden.
Hybriditietoturvan kokeilutila
Kun olet määrittänyt Hybrid Data Security -asennuksen, kokeile sitä ensin pilottikäyttäjien kanssa. Kokeilujakson aikana nämä käyttäjät käyttävät paikallista Hybrid Data Security -toimialuettasi salausavaimiin ja muihin tietoturvapalveluihin. Muut käyttäjäsi jatkavat pilviturvallisuuden käyttöä.
Jos päätät olla jatkamatta käyttöönottoa kokeilun aikana ja poistaa palvelun käytöstä, pilottikäyttäjät ja kaikki käyttäjät, joiden kanssa he ovat olleet vuorovaikutuksessa luomalla uusia tiloja kokeilujakson aikana, menettävät pääsyn viesteihin ja sisältöön. He näkevät Webex-sovelluksessa "Tätä viestiä ei voi purkaa".
Jos olet vakuuttunut siitä, että käyttöönottosi toimii hyvin kokeilukäyttäjille ja olet valmis laajentamaan Hybrid Data Securityn koskemaan kaikkia käyttäjiäsi, siirrät käyttöönoton tuotantoon. Pilottikäyttäjät voivat edelleen käyttää avaimia, jotka olivat käytössä kokeilun aikana. Et kuitenkaan voi siirtyä edestakaisin tuotantotilan ja alkuperäisen kokeilun välillä. Jos sinun on deaktivoitava palvelu, esimerkiksi suorittaaksesi hätäpalautuksen, uudelleenaktivoinnin yhteydessä sinun on aloitettava uusi kokeiluversio ja määritettävä pilottikäyttäjät uudelle kokeilujaksolle ennen kuin siirryt takaisin tuotantotilaan. Se, voivatko käyttäjät säilyttää pääsyn tietoihin tässä vaiheessa, riippuu siitä, oletko onnistuneesti ylläpitänyt avaintietovaraston ja ISO-määritystiedoston varmuuskopioita klusterin hybriditietoturvasolmuille.
Standby Data Center katastrofipalautukseen
Käyttöönoton aikana määrität suojatun valmiustilan tietokeskuksen. Palvelinkeskuksen katastrofin sattuessa voit epäonnistua käyttöönoton manuaalisesti valmiustilassa olevaan datakeskukseen.
Aktiivisten ja valmiustilassa olevien datakeskusten tietokannat ovat synkronoituja keskenään, mikä minimoi vikasietoisuuden suorittamiseen kuluvan ajan. Valmiustilan palvelinkeskuksen ISO-tiedosto päivitetään lisäkonfiguraatioilla, jotka varmistavat, että solmut ovat rekisteröityneet organisaatioon, mutta eivät käsittele liikennettä. Näin ollen valmiustilan datakeskuksen solmut pysyvät aina ajan tasalla HDS-ohjelmiston uusimman version kanssa.
Aktiivisten Hybrid Data Security -solmujen on aina oltava samassa tietokeskuksessa aktiivisen tietokantapalvelimen kanssa. |
Määritä valmiustilassa oleva tietokeskus katastrofipalautusta varten
Määritä valmiustilassa olevan datakeskuksen ISO-tiedosto seuraavasti:
Ennen kuin aloitat
Valmiustilassa olevan datakeskuksen tulee peilata virtuaalikoneiden tuotantoympäristöä ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. Jos tuotannossa on esimerkiksi 3 VM:tä, jotka käyttävät HDS-solmuja, varmuuskopiointiympäristössä tulisi olla 3 virtuaalikonetta. (Katso Standby Data Center katastrofipalautukseen saadaksesi yleiskatsauksen tästä vikasietomallista.)
Varmista, että tietokannan synkronointi on käytössä aktiivisten ja passiivisten klusterisolmujen tietokannan välillä.
1 | Käynnistä HDS Setup -työkalu ja noudata kohdassa mainittuja vaiheita Luo konfigurointi-ISO HDS-isäntäkoneille.
| ||
2 | Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset | ||
3 | Käytössä Lisäasetukset sivulla, lisää alla oleva kokoonpano asettaaksesi solmun passiiviseen tilaan. Tässä tilassa solmu rekisteröidään organisaatioon ja yhdistetään pilveen, mutta se ei käsittele liikennettä.
| ||
4 | Viimeistele määritysprosessi ja tallenna ISO-tiedosto paikkaan, joka on helppo löytää. | ||
5 | Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmääsi. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää pääsalausavaimen tietokannan sisällölle. Rajoita pääsy vain niille Hybrid Data Security -järjestelmänvalvojille, joiden tulee tehdä kokoonpanomuutoksia. | ||
6 | Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia.. | ||
7 | Klikkaus Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.
| ||
8 | Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 15 minuuttiin. | ||
9 | Toista prosessi jokaiselle valmiustilan datakeskuksen solmulle.
|
Mitä tehdä seuraavaksi
Konfiguroinnin jälkeen passiveMode
ISO-tiedostossa ja tallentamalla sen, voit luoda ISO-tiedostosta toisen kopion ilman passiveMode
määritykset ja tallenna se turvalliseen paikkaan. Tämä kopio ISO-tiedostosta ilman passiveMode
konfiguroitu voi auttaa nopeassa vikasietoprosessissa katastrofipalautuksen aikana. Katso Katastrofipalautus valmiustilan tietokeskuksen avulla yksityiskohtaista vikasietoprosessia varten.
Välityspalvelimen tuki
Hybrid Data Security tukee eksplisiittisiä, läpinäkyviä tarkastuksia ja ei-tarkistavia välityspalvelimia. Voit sitoa nämä välityspalvelimet käyttöönottoasi, jotta voit suojata ja valvoa liikennettä yrityksestä pilveen. Voit käyttää alustan järjestelmänvalvojan käyttöliittymää solmuissa varmenteiden hallintaan ja yleisen yhteyden tilan tarkistamiseen sen jälkeen, kun olet määrittänyt solmujen välityspalvelimen.
Hybrid Data Security -solmut tukevat seuraavia välityspalvelinvaihtoehtoja:
Ei välityspalvelinta— Oletusasetus, jos et käytä HDS-solmun asetusten Trust Store & Proxy -kokoonpanoa välityspalvelimen integroimiseen. Varmennepäivitystä ei tarvita.
Läpinäkyvä ei-tarkistava välityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen tarkastamattoman välityspalvelimen kanssa. Varmennepäivitystä ei tarvita.
Läpinäkyvä tunnelointi tai tarkastusvälityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta. Solmuihin ei tarvita HTTP- tai HTTPS-kokoonpanomuutoksia. Solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne luottavat välityspalvelimeen. IT käyttää tyypillisesti tarkastusvälityspalvelimia valvoakseen käytäntöjä, joilla verkkosivustoilla voi vierailla ja minkä tyyppinen sisältö ei ole sallittua. Tämän tyyppinen välityspalvelin purkaa kaiken liikenteesi (jopa HTTPS:n).
Eksplisiittinen välityspalvelin— Eksplisiittisellä välityspalvelimella kerrot HDS-solmuille, mitä välityspalvelinta ja todennusmallia tulee käyttää. Jos haluat määrittää nimenomaisen välityspalvelimen, sinun on annettava seuraavat tiedot jokaiseen solmuun:
Välityspalvelimen IP/FQDN— Osoite, jota voidaan käyttää välityspalvelimen tavoittamiseen.
Välityspalvelimen portti— Portin numero, jota välityspalvelin käyttää välityspalvelimen liikenteen kuuntelemiseen.
Välityspalvelinprotokolla— Valitse seuraavista protokollista riippuen siitä, mitä välityspalvelimesi tukee:
HTTP – Tarkastelee ja hallitsee kaikkia asiakkaan lähettämiä pyyntöjä.
HTTPS – Tarjoaa kanavan palvelimelle. Asiakas vastaanottaa ja vahvistaa palvelimen varmenteen.
Tunnistautumistapa-Valitse seuraavista todennustyypeistä:
Ei mitään-Lisätunnistusta ei tarvita.
Käytettävissä, jos valitset välityspalvelimeksi HTTP- tai HTTPS-protokollaksi.
Perus—Käytetään HTTP-käyttäjäagentille antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.
Käytettävissä, jos valitset välityspalvelimeksi HTTP- tai HTTPS-protokollaksi.
Edellyttää käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.
Sulattaa-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Käyttää hajautustoimintoa käyttäjänimeen ja salasanaan ennen lähettämistä verkon kautta.
Saatavilla vain, jos valitset HTTPS-protokollaksi välityspalvelimeksi.
Edellyttää käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.
Esimerkki hybriditietoturvasolmuista ja välityspalvelimesta
Tämä kaavio näyttää esimerkkiyhteyden Hybrid Data Securityn, verkon ja välityspalvelimen välillä. Läpinäkyvän tarkastuksen ja HTTPS:n eksplisiittisen tarkastuksen välityspalvelimen valintoja varten sama juurivarmenne on asennettava välityspalvelimeen ja Hybrid Data Security -solmuihin.
Estetty ulkoinen DNS-resoluutiotila (eksplisiittiset välityspalvelimen määritykset)
Kun rekisteröit solmun tai tarkistat solmun välityspalvelimen kokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex-pilveen. Jos solmu ei voi tehdä kyselyä DNS-palvelimille, se siirtyy automaattisesti estetty ulkoinen DNS-selvitys -tilaan käyttöönotoissa, joissa on nimenomaiset välityspalvelinkokoonpanot, jotka eivät salli ulkoista DNS-selvitystä sisäisille asiakkaille. Tässä tilassa solmun rekisteröinti ja muut välityspalvelimen yhteystestit voivat jatkua.
Hybriditietoturvan vaatimukset
Cisco Webex -lisenssivaatimukset
Hybriditietoturvan käyttöönotto:
Sinulla on oltava Pro Pack Cisco Webex Control Hubille. (Katso https://www.cisco.com/go/pro-pack.)
Docker Desktop -vaatimukset
Ennen kuin asennat HDS-solmut, tarvitset Docker Desktopin asennusohjelman suorittamiseen. Docker päivitti äskettäin lisenssimallinsa. Organisaatiosi saattaa vaatia maksullisen Docker Desktopin tilauksen. Katso lisätietoja Dockerin blogiviestistä " Docker päivittää ja laajentaa tuotetilauksiamme".
X.509 Varmennevaatimukset
Varmenneketjun tulee täyttää seuraavat vaatimukset:
Vaatimus | Yksityiskohdat |
---|---|
| Oletuksena luotamme Mozilla-luettelon CA:ihin (poikkeuksena WoSign ja StartCom) https://wiki.mozilla.org/CA:IncludedCAs. |
| CN:n ei tarvitse olla tavoitettavissa tai olla elävä isäntä. Suosittelemme, että käytät nimeä, joka kuvastaa organisaatiotasi, esim. CN ei saa sisältää *-merkkiä (jokerimerkki). CN:ää käytetään Webex App -asiakkaiden Hybrid Data Security -solmujen vahvistamiseen. Kaikki klusterin Hybrid Data Security -solmut käyttävät samaa varmennetta. KMS tunnistaa itsensä käyttämällä CN-toimialuetta, ei mitään toimialuetta, joka on määritetty x.509v3 SAN -kentissä. Kun olet rekisteröinyt solmun tällä varmenteella, emme tue CN-verkkotunnuksen vaihtamista. Valitse toimialue, jota voidaan soveltaa sekä kokeilu- että tuotantokäyttöön. |
| KMS-ohjelmisto ei tue SHA1-allekirjoituksia muiden organisaatioiden KMS:ien välisten yhteyksien vahvistamiseksi. |
| Voit muuttaa varmenteen muotoa muuntimen, kuten OpenSSL:n, avulla. Sinun on syötettävä salasana, kun suoritat HDS Setup Tool -työkalun. |
KMS-ohjelmisto ei pakota avainten käyttöä tai laajennettuja avainten käyttöä koskevia rajoituksia. Jotkut varmenneviranomaiset vaativat, että jokaiseen varmenteeseen sovelletaan laajennettuja avainten käyttörajoituksia, kuten palvelimen todennus. Palvelimen todennusta tai muita asetuksia saa käyttää.
Virtuaalipalvelimen vaatimukset
Virtuaalisilla isännillä, jotka määrität klusterin hybriditietoturvasolmuiksi, on seuraavat vaatimukset:
Vähintään kaksi erillistä isäntäkonetta (3 suositeltavaa), jotka sijaitsevat samassa suojatussa datakeskuksessa
VMware ESXi 6.5 (tai uudempi) asennettu ja käynnissä.
Sinun on päivitettävä, jos sinulla on aiempi versio ESXi:stä.
Vähintään 4 vCPU:ta, 8 Gt keskusmuistia, 30 Gt paikallista kiintolevytilaa palvelinta kohden
Tietokantapalvelimen vaatimukset
Luo uusi tietokanta avainten säilytystä varten. Älä käytä oletustietokantaa. Kun HDS-sovellukset on asennettu, ne luovat tietokantaskeeman. |
Tietokantapalvelimelle on kaksi vaihtoehtoa. Vaatimukset kullekin ovat seuraavat:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Vähintään 8 vCPU:ta, 16 Gt:n keskusmuisti, riittävä kiintolevytila ja valvonta sen varmistamiseksi, että sitä ei ylitetä (2 TB suositellaan, jos haluat käyttää tietokantaa pitkään ilman tarvetta lisätä tallennustilaa) | Vähintään 8 vCPU:ta, 16 Gt:n keskusmuisti, riittävä kiintolevytila ja valvonta sen varmistamiseksi, että sitä ei ylitetä (2 TB suositellaan, jos haluat käyttää tietokantaa pitkään ilman tarvetta lisätä tallennustilaa) |
HDS-ohjelmisto asentaa tällä hetkellä seuraavat ajuriversiot tietokantapalvelimen kanssa kommunikointia varten:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC -ohjain 42.2.5 | SQL Server JDBC -ohjain 4.6 Tämä ohjainversio tukee SQL Server Always On ( Aina Failover Cluster -esiintymissä ja Aina käytettävissä ryhmät). |
Lisävaatimukset Windows-todennusta vastaan Microsoft SQL Serveriä vastaan
Jos haluat, että HDS-solmut käyttävät Windows-todennusta päästäkseen Microsoft SQL Serverin avainsäilötietokantaasi, tarvitset seuraavan kokoonpanon ympäristössäsi:
HDS-solmut, Active Directory -infrastruktuuri ja MS SQL Server on kaikki synkronoitava NTP:n kanssa.
HDS-solmuille antamallasi Windows-tilillä on oltava luku-/kirjoitusoikeus tietokantaan.
HDS-solmuille toimittamiesi DNS-palvelimien on kyettävä ratkaisemaan Key Distribution Center (KDC).
Voit rekisteröidä HDS-tietokannan ilmentymän Microsoft SQL Serverissäsi palvelun päänimeksi (SPN) Active Directoryssa. Katso Rekisteröi palvelun päänimi Kerberos-yhteyksille.
HDS-asennustyökalun, HDS-käynnistimen ja paikallisen KMS:n on käytettävä Windows-todennusta päästäkseen avainsäilötietokantaan. He käyttävät ISO-kokoonpanosi tietoja SPN:n muodostamiseen pyytäessään pääsyä Kerberos-todennusta käyttämällä.
Ulkoisen yhteyden vaatimukset
Määritä palomuurisi sallimaan seuraavat liitännät HDS-sovelluksille:
Sovellus | pöytäkirja | Portti | Ohje sovelluksesta | Kohde |
---|---|---|---|---|
Hybriditietoturvasolmut | TCP | 443 | Lähtevä HTTPS ja WSS |
|
HDS-asetustyökalu | TCP | 443 | Lähtevä HTTPS |
|
Hybriditietoturvasolmut toimivat verkkokäyttömuunnoksen (NAT) kanssa tai palomuurin takana, kunhan NAT tai palomuuri sallii vaaditut lähtevät yhteydet edellisen taulukon toimialueen kohteisiin. Hybrid Data Security -solmuihin tulevissa yhteyksissä ei saa näkyä portteja Internetistä. Palvelinkeskuksessasi asiakkailla on oltava pääsy Hybrid Data Security -solmuihin TCP-porteissa 443 ja 22 hallinnollisia tarkoituksia varten. |
Common Identity (CI) -isäntien URL-osoitteet ovat aluekohtaisia. Nämä ovat nykyiset CI-isännät:
Alue | Yhteisen identiteetin isäntä-URL-osoitteet |
---|---|
Amerikka |
|
Euroopan unioni |
|
Kanada |
|
Välityspalvelinvaatimukset
Tuemme virallisesti seuraavia välityspalvelinratkaisuja, jotka voidaan integroida Hybrid Data Security -solmuisi.
Läpinäkyvä välityspalvelin — Cisco Web Security Appliance (WSA).
Eksplisiittinen välityspalvelin – Squid.
Squid-välityspalvelimet, jotka tarkastavat HTTPS-liikennettä, voivat häiritä verkkopistorasian (wss:) yhteyksiä. Jos haluat kiertää tämän ongelman, katso Määritä Squid-välityspalvelimet hybriditietoturvaa varten.
Tuemme seuraavia todennustyyppiyhdistelmiä eksplisiittisille välityspalvelimille:
Ei todennusta HTTP:llä tai HTTPS:llä
Perustodennus HTTP- tai HTTPS-protokollalla
Tiivistetodennus vain HTTPS:llä
Jos haluat läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-välityspalvelimen, sinulla on oltava kopio välityspalvelimen juurivarmenteesta. Tämän oppaan käyttöönotto-ohjeet kertovat, kuinka kopio ladataan Hybrid Data Security -solmujen luotettaviin varastoihin.
HDS-solmuja isännöivä verkko on määritettävä pakottamaan lähtevä TCP-liikenne portissa 443 reitittämään välityspalvelimen kautta.
Verkkoliikennettä tarkastavat välityspalvelimet voivat häiritä verkkoliitäntäyhteyksiä. Jos tämä ongelma ilmenee, ohita (ei tarkasta) liikenne kohteeseen
wbx2.com
jaciscospark.com
ratkaisee ongelman.
Täytä hybriditietoturvan edellytykset
1 | Varmista, että Webex-organisaatiossasi on käytössä Pro Pack for Cisco Webex Control Hub, ja hanki tilin kirjautumistiedot, jolla on täydet organisaation järjestelmänvalvojan oikeudet. Ota yhteyttä Cisco-kumppaniisi tai asiakasvastaavaan saadaksesi apua tässä prosessissa. | ||
2 | Valitse HDS-asennuksellesi verkkotunnus (esim. | ||
3 | Valmistele identtiset virtuaaliset isännät, jotka määrität klusterin hybriditietoturvasolmuiksi. Tarvitset vähintään kaksi erillistä isäntäkonetta (3 suositeltua), jotka sijaitsevat samassa suojatussa datakeskuksessa ja jotka täyttävät vaatimukset Virtuaalipalvelimen vaatimukset. | ||
4 | Valmistele tietokantapalvelin, joka toimii klusterin avaintietovarastona Tietokantapalvelimen vaatimukset. Tietokantapalvelin on sijoitettava suojattuun tietokeskukseen virtuaalisten isäntien kanssa. | ||
5 | Nopeaa katastrofipalautusta varten määritä varmuuskopioympäristö eri tietokeskukseen. Varmuuskopiointiympäristö peilaa virtuaalikoneiden ja varmuuskopiotietokantapalvelimen tuotantoympäristöä. Jos tuotannossa on esimerkiksi 3 virtuaalikonetta, jotka käyttävät HDS-solmuja, varmuuskopiointiympäristössä tulisi olla 3 virtuaalikonetta. | ||
6 | Määritä syslog-isäntä keräämään lokit klusterin solmuista. Kerää sen verkko-osoite ja syslog-portti (oletus on UDP 514). | ||
7 | Luo suojattu varmuuskopiointikäytäntö Hybrid Data Security -solmuille, tietokantapalvelimelle ja loki-isännälle. Vähintään peruuttamattoman tietojen häviämisen estämiseksi sinun on varmuuskopioitava tietokanta ja konfiguraatio-ISO-tiedosto, joka on luotu Hybrid Data Security -solmuille.
Webex App -asiakkaat tallentavat avaimensa välimuistiin, joten käyttökatkos ei välttämättä ole heti havaittavissa, mutta se tulee ilmeiseksi ajan myötä. Vaikka tilapäisiä katkoksia on mahdotonta estää, ne ovat korjattavissa. Tietokannan tai määritysten ISO-tiedoston täydellinen menetys (ei varmuuskopioita saatavilla) johtaa kuitenkin asiakastietojen palauttamiseen. Hybrid Data Security -solmujen operaattoreiden odotetaan varmuuskopioivan säännöllisesti tietokantaa ja konfigurointi-ISO-tiedostoa ja olevan valmiita rakentamaan Hybrid Data Security -palvelinkeskus uudelleen, jos katastrofi tapahtuu. | ||
8 | Varmista, että palomuurikokoonpanosi mahdollistaa liitettävyyden hybriditietoturvasolmuille, kuten kohdassa on kuvattu Ulkoisen yhteyden vaatimukset. | ||
9 | Asenna Docker ( https://www.docker.com) missä tahansa paikallisessa koneessa, jossa on tuettu käyttöjärjestelmä (Microsoft Windows 10 Professional tai Enterprise 64-bittinen tai Mac OSX Yosemite 10.10.3 tai uudempi), jossa on verkkoselain, joka voi käyttää sitä osoitteessa http://127.0.0.1:8080. Käytät Docker-instanssia HDS-asennustyökalun lataamiseen ja suorittamiseen, joka muodostaa paikalliset määritystiedot kaikille Hybrid Data Security -solmuille. Organisaatiosi saattaa tarvita Docker Desktop -lisenssin. Katso Docker Desktop -vaatimukset Lisätietoja. HDS-asennustyökalun asentaminen ja käyttäminen edellyttää, että paikallisessa koneessa on kuvattu yhteys Ulkoisen yhteyden vaatimukset. | ||
10 | Jos yhdistät välityspalvelimen Hybrid Data Securityn kanssa, varmista, että se täyttää Välityspalvelinvaatimukset. | ||
11 | Jos organisaatiosi käyttää hakemistosynkronointia, luo Active Directoryyn ryhmä nimeltä
|
Hybridin tietoturvan käyttöönottotehtäväkulku
Ennen kuin aloitat
1 |
Lataa OVA-tiedosto paikalliselle koneellesi myöhempää käyttöä varten. | ||
2 | Luo konfigurointi-ISO HDS-isäntäkoneille Luo ISO-määritystiedosto Hybrid Data Security -solmuille HDS-asetustyökalulla. | ||
3 |
Luo virtuaalikone OVA-tiedostosta ja suorita alkuasetukset, kuten verkkoasetukset.
| ||
4 | Määritä Hybrid Data Security VM Kirjaudu sisään VM-konsoliin ja määritä kirjautumistiedot. Määritä solmun verkkoasetukset, jos et määrittänyt niitä OVA:n käyttöönoton yhteydessä. | ||
5 | Lataa ja asenna HDS Configuration ISO Määritä virtuaalinen kone ISO-määritystiedostosta, jonka loit HDS-asetustyökalulla. | ||
6 | Määritä HDS-solmu välityspalvelinintegraatiota varten Jos verkkoympäristö edellyttää välityspalvelimen määrittämistä, määritä solmussa käytettävä välityspalvelimen tyyppi ja lisää välityspalvelinvarmenne tarvittaessa luottamussäilöön. | ||
7 | Rekisteröi klusterin ensimmäinen solmu Rekisteröi VM Cisco Webex -pilveen hybriditietoturvasolmuksi. | ||
8 | Luo ja rekisteröi lisää solmuja Viimeistele klusterin asennus. | ||
9 | Suorita kokeilu ja siirry tuotantoon (seuraava kappale) Ennen kuin aloitat kokeilun, solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu. |
Lataa asennustiedostot
1 | Kirjaudu sisään https://admin.webex.comja napsauta sitten Palvelut. | ||||
2 | Etsi Hybridipalvelut-osiosta Hybriditietojen suojauskortti ja napsauta sitten Perustaa. Jos kortti on poistettu käytöstä tai et näe sitä, ota yhteyttä tilitiimiisi tai kumppaniorganisaatioosi. Anna heille tilinumerosi ja pyydä ottamaan organisaatiollesi käyttöön hybriditietoturva. Löydät tilinumeron napsauttamalla rataskuvaketta oikeassa yläkulmassa organisaatiosi nimen vieressä.
| ||||
3 | Valitse Ei osoittaaksesi, että et ole vielä määrittänyt solmua, ja napsauta sitten Seuraava. OVA-tiedoston lataus alkaa automaattisesti. Tallenna tiedosto johonkin paikkaan koneellasi.
| ||||
4 | Valinnaisesti napsauta Avaa Käyttöönottoopas tarkistaaksesi, onko tästä oppaasta saatavilla uudempi versio. |
Luo konfigurointi-ISO HDS-isäntäkoneille
Hybrid Data Security -asetusprosessi luo ISO-tiedoston. Määritä sitten hybriditietoturva-isäntäsi ISO:n avulla.
Ennen kuin aloitat
HDS-asennustyökalu toimii Docker-säiliönä paikallisessa koneessa. Voit käyttää sitä suorittamalla Dockerin kyseisessä koneessa. Asennusprosessi vaatii Control Hub -tilin kirjautumistiedot, jolla on täydet järjestelmänvalvojan oikeudet organisaatiollesi.
Jos HDS-asennustyökalu toimii välityspalvelimen takana ympäristössäsi, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien kautta, kun tuot Docker-säilön esiin vaiheessa. 5. Tässä taulukossa on joitain mahdollisia ympäristömuuttujia:
Kuvaus
Muuttuja
HTTP-välityspalvelin ilman todennusta
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-välityspalvelin ilman todennusta
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-välityspalvelin todennuksella
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-välityspalvelin todennuksella
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Luomasi ISO-määritystiedosto sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset tämän tiedoston viimeisimmän kopion aina, kun teet muutoksia, kuten seuraavat:
Tietokannan tunnistetiedot
Varmenteiden päivitykset
Muutoksia valtuutuskäytäntöön
Jos aiot salata tietokantayhteydet, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:lle.
1 | Kirjoita koneesi komentoriville ympäristöllesi sopiva komento: Tavallisissa ympäristöissä:
FedRAMP-ympäristöissä:
| ||||||||||||
2 | Kirjaudu Docker-kuvarekisteriin kirjoittamalla seuraava:
| ||||||||||||
3 | Kirjoita salasanakehotteeseen tämä hash:
| ||||||||||||
4 | Lataa uusin vakaa kuva ympäristöösi: Tavallisissa ympäristöissä:
FedRAMP-ympäristöissä:
| ||||||||||||
5 | Kun veto on valmis, anna ympäristöllesi sopiva komento:
Kun säilö on käynnissä, näet "Express-palvelin kuuntelee portissa 8080". | ||||||||||||
6 |
Siirry paikallispalvelimeen verkkoselaimella, Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää oikean ympäristön määrittämiseen kyseiselle tilille. Työkalu näyttää sitten tavallisen kirjautumiskehotteen. | ||||||||||||
7 | Anna pyydettäessä Control Hub -asiakasjärjestelmänvalvojan kirjautumistietosi ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn Hybrid Data Securityn tarvittaviin palveluihin. | ||||||||||||
8 | Napsauta Setup Toolin yleiskatsaussivulla Aloittaa. | ||||||||||||
9 | Käytössä ISO tuonti sivulla, sinulla on seuraavat vaihtoehdot:
| ||||||||||||
10 | Tarkista, että X.509-sertifikaattisi täyttää vaatimukset X.509 Varmennevaatimukset.
| ||||||||||||
11 | Anna tietokannan osoite ja tili HDS:lle päästäksesi avaintietosäilöön: | ||||||||||||
12 | Valitse TLS-tietokantayhteystila:
Kun lataat juurivarmenteen (tarvittaessa) ja napsautat Jatkaa, HDS Setup Tool testaa TLS-yhteyden tietokantapalvelimeen. Työkalu tarkistaa myös varmenteen allekirjoittajan ja isäntänimen, jos mahdollista. Jos testi epäonnistuu, työkalu näyttää ongelmaa kuvaavan virhesanoman. Voit valita, jätetäänkö virhe huomioimatta ja jatketaanko asennusta. (Yhteyseroista johtuen HDS-solmut saattavat pystyä muodostamaan TLS-yhteyden, vaikka HDS-asetustyökalu ei pystyisi testaamaan sitä.) | ||||||||||||
13 | Määritä Syslogd-palvelimesi Järjestelmälokit-sivulla: | ||||||||||||
14 | (Valinnainen) Voit muuttaa joidenkin tietokantayhteysparametrien oletusarvoja Lisäasetukset. Yleensä tämä parametri on ainoa, jota saatat haluta muuttaa:
| ||||||||||||
15 | Klikkaus Jatkaa päällä Palauta palvelutilien salasana näyttö. Palvelutilin salasanojen käyttöikä on yhdeksän kuukautta. Käytä tätä näyttöä, kun salasanasi ovat vanhenemassa tai haluat nollata ne mitätöimään aiemmat ISO-tiedostot. | ||||||||||||
16 | Klikkaus Lataa ISO-tiedosto. Tallenna tiedosto paikkaan, joka on helppo löytää. | ||||||||||||
17 | Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmääsi. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää pääsalausavaimen tietokannan sisällölle. Rajoita pääsy vain niille Hybrid Data Security -järjestelmänvalvojille, joiden tulee tehdä kokoonpanomuutoksia. | ||||||||||||
18 | Sulje Setup-työkalu kirjoittamalla |
Mitä tehdä seuraavaksi
Varmuuskopioi asetusten ISO-tiedosto. Tarvitset sitä luodaksesi lisää solmuja palautusta varten tai tehdäksesi kokoonpanomuutoksia. Jos menetät kaikki ISO-tiedoston kopiot, olet myös menettänyt pääavaimen. Avaimien palauttaminen PostgreSQL- tai Microsoft SQL Server -tietokannasta ei ole mahdollista.
Meillä ei ole koskaan kopiota tästä avaimesta, emmekä voi auttaa, jos kadotat sen. |
Asenna HDS Host OVA
1 | Käytä tietokoneesi VMware vSphere -asiakasohjelmaa kirjautuaksesi ESXi-virtuaaliisäntään. | ||||||
2 | Valitse Tiedosto > Ota käyttöön OVF-malli. | ||||||
3 | Määritä ohjatussa toiminnossa aiemmin lataamasi OVA-tiedoston sijainti ja napsauta sitten Seuraava . | ||||||
4 | Käytössä Valitse nimi ja kansio sivu, kirjoita a Virtuaalikoneen nimi solmulle (esimerkiksi "HDS_Node_1"), valitse sijainti, jossa virtuaalikoneen solmun käyttöönotto voi sijaita, ja napsauta sitten Seuraava . | ||||||
5 | Käytössä Valitse laskentaresurssi -sivulla, valitse kohdelaskentaresurssi ja napsauta sitten Seuraava . Vahvistustarkistus suoritetaan. Kun se on valmis, mallin tiedot tulevat näkyviin. | ||||||
6 | Tarkista mallin tiedot ja napsauta sitten Seuraava. | ||||||
7 | Jos sinua pyydetään valitsemaan resurssikokoonpano Kokoonpano sivu, napsauta 4 CPU ja napsauta sitten Seuraava . | ||||||
8 | Käytössä Valitse tallennustila sivu, napsauta Seuraava hyväksyä oletuslevymuoto ja VM-tallennuskäytäntö. | ||||||
9 | Käytössä Valitse verkot -sivulla, valitse verkkovaihtoehto merkintäluettelosta tarjotaksesi halutun yhteyden virtuaalikoneeseen. | ||||||
10 | Käytössä Mukauta mallia sivulla, määritä seuraavat verkkoasetukset:
Halutessasi voit ohittaa verkkoasetusten määrityksen ja noudattaa ohjeita Määritä Hybrid Data Security VM määrittääksesi asetukset solmukonsolista.
| ||||||
11 | Napsauta hiiren kakkospainikkeella solmun VM:tä ja valitse sitten .Hybrid Data Security -ohjelmisto asennetaan vieraana VM-isäntään. Olet nyt valmis kirjautumaan sisään konsoliin ja määrittämään solmun. Vianetsintävinkkejä Saatat kokea muutaman minuutin viiveen ennen kuin solmusäiliöt tulevat näkyviin. Siltapalomuuriviesti tulee näkyviin konsoliin ensimmäisen käynnistyksen aikana, jolloin et voi kirjautua sisään. |
Määritä Hybrid Data Security VM
Käytä tätä menettelyä kirjautuaksesi sisään Hybrid Data Security -solmun VM-konsoliin ensimmäistä kertaa ja määrittääksesi kirjautumistunnukset. Voit myös käyttää konsolia solmun verkkoasetusten määrittämiseen, jos et määrittänyt niitä OVA-asennuksen yhteydessä.
1 | Valitse VMware vSphere -asiakkaassa Hybrid Data Security -solmun VM ja valitse Konsoli -välilehti. Virtuaalinen kone käynnistyy ja näkyviin tulee kirjautumiskehote. Jos kirjautumiskehote ei tule näkyviin, paina Tulla sisään.
|
2 | Käytä seuraavaa oletusarvoista kirjautumistunnusta ja salasanaa kirjautuaksesi sisään ja muuttaaksesi tunnistetietoja: Koska kirjaudut sisään virtuaalikoneeseen ensimmäistä kertaa, sinun on vaihdettava järjestelmänvalvojan salasana. |
3 | Jos olet jo määrittänyt verkkoasetukset Asenna HDS Host OVA, ohita loput tästä toimenpiteestä. Muussa tapauksessa valitse päävalikosta Muokkaa kokoonpanoa vaihtoehto. |
4 | Aseta staattinen kokoonpano IP-osoitteen, peitteen, yhdyskäytävän ja DNS-tietojen kanssa. Solmullasi tulee olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta. |
5 | (Valinnainen) Muuta tarvittaessa isäntänimeä, toimialuetta tai NTP-palvelimia vastaamaan verkkokäytäntöäsi. Sinun ei tarvitse asettaa toimialuetta vastaamaan toimialuetta, jota käytit X.509-varmenteen hankkimiseen. |
6 | Tallenna verkkoasetukset ja käynnistä virtuaalikone uudelleen, jotta muutokset tulevat voimaan. |
Lataa ja asenna HDS Configuration ISO
Ennen kuin aloitat
Koska ISO-tiedosto sisältää pääavaimen, se tulisi paljastaa vain "tarve tietää" -periaatteella, jotta Hybrid Data Security -virtuaalikoneet ja muut järjestelmänvalvojat voivat käyttää sitä. Varmista, että vain kyseiset järjestelmänvalvojat pääsevät tietosäilöön.
1 | Lataa ISO-tiedosto tietokoneeltasi: |
2 | Asenna ISO-tiedosto: |
Mitä tehdä seuraavaksi
Jos IT-käytäntösi vaatii, voit halutessasi irrottaa ISO-tiedoston sen jälkeen, kun kaikki solmut ovat huomanneet kokoonpanomuutokset. Katso (Valinnainen) Irrota ISO HDS-määrityksen jälkeen yksityiskohtia varten.
Määritä HDS-solmu välityspalvelinintegraatiota varten
Jos verkkoympäristö vaatii välityspalvelimen, määritä tämän toimenpiteen avulla, minkä tyyppiseen välityspalvelimeen haluat integroida Hybriditietoturva. Jos valitset läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-välityspalvelimen, voit käyttää solmun käyttöliittymää juurivarmenteen lataamiseen ja asentamiseen. Voit myös tarkistaa välityspalvelinyhteyden käyttöliittymästä ja tehdä mahdollisten ongelmien vianmäärityksen.
Ennen kuin aloitat
Katso Välityspalvelimen tuki saadaksesi yleiskatsauksen tuetuista välityspalvelinvaihtoehdoista.
1 | Anna HDS-solmun asetusten URL-osoite |
2 | Mene Trust Store ja välityspalvelinja valitse sitten vaihtoehto:
Noudata seuraavia ohjeita läpinäkyvän tarkastavan välityspalvelimen, HTTP-sellaisen välityspalvelimen, jossa on perustodennus, tai HTTPS-eksplisiittisen välityspalvelimen kohdalla. |
3 | Klikkaus Lataa juurivarmenne tai loppukokonaisuuden varmenneja valitse sitten välityspalvelimen juurivarmenne. Varmenne on ladattu, mutta sitä ei ole vielä asennettu, koska sinun on käynnistettävä solmu uudelleen varmenteen asentamiseksi. Napsauta varmenteen myöntäjän nimen vieressä olevaa nuolimerkkiä saadaksesi lisätietoja tai napsauta Poistaa jos teit virheen ja haluat ladata tiedoston uudelleen. |
4 | Klikkaus Tarkista välityspalvelinyhteys solmun ja välityspalvelimen välisen verkkoyhteyden testaamiseen. Jos yhteystesti epäonnistuu, näet virheilmoituksen, joka näyttää syyn ja kuinka voit korjata ongelman. Jos näet viestin, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen. Tämä ehto on odotettavissa monissa eksplisiittisissä välityspalvelinkokoonpanoissa. Voit jatkaa asennusta, ja solmu toimii estetty ulkoinen DNS-resoluutio -tilassa. Jos tämä on mielestäsi virhe, suorita nämä vaiheet ja katso sitten Poista Estetty ulkoinen DNS-resoluutiotila käytöstä. |
5 | Kun yhteystesti on läpäissyt, jos eksplisiittiselle välityspalvelimelle on asetettu vain https, käännä kytkin päälle Reititä kaikki portin 443/444 https-pyynnöt tästä solmusta nimenomaisen välityspalvelimen kautta. Tämän asetuksen voimaantulo kestää 15 sekuntia. |
6 | Klikkaus Asenna kaikki sertifikaatit Trust Storeen (näkyy eksplisiittiselle HTTPS-välityspalvelimelle tai läpinäkyvälle tarkastavalle välityspalvelimelle) tai Käynnistä uudelleen (näkyy HTTP-välityspalvelimen kohdalla), lue kehote ja napsauta sitten Asentaa jos olet valmis. Solmu käynnistyy uudelleen muutaman minuutin sisällä. |
7 | Kun solmu on käynnistynyt uudelleen, kirjaudu tarvittaessa uudelleen sisään ja avaa sitten Yleiskatsaus sivu tarkistaaksesi yhteystarkistukset varmistaaksesi, että ne ovat kaikki vihreässä tilassa. Välityspalvelinyhteyden tarkistus testaa vain webex.com-aliverkkotunnuksen. Jos yhteysongelmia ilmenee, yleinen ongelma on, että jotkin asennusohjeissa luetellut pilvialueet estetään välityspalvelimessa. |
Rekisteröi klusterin ensimmäinen solmu
Kun rekisteröit ensimmäisen solmun, luot klusterin, johon solmu on määritetty. Klusteri sisältää yhden tai useamman solmun, joka on otettu käyttöön redundanssin aikaansaamiseksi.
Ennen kuin aloitat
Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.
Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen sivustolle admin.webex.com.
1 | Kirjaudu sisään https://admin.webex.com. |
2 | Valitse näytön vasemman reunan valikosta Palvelut. |
3 | Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta Perustaa. Register Hybrid Data Security Node -sivu tulee näkyviin.
|
4 | Valitse Joo osoittaaksesi, että olet määrittänyt solmun ja olet valmis rekisteröimään sen, ja napsauta sitten Seuraava. |
5 | Kirjoita ensimmäiseen kenttään nimi klusterille, jolle haluat liittää hybriditietoturvasolmun. Suosittelemme, että nimeät klusterin sen mukaan, missä klusterin solmut sijaitsevat maantieteellisesti. Esimerkkejä: "San Francisco" tai "New York" tai "Dallas" |
6 | Kirjoita toiseen kenttään solmusi sisäinen IP-osoite tai täysin hyväksytty verkkotunnuksen nimi (FQDN) ja napsauta Seuraava. Tämän IP-osoitteen tai FQDN:n tulee vastata IP-osoitetta tai isäntänimeä ja verkkotunnusta, jossa käytit Määritä Hybrid Data Security VM. Näkyviin tulee viesti, joka ilmaisee, että voit rekisteröidä solmusi Webexiin.
|
7 | Klikkaus Siirry Nodeen. |
8 | Klikkaus Jatkaa varoitusviestissä. Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, Salli pääsy hybriditietoturvasolmuun -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa Webex-organisaatiollesi luvan käyttää solmuasi.
|
9 | Tarkista Salli pääsy hybriditietoturvasolmuun valintaruutu ja napsauta sitten Jatkaa. Tilisi on vahvistettu ja "Registration Complete" -viesti osoittaa, että solmu on nyt rekisteröity Webex-pilveen.
|
10 | Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle. Käytössä Hybriditietoturva -sivulla uusi klusteri, joka sisältää rekisteröimäsi solmun, tulee näkyviin. Solmu lataa automaattisesti uusimman ohjelmiston pilvestä.
|
Luo ja rekisteröi lisää solmuja
Tällä hetkellä varmuuskopioidut VM:t, joissa loit Täytä hybriditietoturvan edellytykset ovat valmiustilassa olevia isäntiä, joita käytetään vain katastrofipalautuksen yhteydessä; niitä ei ole rekisteröity järjestelmään ennen sitä. Katso lisätietoja Katastrofipalautus valmiustilan tietokeskuksen avulla. |
Ennen kuin aloitat
Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.
Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen sivustolle admin.webex.com.
1 | Luo uusi virtuaalikone OVA:sta toistamalla vaiheet Asenna HDS Host OVA. |
2 | Määritä uuden virtuaalikoneen alkuperäinen määritys toistamalla vaiheet Määritä Hybrid Data Security VM. |
3 | Toista vaiheet uudessa virtuaalikoneessa Lataa ja asenna HDS Configuration ISO. |
4 | Jos olet määrittämässä välityspalvelinta käyttöönotolle, toista vaiheet Määritä HDS-solmu välityspalvelinintegraatiota varten tarpeen mukaan uutta solmua varten. |
5 | Rekisteröi solmu. Solmusi on rekisteröity. Huomaa, että ennen kuin aloitat kokeilun, solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.
|
Mitä tehdä seuraavaksi
Kokeilu tuotantotehtäväkulkuun
Kun olet määrittänyt Hybrid Data Security -klusterin, voit aloittaa pilotin, lisätä siihen käyttäjiä ja alkaa käyttää sitä käyttöönoton testaamiseen ja tarkistamiseen valmistautuessasi tuotantoon siirtymiseen.
Ennen kuin aloitat
1 | Synkronoi tarvittaessa Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava |
2 |
Aloita kokeilu. Ennen kuin teet tämän tehtävän, solmusi luovat hälytyksen, joka ilmoittaa, että palvelua ei ole vielä aktivoitu. |
3 |
Tarkista, että avainpyynnöt välitetään Hybrid Data Security -käyttöönottoasi. |
4 | Tarkkaile hybriditietoturvan kuntoa Tarkista tila ja määritä sähköposti-ilmoitukset hälytyksiä varten. |
5 | |
6 | Suorita kokeiluvaihe loppuun jollakin seuraavista toimista: |
Aktivoi kokeiluversio
Ennen kuin aloitat
Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava HdsTrialGroup
ryhmäobjekti synkronoitavaksi pilveen ennen kuin voit aloittaa kokeilun organisaatiossasi. Katso ohjeet kohdasta Käyttöönottoopas Cisco Directory Connectorille.
1 | Kirjaudu sisään https://admin.webex.comja valitse sitten Palvelut. |
2 | Napsauta Hybriditietoturva-kohdassa asetukset. |
3 | Napsauta Palvelun tila -osiossa Aloita kokeilujakso. Palvelun tila vaihtuu kokeilutilaan.
|
4 | Klikkaus Lisää käyttäjiä ja syötä yhden tai useamman käyttäjän sähköpostiosoite, jota haluat pilotoida käyttämällä Hybrid Data Security -solmuja salaus- ja indeksointipalveluissa. (Jos organisaatiosi käyttää hakemistosynkronointia, hallinnoi kokeiluryhmää Active Directoryn avulla, |
Testaa hybriditietoturvaasi
Ennen kuin aloitat
Määritä Hybrid Data Security -käyttöönotto.
Aktivoi kokeilu ja lisää useita kokeilukäyttäjiä.
Varmista, että sinulla on pääsy syslogiin varmistaaksesi, että avainpyynnöt välitetään Hybrid Data Security -asennukseesi.
1 | Tietyn tilan avaimet asettaa tilan luoja. Kirjaudu Webex-sovellukseen yhtenä pilottikäyttäjistä ja luo sitten tila ja kutsu vähintään yksi pilottikäyttäjä ja yksi ei-pilottikäyttäjä.
| ||
2 | Lähetä viestejä uuteen tilaan. | ||
3 | Tarkista syslog-tuloste varmistaaksesi, että avainpyynnöt välitetään Hybrid Data Security -käyttöönottoasi. |
Tarkkaile hybriditietoturvan kuntoa
1 | Sisään Ohjauskeskus, valitse Palvelut näytön vasemmassa reunassa olevasta valikosta. |
2 | Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta asetukset. Hybriditietojen suojausasetukset -sivu tulee näkyviin.
|
3 | Kirjoita Sähköposti-ilmoitukset-osioon yksi tai useampi sähköpostiosoite pilkuilla erotettuna ja paina Tulla sisään. |
Lisää tai poista käyttäjiä kokeiluversiostasi
Jos poistat käyttäjän kokeilujaksosta, käyttäjän asiakasohjelma pyytää avaimia ja avainten luomista pilvi-KMS:stä KMS:n sijaan. Jos asiakas tarvitsee avaimen, joka on tallennettu KMS:ään, pilvi-KMS noutaa sen käyttäjän puolesta.
Jos organisaatiosi käyttää hakemistosynkronointia, käytä Active Directorya (tämän toimenpiteen sijaan) kokeiluryhmän hallintaan, HdsTrialGroup
; voit tarkastella ryhmän jäseniä Control Hubissa, mutta et voi lisätä tai poistaa niitä.
1 | Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut. |
2 | Napsauta Hybriditietoturva-kohdassa asetukset. |
3 | Napsauta Palvelun tila -alueen Kokeilutila-osiossa Lisää käyttäjiätai napsauta katsoa ja muokata poistaaksesi käyttäjät kokeilusta. |
4 | Kirjoita yhden tai useamman lisättävän käyttäjän sähköpostiosoite tai napsauta X käyttäjätunnuksella poistaaksesi käyttäjän kokeilusta. Napsauta sitten Tallentaa. |
Siirry kokeilusta tuotantoon
1 | Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut. |
2 | Napsauta Hybriditietoturva-kohdassa asetukset. |
3 | Napsauta Palvelun tila -osiossa Siirry tuotantoon. |
4 | Vahvista, että haluat siirtää kaikki käyttäjäsi tuotantoon. |
Lopeta kokeilu siirtymättä tuotantoon
1 | Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut. |
2 | Napsauta Hybriditietoturva-kohdassa asetukset. |
3 | Napsauta Poista käytöstä -osiossa Poista käytöstä. |
4 | Vahvista, että haluat poistaa palvelun käytöstä, ja lopeta kokeilu. |
Hallitse HDS-käyttöönottoa
Käytä tässä kuvattuja tehtäviä Hybrid Data Security -asennuksen hallintaan.
Aseta klusterin päivitysaikataulu
Päivitysaikataulun määrittäminen:
1 | Kirjaudu sisään Ohjauskeskus. |
2 | Valitse Yleiskatsaus-sivun Hybridipalvelut-kohdassa Hybriditietoturva. |
3 | Valitse Hybriditietoturvaresurssit-sivulla klusteri. |
4 | Valitse oikealla olevan Yleiskatsaus-paneelin Cluster Settings -kohdassa klusterin nimi. |
5 | Valitse Asetukset-sivun Päivitys-kohdasta aika ja aikavyöhyke päivitysaikataululle. Huomautus: Aikavyöhykkeen alla näytetään seuraavan saatavilla olevan päivityksen päivämäärä ja aika. Voit tarvittaessa siirtää päivityksen seuraavalle päivälle napsauttamalla Lykätä. |
Muuta solmun kokoonpanoa
x.509-varmenteiden muuttaminen vanhenemisen tai muiden syiden vuoksi.
Emme tue varmenteen CN-verkkotunnuksen vaihtamista. Verkkotunnuksen on vastattava klusterin rekisteröintiin käytettyä alkuperäistä verkkotunnusta.
Tietokannan asetusten päivittäminen PostgreSQL- tai Microsoft SQL Server -tietokannan kopioksi muuttamiseksi.
Emme tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin tai päinvastoin. Jos haluat vaihtaa tietokantaympäristöä, aloita uusi Hybrid Data Security -käyttöönotto.
Uuden kokoonpanon luominen uuden datakeskuksen valmistelemiseksi.
Lisäksi Hybrid Data Security käyttää turvallisuussyistä palvelutilin salasanoja, joiden käyttöikä on yhdeksän kuukautta. Kun HDS Setup -työkalu on luonut nämä salasanat, otat ne käyttöön jokaisessa HDS-solmussa ISO-määritystiedostossa. Kun organisaatiosi salasanat ovat vanhenemassa, saat Webex-tiimin ilmoituksen konetilin salasanan nollaamisesta. (Sähköposti sisältää tekstin "Käytä konetilin sovellusliittymää salasanan päivittämiseen.") Jos salasanasi eivät ole vielä vanhentuneet, työkalu tarjoaa kaksi vaihtoehtoa:
Pehmeä nollaus-Vanha ja uusi salasana ovat molemmat voimassa jopa 10 päivää. Käytä tätä ajanjaksoa korvataksesi solmujen ISO-tiedoston asteittain.
Laitekäynnistys-Vanhat salasanat lakkaavat toimimasta välittömästi.
Jos salasanasi vanhenevat ilman nollausta, se vaikuttaa HDS-palveluusi ja vaatii välitöntä hard resetin ja ISO-tiedoston vaihtamisen kaikissa solmuissa.
Käytä tätä menettelyä luodaksesi uuden ISO-määritystiedoston ja käyttääksesi sitä klusteriisi.
Ennen kuin aloitat
HDS-asennustyökalu toimii Docker-säiliönä paikallisessa koneessa. Voit käyttää sitä suorittamalla Dockerin kyseisessä koneessa. Asennusprosessi vaatii Control Hub -tilin kirjautumistiedot, jolla on täydet järjestelmänvalvojan oikeudet organisaatiollesi.
Jos HDS-asennustyökalu toimii välityspalvelimen takana ympäristössäsi, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien kautta, kun avaat Docker-säilön 1.e. Tässä taulukossa on joitain mahdollisia ympäristömuuttujia:
Kuvaus
Muuttuja
HTTP-välityspalvelin ilman todennusta
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-välityspalvelin ilman todennusta
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-välityspalvelin todennuksella
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-välityspalvelin todennuksella
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Tarvitset kopion nykyisestä ISO-määritystiedostosta uuden kokoonpanon luomiseksi. ISO sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset ISO-tunnuksen, kun teet muutoksia kokoonpanoon, mukaan lukien tietokannan tunnistetiedot, sertifikaattien päivitykset tai valtuutuskäytäntöjen muutokset.
1 | Suorita HDS Setup Tool käyttämällä Dockeria paikallisessa koneessa. |
2 | Jos käytössäsi on vain yksi HDS-solmu, luo uusi Hybrid Data Security -solmun VM ja rekisteröi se käyttämällä uutta ISO-määritystiedostoa. Katso tarkemmat ohjeet Luo ja rekisteröi lisää solmuja. |
3 | Asenna ISO-tiedosto olemassa oleville HDS-solmuille, jotka käyttävät vanhempaa määritystiedostoa. Suorita seuraava toimenpide jokaiselle solmulle vuorotellen päivittämällä jokainen solmu ennen kuin sammutat seuraavan solmun: |
4 | Toista vaihe 3 korvataksesi kokoonpanon jokaisessa jäljellä olevassa solmussa, joka käyttää vanhaa kokoonpanoa. |
Poista Estetty ulkoinen DNS-resoluutiotila käytöstä
Kun rekisteröit solmun tai tarkistat solmun välityspalvelimen kokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex-pilveen. Jos solmun DNS-palvelin ei pysty ratkaisemaan julkisia DNS-nimiä, solmu siirtyy automaattisesti Estetty ulkoinen DNS-ratkaisu -tilaan.
Jos solmusi pystyvät ratkaisemaan julkiset DNS-nimet sisäisten DNS-palvelimien kautta, voit poistaa tämän tilan käytöstä suorittamalla välityspalvelinyhteystestin uudelleen jokaisessa solmussa.
Ennen kuin aloitat
1 | Avaa verkkoselaimessa Hybrid Data Security -solmun käyttöliittymä (IP-osoite/asetus esim. https://192.0.2.0/setup), anna solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään. |
2 | Mene Yleiskatsaus (oletussivu). Kun käytössä, Estetty ulkoinen DNS-resoluutio on asetettu Joo. |
3 | Siirry kohtaan Trust Store ja välityspalvelin sivu. |
4 | Klikkaus Tarkista välityspalvelinyhteys. Jos näet viestin, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen ja pysyy tässä tilassa. Muussa tapauksessa käynnistät solmun uudelleen ja palaat takaisin Yleiskatsaus -sivulla Estetty ulkoinen DNS-resoluutio tulee asettaa arvoon ei. |
Mitä tehdä seuraavaksi
Poista solmu
1 | Käytä tietokoneesi VMware vSphere -asiakasta kirjautuaksesi ESXi-virtuaaliisäntään ja sammuttaaksesi virtuaalikoneen. |
2 | Poista solmu: |
3 | Poista VM vSphere-asiakkaassa. (Napsauta VM:tä hiiren kakkospainikkeella vasemmassa navigointiruudussa ja napsauta Poistaa.) Jos et poista virtuaalikonetta, muista irrottaa määritysten ISO-tiedosto. Ilman ISO-tiedostoa et voi käyttää suojaustietojasi virtuaalikoneella. |
Katastrofipalautus valmiustilan tietokeskuksen avulla
Hybrid Data Security -klusterisi kriittisin palvelu on viestien ja muun Webex-pilveen tallennetun sisällön salaamiseen käytettävien avaimien luominen ja tallennus. Jokaiselle organisaation käyttäjälle, joka on määritetty hybriditietoturvaan, uudet avaintenluontipyynnöt reititetään klusteriin. Klusteri on myös vastuussa luomiensa avainten palauttamisesta kaikille käyttäjille, joilla on oikeus noutaa ne, esimerkiksi keskustelutilan jäsenille.
Koska klusteri suorittaa näiden avainten kriittisen toiminnon, on välttämätöntä, että klusteri pysyy käynnissä ja että asianmukaiset varmuuskopiot ylläpidetään. Hybrid Data Security -tietokannan tai skeemaa varten käytetyn konfiguraatio-ISO:n katoaminen johtaa asiakkaan sisällön PALAUTTAMATTOMAN MENETTYMISEEN. Seuraavat käytännöt ovat pakollisia tällaisten menetysten estämiseksi:
Jos katastrofin vuoksi HDS-asennus ei ole käytettävissä ensisijaisessa datakeskuksessa, noudata näitä ohjeita ja siirry manuaalisesti valmiustilan datakeskukseen.
1 | Käynnistä HDS Setup -työkalu ja noudata kohdassa mainittuja vaiheita Luo konfigurointi-ISO HDS-isäntäkoneille. | ||
2 | Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset | ||
3 | Käytössä Lisäasetukset -sivulle, lisää kokoonpano alla tai poista
| ||
4 | Viimeistele määritysprosessi ja tallenna ISO-tiedosto paikkaan, joka on helppo löytää. | ||
5 | Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmääsi. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää pääsalausavaimen tietokannan sisällölle. Rajoita pääsy vain niille Hybrid Data Security -järjestelmänvalvojille, joiden tulee tehdä kokoonpanomuutoksia. | ||
6 | Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia.. | ||
7 | Klikkaus Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.
| ||
8 | Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 15 minuuttiin. | ||
9 | Toista prosessi jokaiselle valmiustilan datakeskuksen solmulle.
|
Mitä tehdä seuraavaksi
(Valinnainen) Irrota ISO HDS-määrityksen jälkeen
HDS-standardikokoonpano toimii ISO-asennuksella. Jotkut asiakkaat eivät kuitenkaan halua jättää ISO-tiedostoja jatkuvasti asennettavaksi. Voit irrottaa ISO-tiedoston, kun kaikki HDS-solmut ovat ottaneet uuden kokoonpanon.
Käytät edelleen ISO-tiedostoja konfiguraatiomuutosten tekemiseen. Kun luot uuden ISO:n tai päivität ISO:n Setup Toolin kautta, päivitetty ISO on asennettava kaikkiin HDS-solmuihin. Kun kaikki solmut ovat havainneet konfiguraatiomuutokset, voit irrottaa ISO:n uudelleen tällä menettelyllä.
Ennen kuin aloitat
Päivitä kaikki HDS-solmut versioon 2021.01.22.4720 tai uudempaan.
1 | Sulje yksi HDS-solmuistasi. |
2 | Valitse vCenter Server Appliancessa HDS-solmu. |
3 | Valita Datastore ISO-tiedosto. ja poista valinta |
4 | Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 20 minuuttiin. |
5 | Toista jokaiselle HDS-solmulle vuorotellen. |
Näytä hälytykset ja vianetsintä
Hybrid Data Security -asennuksen katsotaan olevan käyttökelvoton, jos kaikkiin klusterin solmuihin ei saada yhteyttä tai klusteri toimii niin hitaasti, että se pyytää aikakatkaisua. Jos käyttäjät eivät saa yhteyttä hybriditietoturvaklusteriisi, he kokevat seuraavat oireet:
Uusia tiloja ei voi luoda (ei voi luoda uusia avaimia)
Viestien ja välilyöntien otsikoiden salauksen purkaminen epäonnistuu:
Uusia käyttäjiä lisätty välilyöntiin (avaimia ei voi noutaa)
Olemassa olevat käyttäjät tilassa, jotka käyttävät uutta asiakasohjelmaa (avaimia ei voi noutaa)
Tilassa olevat käyttäjät jatkavat toimintaansa niin kauan kuin heidän asiakkaillaan on salausavainten välimuisti
On tärkeää, että valvot Hybrid Data Security -klusteriasi oikein ja käsittelet kaikki hälytykset välittömästi, jotta vältyt palvelun keskeytymiseltä.
Hälytykset
Jos Hybrid Data Security -asetuksissa on ongelma, Control Hub näyttää hälytyksiä organisaation järjestelmänvalvojalle ja lähettää sähköpostit määritettyyn sähköpostiosoitteeseen. Hälytykset kattavat monia yleisiä skenaarioita.
Varoitus | Toiminta |
---|---|
Paikallisen tietokannan käyttövirhe. |
Tarkista tietokantavirheiden tai paikallisverkko-ongelmien varalta. |
Paikallinen tietokantayhteys epäonnistui. |
Tarkista, että tietokantapalvelin on käytettävissä ja että solmun määrityksessä käytettiin oikeita palvelutilin tunnistetietoja. |
Pilvipalvelun käyttövirhe. |
Tarkista, että solmut voivat käyttää Webex-palvelimia kohdassa määritetyllä tavalla Ulkoisen yhteyden vaatimukset. |
Pilvipalvelurekisteröinnin uusiminen. |
Rekisteröityminen pilvipalveluihin lopetettiin. Rekisteröinnin uusiminen on käynnissä. |
Pilvipalvelun rekisteröinti putosi. |
Rekisteröityminen pilvipalveluihin on lopetettu. Palvelu suljetaan. |
Palvelua ei ole vielä aktivoitu. |
Aktivoi kokeilu tai lopeta kokeilun siirtäminen tuotantoon. |
Määritetty toimialue ei vastaa palvelimen varmennetta. |
Varmista, että palvelinvarmenne vastaa määritettyä palvelun aktivointitoimialuetta. Todennäköisin syy on se, että varmenne CN on äskettäin vaihdettu ja on nyt eri kuin alkuperäisen asennuksen aikana käytetty CN. |
Todennus pilvipalveluihin epäonnistui. |
Tarkista palvelutilin kirjautumistietojen tarkkuus ja mahdollinen vanheneminen. |
Paikallisen avainsäilytystiedoston avaaminen epäonnistui. |
Tarkista paikallisen avainsäilytystiedoston eheys ja salasanan tarkkuus. |
Paikallisen palvelimen varmenne on virheellinen. |
Tarkista palvelinvarmenteen viimeinen voimassaolopäivä ja varmista, että sen on myöntänyt luotettava varmenteen myöntäjä. |
Mittareita ei voi lähettää. |
Tarkista paikallisen verkon pääsy ulkoisiin pilvipalveluihin. |
/media/configdrive/hds-hakemistoa ei ole olemassa. |
Tarkista virtuaalipalvelimen ISO-asennusasetukset. Varmista, että ISO-tiedosto on olemassa, että se on määritetty liitettäväksi uudelleenkäynnistyksen yhteydessä ja että se liitetään onnistuneesti. |
Hybriditietoturvan vianetsintä
1 | Tarkista Control Hub mahdollisten hälytysten varalta ja korjaa sieltä löytämäsi kohteet. |
2 | Tarkista syslog-palvelimen tulos Hybrid Data Security -asennuksen toiminnan varalta. |
3 | Ottaa yhteyttä Ciscon tuki. |
Hybriditietoturvan tunnetut ongelmat
Jos suljet Hybrid Data Security -klusterin (poistamalla sen Control Hubissa tai sulkemalla kaikki solmut), menetät määritysten ISO-tiedostosi tai menetät pääsyn avainsäilötietokantaan, Webex-sovelluksesi käyttäjät eivät voi enää käyttää välilyöntejä ihmisten alla. luettelo, joka on luotu KMS:n avaimilla. Tämä koskee sekä koekäyttöä että tuotantokäyttöä. Meillä ei tällä hetkellä ole ratkaisua tai korjausta tähän ongelmaan, ja kehotamme sinua olemaan sulkematta HDS-palvelujasi, kun ne käsittelevät aktiivisia käyttäjätilejä.
Asiakas, jolla on olemassa ECDH-yhteys KMS-järjestelmään, ylläpitää tätä yhteyttä tietyn ajan (todennäköisesti tunnin). Kun käyttäjästä tulee Hybrid Data Security -kokeiluversion jäsen, käyttäjän asiakas jatkaa olemassa olevan ECDH-yhteyden käyttöä, kunnes se aikakatkaisee. Vaihtoehtoisesti käyttäjä voi kirjautua ulos ja takaisin sisään Webex App -sovellukseen päivittääkseen sijainnin, johon sovellus ottaa yhteyttä salausavaimia varten.
Sama käyttäytyminen tapahtuu, kun siirrät kokeilun organisaation tuotantoon. Kaikki muut kuin kokeilukäyttäjät, joilla on olemassa ECDH-yhteydet aikaisempiin tietoturvapalveluihin, jatkavat näiden palvelujen käyttöä, kunnes ECDH-yhteys neuvotellaan uudelleen (aikakatkaisun kautta tai kirjautumalla ulos ja takaisin sisään).
Luo PKCS12-tiedosto OpenSSL:n avulla
Ennen kuin aloitat
OpenSSL on yksi työkalu, jonka avulla PKCS12-tiedosto voidaan tehdä oikeaan muotoon ladattavaksi HDS-asennustyökaluun. On olemassa muitakin tapoja tehdä tämä, emmekä tue tai mainosta yhtä tapaa toisen edelle.
Jos päätät käyttää OpenSSL:ää, tarjoamme tämän menettelyn ohjeeksi, joka auttaa sinua luomaan tiedoston, joka täyttää X.509-varmennevaatimukset X.509 Varmennevaatimukset. Ymmärrä nämä vaatimukset ennen kuin jatkat.
Asenna OpenSSL tuettuun ympäristöön. Katso https://www.openssl.org ohjelmistoa ja dokumentaatiota varten.
Luo yksityinen avain.
Aloita tämä toimenpide, kun saat palvelinvarmenteen varmenteen myöntäjältä (CA).
1 | Kun saat palvelinvarmenteen CA:lta, tallenna se nimellä |
2 | Näytä varmenne tekstinä ja tarkista tiedot.
|
3 | Luo tekstieditorilla varmennepakettitiedosto nimeltä
|
4 | Luo .p12-tiedosto ystävällisellä nimellä
|
5 | Tarkista palvelimen varmenteen tiedot. |
Mitä tehdä seuraavaksi
Palata Täytä hybriditietoturvan edellytykset. Tulet käyttämään hdsnode.p12
tiedosto ja sille määrittämäsi salasana Luo konfigurointi-ISO HDS-isäntäkoneille.
Voit käyttää näitä tiedostoja uudelleen pyytääksesi uutta varmennetta, kun alkuperäinen varmenne vanhenee. |
Liikenne HDS-solmujen ja pilven välillä
Lähtevän mittaustietojen keräämisen liikenne
Hybrid Data Security -solmut lähettävät tiettyjä mittareita Webex-pilveen. Näitä ovat järjestelmän mittarit keon enimmäismäärälle, käytetylle keolle, suorittimen kuormitukselle ja säikeiden määrälle; synkronisten ja asynkronisten säikeiden metriikka; tiedot hälytyksistä, jotka koskevat salausyhteyksien kynnystä, latenssia tai pyyntöjonon pituutta; tietovaraston mittarit; ja salausyhteystiedot. Solmut lähettävät salattua avainmateriaalia kaistan ulkopuolisen (pyynnöstä erillisen) kanavan kautta.
Sisääntuleva liikenne
Hybriditietoturvasolmut vastaanottavat seuraavan tyyppistä saapuvaa liikennettä Webex-pilvestä:
Asiakkailta tulevat salauspyynnöt, jotka salauspalvelu reitittää
Päivitykset solmuohjelmistoon
Määritä Squid-välityspalvelimet hybriditietoturvaa varten
Websocket ei voi muodostaa yhteyttä Squid-välityspalvelimen kautta
Squid-välityspalvelimet, jotka tarkastavat HTTPS-liikennettä, voivat häiritä verkkopistorasian ( wss:
) yhteyksiä, joita Hybrid Data Security vaatii. Nämä osiot antavat ohjeita Squidin eri versioiden konfiguroinnista ohitettaviksi wss:
liikennettä palvelujen moitteettoman toiminnan varmistamiseksi.
Kalmari 4 ja 5
Lisää on_unsupported_protocol
ohje squid.conf
:
on_unsupported_protocol tunnel all
Kalmari 3.5.27
Testasimme onnistuneesti Hybrid Data Securityn seuraavilla säännöillä lisättynä squid.conf
. Nämä säännöt voivat muuttua, kun kehitämme ominaisuuksia ja päivitämme Webex-pilviä.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Uutta ja muuttunutta tietoa
Päiväys | Muutoksia tehty | ||
---|---|---|---|
20. lokakuuta 2023 |
| ||
07. elokuuta 2023 |
| ||
23. toukokuuta 2023 |
| ||
06. joulukuuta 2022 |
| ||
23. marraskuuta 2022 |
| ||
13. lokakuuta 2021 | Docker Desktopin on suoritettava asennusohjelma, ennen kuin voit asentaa HDS-solmuja. Katso Docker Desktop -vaatimukset. | ||
24. kesäkuuta 2021 | Huomioi, että voit käyttää yksityisen avaimen tiedostoa ja CSR:ää uudelleen pyytääksesi uutta varmennetta. Katso Luo PKCS12-tiedosto OpenSSL:n avulla yksityiskohtia varten. | ||
30. huhtikuuta 2021 | Paikallisen kiintolevytilan VM-vaatimus muutettiin 30 Gt:ksi. Katso Virtuaalipalvelimen vaatimukset yksityiskohtia varten. | ||
24. helmikuuta 2021 | HDS Setup Tool voi nyt toimia välityspalvelimen takana. Katso Luo konfigurointi-ISO HDS-isäntäkoneille yksityiskohtia varten. | ||
2. helmikuuta 2021 | HDS voi nyt toimia ilman asennettua ISO-tiedostoa. Katso (Valinnainen) Irrota ISO HDS-määrityksen jälkeen yksityiskohtia varten. | ||
11. tammikuuta 2021 | Lisätty tietoja HDS Setup -työkalusta ja välityspalvelimista Luo konfigurointi-ISO HDS-isäntäkoneille. | ||
13. lokakuuta 2020 | Päivitetty Lataa asennustiedostot. | ||
8. lokakuuta 2020 | Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa komennoilla FedRAMP-ympäristöille. | ||
14. elokuuta 2020 | Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa kirjautumisprosessin muutoksilla. | ||
5. elokuuta 2020 | Päivitetty Testaa hybriditietoturvaasi lokiviestien muutoksille. Päivitetty Virtuaalipalvelimen vaatimukset poistaaksesi enimmäismäärän isäntiä. | ||
16. kesäkuuta 2020 | Päivitetty Poista solmu Control Hub -käyttöliittymän muutoksille. | ||
4. kesäkuuta 2020 | Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille muutoksista lisäasetuksiin, jotka voit määrittää. | ||
29. toukokuuta 2020 | Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille näyttää, että voit myös käyttää TLS:ää SQL Server -tietokantojen, käyttöliittymämuutosten ja muiden selvennusten kanssa. | ||
5. toukokuuta 2020 | Päivitetty Virtuaalipalvelimen vaatimukset näyttää ESXi 6.5:n uusi vaatimus. | ||
21. huhtikuuta 2020 | Päivitetty Ulkoisen yhteyden vaatimukset uusien Americas CI:n isäntien kanssa. | ||
1. huhtikuuta 2020 | Päivitetty Ulkoisen yhteyden vaatimukset tiedot alueellisista CI-isännöistä. | ||
20. helmikuuta 2020 | Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille tietoja uudesta valinnaisesta Lisäasetukset-näytöstä HDS-asetustyökalussa. | ||
4. helmikuuta 2020 | Päivitetty Välityspalvelinvaatimukset. | ||
16. joulukuuta 2019 | Selvensi vaatimusta, jonka mukaan estetty ulkoinen DNS-resoluutiotila toimii Välityspalvelinvaatimukset. | ||
19. marraskuuta 2019 | Lisätty tietoja Estetystä ulkoisesta DNS-resoluutiotilasta seuraaviin osioihin: | ||
8. marraskuuta 2019 | Voit nyt määrittää solmun verkkoasetukset OVA:n käyttöönoton aikana eikä sen jälkeen. Päivitetty seuraavat osiot vastaavasti:
| ||
6. syyskuuta 2019 | SQL Server Standard lisätty Tietokantapalvelimen vaatimukset. | ||
29. elokuuta 2019 | Lisätty Määritä Squid-välityspalvelimet hybriditietoturvaa varten liite, jossa on ohjeet Squid-välityspalvelinten määrittämiseen niin, että ne jättävät verkkosocket-liikenteen huomioimatta oikean toiminnan varmistamiseksi. | ||
20. elokuuta 2019 | Lisätty ja päivitetty osiot, jotka kattavat välityspalvelintuen Hybrid Data Security -solmuviestinnälle Webex-pilveen. Jos haluat käyttää vain olemassa olevan käyttöönoton välityspalvelimen tukisisältöä, katso Välityspalvelintuki hybriditietoturvalle ja Webex Video Meshille ohjeartikkeli. | ||
13. kesäkuuta 2019 | Päivitetty Kokeilu tuotantotehtäväkulkuun ja muistutus synkronoida HdsTrialGroup ryhmäobjektin ennen kokeilun aloittamista, jos organisaatiosi käyttää hakemistosynkronointia. | ||
6. maaliskuuta 2019 |
| ||
28. helmikuuta 2019 |
| ||
26. helmikuuta 2019 |
| ||
24. tammikuuta 2019 |
| ||
5. marraskuuta 2018 |
| ||
19. lokakuuta 2018 |
| ||
31. heinäkuuta 2018 |
| ||
21. toukokuuta 2018 | Muutettu terminologia vastaamaan Cisco Sparkin uudelleenbrändäystä:
| ||
11. huhtikuuta 2018 |
| ||
22. helmikuuta 2018 |
| ||
15. helmikuuta 2018 |
| ||
18. tammikuuta 2018 |
| ||
2. marraskuuta 2017 |
| ||
18. elokuuta 2017 | Ensimmäinen julkaistu |
Hybridin tietoturvan yleiskatsaus
Tietoturva on ollut ensimmäisestä päivästä lähtien suunnittelun pääpaino Webex-sovellus. Tämän suojauksen kulmakivi on päästä päähän -sisällön salaus, jonka mahdollistaa Webex-sovellus asiakkaat, jotka ovat vuorovaikutuksessa Key Management Servicen (KMS) kanssa. KMS on vastuussa salausavaimien luomisesta ja hallinnasta, joita asiakkaat käyttävät viestien ja tiedostojen dynaamiseen salaukseen ja salauksen purkamiseen.
Oletuksena kaikki Webex-sovellus asiakkaat saavat päästä päähän -salauksen dynaamisilla avaimilla, jotka on tallennettu pilvi-KMS:ään Ciscon tietoturva-alueella. Hybrid Data Security siirtää KMS:n ja muut turvallisuuteen liittyvät toiminnot yrityksesi datakeskukseen, joten kukaan muu kuin sinä omistaa salatun sisältösi avaimet.
Security Realm -arkkitehtuuri
Webex-pilviarkkitehtuuri erottaa erityyppiset palvelut erillisiksi alueiksi tai luottamusalueiksi, kuten alla on kuvattu.
Ymmärtääksemme paremmin hybriditietoturvaa, katsotaanpa ensin tätä puhdasta pilvikoteloa, jossa Cisco tarjoaa kaikki toiminnot pilvialueillaan. Identiteettipalvelu, ainoa paikka, jossa käyttäjät voidaan suoraan korreloida henkilökohtaisten tietojensa, kuten sähköpostiosoitteensa kanssa, on loogisesti ja fyysisesti erillään tietokeskuksen B turvallisuusalueesta. Molemmat ovat puolestaan erillisiä alueesta, johon salattu sisältö lopulta tallennetaan. , palvelinkeskuksessa C.
Tässä kaaviossa asiakas on Webex-sovellus, joka toimii käyttäjän kannettavassa tietokoneessa ja on todennettu identiteettipalvelulla. Kun käyttäjä kirjoittaa tilaan lähetettävän viestin, seuraavat vaiheet tapahtuvat:
Asiakas muodostaa suojatun yhteyden avaintenhallintapalveluun (KMS) ja pyytää sitten avainta viestin salaamiseksi. Suojattu yhteys käyttää ECDH:ta, ja KMS salaa avaimen AES-256-pääavaimella.
Viesti salataan ennen kuin se lähtee asiakkaalta. Asiakas lähettää sen indeksointipalveluun, joka luo salattuja hakuhakemistoja auttamaan tulevia sisällönhakuja.
Salattu viesti lähetetään vaatimustenmukaisuuspalveluun vaatimustenmukaisuustarkastuksia varten.
Salattu viesti tallennetaan tallennusalueelle.
Kun otat käyttöön Hybrid Data Securityn, siirrät suojausalueen toiminnot (KMS, indeksointi ja vaatimustenmukaisuus) paikalliseen tietokeskukseesi. Muut Webexin muodostavat pilvipalvelut (mukaan lukien identiteetti ja sisällön tallennus) jäävät Ciscon toimialueille.
Yhteistyö muiden organisaatioiden kanssa
Organisaatiosi käyttäjät voivat säännöllisesti käyttää Webex-sovellusta tehdäkseen yhteistyötä muiden organisaatioiden ulkopuolisten osallistujien kanssa. Kun joku käyttäjistäsi pyytää avainta organisaatiosi omistamaan tilaan (koska sen on luonut yksi käyttäjistäsi), KMS lähettää avaimen asiakkaalle ECDH-suojatun kanavan kautta. Kuitenkin, kun toinen organisaatio omistaa tilan avaimen, KMS-järjestelmäsi reitittää pyynnön Webex-pilveen erillisen ECDH-kanavan kautta saadakseen avaimen asianmukaiselta KMS:ltä ja palauttaa sitten avaimen käyttäjällesi alkuperäisessä kanavassa.
Organisaatiossa A toimiva KMS-palvelu vahvistaa yhteydet muiden organisaatioiden KMS-järjestelmiin käyttämällä x.509 PKI -varmenteita. Katso Valmistele ympäristösi lisätietoja x.509-varmenteen luomisesta käytettäväksi Hybrid Data Security -asennuksesi kanssa.
Hybriditietoturvan käyttöönottoon liittyvät odotukset
Hybrid Data Security -käyttöönotto edellyttää merkittävää asiakkaiden sitoutumista ja tietoisuutta salausavainten omistamiseen liittyvistä riskeistä.
Hybriditietoturvan käyttöönottoa varten sinun on toimitettava:
Turvallinen datakeskus maassa, joka on a Cisco Webex Teams -suunnitelmien tuettu sijainti.
Kohdassa kuvatut laitteet, ohjelmistot ja verkkoyhteys Valmistele ympäristösi.
Joko Hybrid Data Securitylle luomasi ISO-kokoonpanon tai toimittamasi tietokannan täydellinen menetys johtaa avainten katoamiseen. Avaimen katoaminen estää käyttäjiä purkamasta avaruussisällön ja muiden salattujen tietojen salausta Webex Appissa. Jos näin tapahtuu, voit rakentaa uuden käyttöönoton, mutta vain uusi sisältö näkyy. Jotta et menetä tietoja, sinun on:
Hallitse tietokannan varmuuskopiointia ja palautusta sekä ISO-konfiguraatiota.
Ole valmis suorittamaan nopean katastrofipalautuksen, jos tapahtuu katastrofi, kuten tietokantalevyvika tai tietokeskuksen katastrofi.
Ei ole mekanismia avainten siirtämiseksi takaisin pilveen HDS-asennuksen jälkeen. |
Korkean tason asennusprosessi
Tämä asiakirja kattaa Hybrid Data Securityn käyttöönoton ja hallinnan:
Ota käyttöön hybriditietoturva– Tämä sisältää tarvittavan infrastruktuurin valmistelemisen ja Hybrid Data Security -ohjelmiston asentamisen, käyttöönoton testaamisen käyttäjien osajoukolla kokeilutilassa ja, kun testaus on valmis, siirtyminen tuotantoon. Tämä muuntaa koko organisaation käyttämään Hybrid Data Security -klusteriasi suojaustoimintoihin.
Asennus-, kokeilu- ja tuotantovaiheet käsitellään yksityiskohtaisesti seuraavassa kolmessa luvussa.
Ylläpidä Hybrid Data Security -käyttöönottoasi— Webex-pilvi tarjoaa automaattisesti jatkuvat päivitykset. IT-osastosi voi tarjota ykköstason tukea tälle käyttöönotolle ja Ciscon tukea tarvittaessa. Voit käyttää näytön ilmoituksia ja määrittää sähköpostipohjaisia hälytyksiä Control Hubissa.
Ymmärrä yleiset hälytykset, vianetsintävaiheet ja tunnetut ongelmat— Jos Hybrid Data Securityn käyttöönotossa tai käytössä ilmenee ongelmia, tämän oppaan viimeinen luku ja Tunnetut ongelmat -liite voivat auttaa sinua määrittämään ja korjaamaan ongelman.
Hybriditietoturvan käyttöönottomalli
Otat yrityksesi tietokeskuksessa käyttöön Hybrid Data Securityn yhtenä solmuklusterina erillisissä virtuaalikoneissa. Solmut kommunikoivat Webex-pilven kanssa suojattujen verkkoliitäntöjen ja suojatun HTTP:n kautta.
Asennusprosessin aikana annamme sinulle OVA-tiedoston, jonka avulla voit määrittää virtuaalilaitteiston toimittamillesi VM-koneille. Käytät HDS Setup Toolia luodaksesi mukautetun klusterin kokoonpanon ISO-tiedoston, joka liitetään kuhunkin solmuun. Hybrid Data Security -klusteri käyttää toimittamaasi Syslogd-palvelinta ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. (Määrität Syslogd- ja tietokantayhteystiedot HDS-asennustyökalussa.)
Solmujen vähimmäismäärä klusterissa on kaksi. Suosittelemme vähintään kolmea, ja sinulla voi olla jopa viisi. Useiden solmujen käyttö varmistaa, että palvelu ei keskeydy ohjelmistopäivityksen tai muun solmun ylläpitotoimenpiteen aikana. (Webex-pilvi päivittää vain yhden solmun kerrallaan.)
Kaikki klusterin solmut käyttävät samaa avaintietovarastoa ja kirjaavat toiminnan samaan lokipalvelimeen. Itse solmut ovat valtiottomia ja käsittelevät avainpyyntöjä kiertoteitse pilven ohjeiden mukaisesti.
Solmut aktivoituvat, kun rekisteröit ne Control Hubiin. Voit poistaa yksittäisen solmun käytöstä poistamalla sen rekisteröinnin ja rekisteröimällä sen myöhemmin uudelleen tarvittaessa.
Tuemme vain yhtä klusteria organisaatiota kohden.
Hybriditietoturvan kokeilutila
Kun olet määrittänyt Hybrid Data Security -asennuksen, kokeile sitä ensin pilottikäyttäjien kanssa. Kokeilujakson aikana nämä käyttäjät käyttävät paikallista Hybrid Data Security -toimialuettasi salausavaimiin ja muihin tietoturvapalveluihin. Muut käyttäjäsi jatkavat pilviturvallisuuden käyttöä.
Jos päätät olla jatkamatta käyttöönottoa kokeilun aikana ja poistaa palvelun käytöstä, pilottikäyttäjät ja kaikki käyttäjät, joiden kanssa he ovat olleet vuorovaikutuksessa luomalla uusia tiloja kokeilujakson aikana, menettävät pääsyn viesteihin ja sisältöön. He näkevät Webex-sovelluksessa "Tätä viestiä ei voi purkaa".
Jos olet vakuuttunut siitä, että käyttöönottosi toimii hyvin kokeilukäyttäjille ja olet valmis laajentamaan Hybrid Data Securityn koskemaan kaikkia käyttäjiäsi, siirrät käyttöönoton tuotantoon. Pilottikäyttäjät voivat edelleen käyttää avaimia, jotka olivat käytössä kokeilun aikana. Et kuitenkaan voi siirtyä edestakaisin tuotantotilan ja alkuperäisen kokeilun välillä. Jos sinun on deaktivoitava palvelu, esimerkiksi suorittaaksesi hätäpalautuksen, uudelleenaktivoinnin yhteydessä sinun on aloitettava uusi kokeiluversio ja määritettävä pilottikäyttäjät uudelle kokeilujaksolle ennen kuin siirryt takaisin tuotantotilaan. Se, voivatko käyttäjät säilyttää pääsyn tietoihin tässä vaiheessa, riippuu siitä, oletko onnistuneesti ylläpitänyt avaintietovaraston ja ISO-määritystiedoston varmuuskopioita klusterin hybriditietoturvasolmuille.
Standby Data Center katastrofipalautukseen
Käyttöönoton aikana määrität suojatun valmiustilan tietokeskuksen. Palvelinkeskuksen katastrofin sattuessa voit epäonnistua käyttöönoton manuaalisesti valmiustilassa olevaan datakeskukseen.
Aktiivisten ja valmiustilassa olevien datakeskusten tietokannat ovat synkronoituja keskenään, mikä minimoi vikasietoisuuden suorittamiseen kuluvan ajan. Valmiustilan palvelinkeskuksen ISO-tiedosto päivitetään lisäkonfiguraatioilla, jotka varmistavat, että solmut ovat rekisteröityneet organisaatioon, mutta eivät käsittele liikennettä. Näin ollen valmiustilan datakeskuksen solmut pysyvät aina ajan tasalla HDS-ohjelmiston uusimman version kanssa.
Aktiivisten Hybrid Data Security -solmujen on aina oltava samassa tietokeskuksessa aktiivisen tietokantapalvelimen kanssa. |
Määritä valmiustilassa oleva tietokeskus katastrofipalautusta varten
Määritä valmiustilassa olevan datakeskuksen ISO-tiedosto seuraavasti:
Ennen kuin aloitat
Valmiustilassa olevan datakeskuksen tulee peilata virtuaalikoneiden tuotantoympäristöä ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. Jos tuotannossa on esimerkiksi 3 VM:tä, jotka käyttävät HDS-solmuja, varmuuskopiointiympäristössä tulisi olla 3 virtuaalikonetta. (Katso Standby Data Center katastrofipalautukseen saadaksesi yleiskatsauksen tästä vikasietomallista.)
Varmista, että tietokannan synkronointi on käytössä aktiivisten ja passiivisten klusterisolmujen tietokannan välillä.
1 | Käynnistä HDS Setup -työkalu ja noudata kohdassa mainittuja vaiheita Luo konfigurointi-ISO HDS-isäntäkoneille.
| ||
2 | Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset | ||
3 | Käytössä Lisäasetukset sivulla, lisää alla oleva kokoonpano asettaaksesi solmun passiiviseen tilaan. Tässä tilassa solmu rekisteröidään organisaatioon ja yhdistetään pilveen, mutta se ei käsittele liikennettä.
| ||
4 | Viimeistele määritysprosessi ja tallenna ISO-tiedosto paikkaan, joka on helppo löytää. | ||
5 | Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmääsi. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää pääsalausavaimen tietokannan sisällölle. Rajoita pääsy vain niille Hybrid Data Security -järjestelmänvalvojille, joiden tulee tehdä kokoonpanomuutoksia. | ||
6 | Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia.. | ||
7 | Klikkaus Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.
| ||
8 | Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 15 minuuttiin. | ||
9 | Toista prosessi jokaiselle valmiustilan datakeskuksen solmulle.
|
Mitä tehdä seuraavaksi
Konfiguroinnin jälkeen passiveMode
ISO-tiedostossa ja tallentamalla sen, voit luoda ISO-tiedostosta toisen kopion ilman passiveMode
määritykset ja tallenna se turvalliseen paikkaan. Tämä kopio ISO-tiedostosta ilman passiveMode
konfiguroitu voi auttaa nopeassa vikasietoprosessissa katastrofipalautuksen aikana. Katso Katastrofipalautus valmiustilan tietokeskuksen avulla yksityiskohtaista vikasietoprosessia varten.
Välityspalvelimen tuki
Hybrid Data Security tukee eksplisiittisiä, läpinäkyviä tarkastuksia ja ei-tarkistavia välityspalvelimia. Voit sitoa nämä välityspalvelimet käyttöönottoasi, jotta voit suojata ja valvoa liikennettä yrityksestä pilveen. Voit käyttää alustan järjestelmänvalvojan käyttöliittymää solmuissa varmenteiden hallintaan ja yleisen yhteyden tilan tarkistamiseen sen jälkeen, kun olet määrittänyt solmujen välityspalvelimen.
Hybrid Data Security -solmut tukevat seuraavia välityspalvelinvaihtoehtoja:
Ei välityspalvelinta— Oletusasetus, jos et käytä HDS-solmun asetusten Trust Store & Proxy -kokoonpanoa välityspalvelimen integroimiseen. Varmennepäivitystä ei tarvita.
Läpinäkyvä ei-tarkistava välityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen tarkastamattoman välityspalvelimen kanssa. Varmennepäivitystä ei tarvita.
Läpinäkyvä tunnelointi tai tarkastusvälityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta. Solmuihin ei tarvita HTTP- tai HTTPS-kokoonpanomuutoksia. Solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne luottavat välityspalvelimeen. IT käyttää tyypillisesti tarkastusvälityspalvelimia valvoakseen käytäntöjä, joilla verkkosivustoilla voi vierailla ja minkä tyyppinen sisältö ei ole sallittua. Tämän tyyppinen välityspalvelin purkaa kaiken liikenteesi (jopa HTTPS:n).
Eksplisiittinen välityspalvelin— Eksplisiittisellä välityspalvelimella kerrot HDS-solmuille, mitä välityspalvelinta ja todennusmallia tulee käyttää. Jos haluat määrittää nimenomaisen välityspalvelimen, sinun on annettava seuraavat tiedot jokaiseen solmuun:
Välityspalvelimen IP/FQDN— Osoite, jota voidaan käyttää välityspalvelimen tavoittamiseen.
Välityspalvelimen portti— Portin numero, jota välityspalvelin käyttää välityspalvelimen liikenteen kuuntelemiseen.
Välityspalvelinprotokolla— Valitse seuraavista protokollista riippuen siitä, mitä välityspalvelimesi tukee:
HTTP – Tarkastelee ja hallitsee kaikkia asiakkaan lähettämiä pyyntöjä.
HTTPS – Tarjoaa kanavan palvelimelle. Asiakas vastaanottaa ja vahvistaa palvelimen varmenteen.
Tunnistautumistapa-Valitse seuraavista todennustyypeistä:
Ei mitään-Lisätunnistusta ei tarvita.
Käytettävissä, jos valitset välityspalvelimeksi HTTP- tai HTTPS-protokollaksi.
Perus—Käytetään HTTP-käyttäjäagentille antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.
Käytettävissä, jos valitset välityspalvelimeksi HTTP- tai HTTPS-protokollaksi.
Edellyttää käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.
Sulattaa-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Käyttää hajautustoimintoa käyttäjänimeen ja salasanaan ennen lähettämistä verkon kautta.
Saatavilla vain, jos valitset HTTPS-protokollaksi välityspalvelimeksi.
Edellyttää käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.
Esimerkki hybriditietoturvasolmuista ja välityspalvelimesta
Tämä kaavio näyttää esimerkkiyhteyden Hybrid Data Securityn, verkon ja välityspalvelimen välillä. Läpinäkyvän tarkastuksen ja HTTPS:n eksplisiittisen tarkastuksen välityspalvelimen valintoja varten sama juurivarmenne on asennettava välityspalvelimeen ja Hybrid Data Security -solmuihin.
Estetty ulkoinen DNS-resoluutiotila (eksplisiittiset välityspalvelimen määritykset)
Kun rekisteröit solmun tai tarkistat solmun välityspalvelimen kokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex-pilveen. Jos solmu ei voi tehdä kyselyä DNS-palvelimille, se siirtyy automaattisesti estetty ulkoinen DNS-selvitys -tilaan käyttöönotoissa, joissa on nimenomaiset välityspalvelinkokoonpanot, jotka eivät salli ulkoista DNS-selvitystä sisäisille asiakkaille. Tässä tilassa solmun rekisteröinti ja muut välityspalvelimen yhteystestit voivat jatkua.
Hybriditietoturvan vaatimukset
Cisco Webex -lisenssivaatimukset
Hybriditietoturvan käyttöönotto:
Sinulla on oltava Pro Pack Cisco Webex Control Hubille. (Katso https://www.cisco.com/go/pro-pack.)
Docker Desktop -vaatimukset
Ennen kuin asennat HDS-solmut, tarvitset Docker Desktopin asennusohjelman suorittamiseen. Docker päivitti äskettäin lisenssimallinsa. Organisaatiosi saattaa vaatia maksullisen Docker Desktopin tilauksen. Katso lisätietoja Dockerin blogiviestistä " Docker päivittää ja laajentaa tuotetilauksiamme".
X.509 Varmennevaatimukset
Varmenneketjun tulee täyttää seuraavat vaatimukset:
Vaatimus | Tiedot |
---|---|
| Oletuksena luotamme Mozilla-luettelon CA:ihin (poikkeuksena WoSign ja StartCom) https://wiki.mozilla.org/CA:IncludedCAs. |
| CN:n ei tarvitse olla tavoitettavissa tai olla elävä isäntä. Suosittelemme, että käytät nimeä, joka kuvastaa organisaatiotasi, esim. CN ei saa sisältää *-merkkiä (jokerimerkki). CN:ää käytetään Webex App -asiakkaiden Hybrid Data Security -solmujen vahvistamiseen. Kaikki klusterin Hybrid Data Security -solmut käyttävät samaa varmennetta. KMS tunnistaa itsensä käyttämällä CN-toimialuetta, ei mitään toimialuetta, joka on määritetty x.509v3 SAN -kentissä. Kun olet rekisteröinyt solmun tällä varmenteella, emme tue CN-verkkotunnuksen vaihtamista. Valitse toimialue, jota voidaan soveltaa sekä kokeilu- että tuotantokäyttöön. |
| KMS-ohjelmisto ei tue SHA1-allekirjoituksia muiden organisaatioiden KMS:ien välisten yhteyksien vahvistamiseksi. |
| Voit muuttaa varmenteen muotoa muuntimen, kuten OpenSSL:n, avulla. Sinun on syötettävä salasana, kun suoritat HDS Setup Tool -työkalun. |
KMS-ohjelmisto ei pakota avainten käyttöä tai laajennettuja avainten käyttöä koskevia rajoituksia. Jotkut varmenneviranomaiset vaativat, että jokaiseen varmenteeseen sovelletaan laajennettuja avainten käyttörajoituksia, kuten palvelimen todennus. Palvelimen todennusta tai muita asetuksia saa käyttää.
Virtuaalipalvelimen vaatimukset
Virtuaalisilla isännillä, jotka määrität klusterin hybriditietoturvasolmuiksi, on seuraavat vaatimukset:
Vähintään kaksi erillistä isäntäkonetta (3 suositeltavaa), jotka sijaitsevat samassa suojatussa datakeskuksessa
VMware ESXi 6.5 (tai uudempi) asennettu ja käynnissä.
Sinun on päivitettävä, jos sinulla on aiempi versio ESXi:stä.
Vähintään 4 vCPU:ta, 8 Gt keskusmuistia, 30 Gt paikallista kiintolevytilaa palvelinta kohden
Tietokantapalvelimen vaatimukset
Luo uusi tietokanta avainten säilytystä varten. Älä käytä oletustietokantaa. Kun HDS-sovellukset on asennettu, ne luovat tietokantaskeeman. |
Tietokantapalvelimelle on kaksi vaihtoehtoa. Vaatimukset kullekin ovat seuraavat:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Vähintään 8 vCPU:ta, 16 Gt:n keskusmuisti, riittävä kiintolevytila ja valvonta sen varmistamiseksi, että sitä ei ylitetä (2 TB suositellaan, jos haluat käyttää tietokantaa pitkään ilman tarvetta lisätä tallennustilaa) | Vähintään 8 vCPU:ta, 16 Gt:n keskusmuisti, riittävä kiintolevytila ja valvonta sen varmistamiseksi, että sitä ei ylitetä (2 TB suositellaan, jos haluat käyttää tietokantaa pitkään ilman tarvetta lisätä tallennustilaa) |
HDS-ohjelmisto asentaa tällä hetkellä seuraavat ajuriversiot tietokantapalvelimen kanssa kommunikointia varten:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC -ohjain 42.2.5 | SQL Server JDBC -ohjain 4.6 Tämä ohjainversio tukee SQL Server Always On ( Aina Failover Cluster -esiintymissä ja Aina käytettävissä ryhmät). |
Lisävaatimukset Windows-todennusta vastaan Microsoft SQL Serveriä vastaan
Jos haluat, että HDS-solmut käyttävät Windows-todennusta päästäkseen Microsoft SQL Serverin avainsäilötietokantaasi, tarvitset seuraavan kokoonpanon ympäristössäsi:
HDS-solmut, Active Directory -infrastruktuuri ja MS SQL Server on kaikki synkronoitava NTP:n kanssa.
HDS-solmuille antamallasi Windows-tilillä on oltava luku-/kirjoitusoikeus tietokantaan.
HDS-solmuille toimittamiesi DNS-palvelimien on kyettävä ratkaisemaan Key Distribution Center (KDC).
Voit rekisteröidä HDS-tietokannan ilmentymän Microsoft SQL Serverissäsi palvelun päänimeksi (SPN) Active Directoryssa. Katso Rekisteröi palvelun päänimi Kerberos-yhteyksille.
HDS-asennustyökalun, HDS-käynnistimen ja paikallisen KMS:n on käytettävä Windows-todennusta päästäkseen avainsäilötietokantaan. He käyttävät ISO-kokoonpanosi tietoja SPN:n muodostamiseen pyytäessään pääsyä Kerberos-todennusta käyttämällä.
Ulkoisen yhteyden vaatimukset
Määritä palomuurisi sallimaan seuraavat liitännät HDS-sovelluksille:
Sovellus | pöytäkirja | Portti | Ohje sovelluksesta | Kohde |
---|---|---|---|---|
Hybriditietoturvasolmut | TCP | 443 | Lähtevä HTTPS ja WSS |
|
HDS-asetustyökalu | TCP | 443 | Lähtevä HTTPS |
|
Hybriditietoturvasolmut toimivat verkkokäyttömuunnoksen (NAT) kanssa tai palomuurin takana, kunhan NAT tai palomuuri sallii vaaditut lähtevät yhteydet edellisen taulukon toimialueen kohteisiin. Hybrid Data Security -solmuihin tulevissa yhteyksissä ei saa näkyä portteja Internetistä. Palvelinkeskuksessasi asiakkailla on oltava pääsy Hybrid Data Security -solmuihin TCP-porteissa 443 ja 22 hallinnollisia tarkoituksia varten. |
Common Identity (CI) -isäntien URL-osoitteet ovat aluekohtaisia. Nämä ovat nykyiset CI-isännät:
Alue | Yhteisen identiteetin isäntä-URL-osoitteet |
---|---|
Amerikka |
|
Euroopan unioni |
|
Kanada |
|
Välityspalvelinvaatimukset
Tuemme virallisesti seuraavia välityspalvelinratkaisuja, jotka voidaan integroida Hybrid Data Security -solmuisi.
Läpinäkyvä välityspalvelin — Cisco Web Security Appliance (WSA).
Eksplisiittinen välityspalvelin – Squid.
Squid-välityspalvelimet, jotka tarkastavat HTTPS-liikennettä, voivat häiritä verkkopistorasian (wss:) yhteyksiä. Jos haluat kiertää tämän ongelman, katso Määritä Squid-välityspalvelimet hybriditietoturvaa varten.
Tuemme seuraavia todennustyyppiyhdistelmiä eksplisiittisille välityspalvelimille:
Ei todennusta HTTP:llä tai HTTPS:llä
Perustodennus HTTP- tai HTTPS-protokollalla
Tiivistetodennus vain HTTPS:llä
Jos haluat läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-välityspalvelimen, sinulla on oltava kopio välityspalvelimen juurivarmenteesta. Tämän oppaan käyttöönotto-ohjeet kertovat, kuinka kopio ladataan Hybrid Data Security -solmujen luotettaviin varastoihin.
HDS-solmuja isännöivä verkko on määritettävä pakottamaan lähtevä TCP-liikenne portissa 443 reitittämään välityspalvelimen kautta.
Verkkoliikennettä tarkastavat välityspalvelimet voivat häiritä verkkoliitäntäyhteyksiä. Jos tämä ongelma ilmenee, ohita (ei tarkasta) liikenne kohteeseen
wbx2.com
jaciscospark.com
ratkaisee ongelman.
Täytä hybriditietoturvan edellytykset
1 | Varmista, että Webex-organisaatiossasi on käytössä Pro Pack for Cisco Webex Control Hub, ja hanki tilin kirjautumistiedot, jolla on täydet organisaation järjestelmänvalvojan oikeudet. Ota yhteyttä Cisco-kumppaniisi tai asiakasvastaavaan saadaksesi apua tässä prosessissa. | ||
2 | Valitse HDS-asennuksellesi verkkotunnus (esim. | ||
3 | Valmistele identtiset virtuaaliset isännät, jotka määrität klusterin hybriditietoturvasolmuiksi. Tarvitset vähintään kaksi erillistä isäntäkonetta (3 suositeltua), jotka sijaitsevat samassa suojatussa datakeskuksessa ja jotka täyttävät vaatimukset Virtuaalipalvelimen vaatimukset. | ||
4 | Valmistele tietokantapalvelin, joka toimii klusterin avaintietovarastona Tietokantapalvelimen vaatimukset. Tietokantapalvelin on sijoitettava suojattuun tietokeskukseen virtuaalisten isäntien kanssa. | ||
5 | Nopeaa katastrofipalautusta varten määritä varmuuskopioympäristö eri tietokeskukseen. Varmuuskopiointiympäristö peilaa virtuaalikoneiden ja varmuuskopiotietokantapalvelimen tuotantoympäristöä. Jos tuotannossa on esimerkiksi 3 virtuaalikonetta, jotka käyttävät HDS-solmuja, varmuuskopiointiympäristössä tulisi olla 3 virtuaalikonetta. | ||
6 | Määritä syslog-isäntä keräämään lokit klusterin solmuista. Kerää sen verkko-osoite ja syslog-portti (oletus on UDP 514). | ||
7 | Luo suojattu varmuuskopiointikäytäntö Hybrid Data Security -solmuille, tietokantapalvelimelle ja loki-isännälle. Vähintään peruuttamattoman tietojen häviämisen estämiseksi sinun on varmuuskopioitava tietokanta ja konfiguraatio-ISO-tiedosto, joka on luotu Hybrid Data Security -solmuille.
Webex App -asiakkaat tallentavat avaimensa välimuistiin, joten käyttökatkos ei välttämättä ole heti havaittavissa, mutta se tulee ilmeiseksi ajan myötä. Vaikka tilapäisiä katkoksia on mahdotonta estää, ne ovat korjattavissa. Tietokannan tai määritysten ISO-tiedoston täydellinen menetys (ei varmuuskopioita saatavilla) johtaa kuitenkin asiakastietojen palauttamiseen. Hybrid Data Security -solmujen operaattoreiden odotetaan varmuuskopioivan säännöllisesti tietokantaa ja konfigurointi-ISO-tiedostoa ja olevan valmiita rakentamaan Hybrid Data Security -palvelinkeskus uudelleen, jos katastrofi tapahtuu. | ||
8 | Varmista, että palomuurikokoonpanosi mahdollistaa liitettävyyden hybriditietoturvasolmuille, kuten kohdassa on kuvattu Ulkoisen yhteyden vaatimukset. | ||
9 | Asenna Docker ( https://www.docker.com) missä tahansa paikallisessa koneessa, jossa on tuettu käyttöjärjestelmä (Microsoft Windows 10 Professional tai Enterprise 64-bittinen tai Mac OSX Yosemite 10.10.3 tai uudempi), jossa on verkkoselain, joka voi käyttää sitä osoitteessa http://127.0.0.1:8080. Käytät Docker-instanssia HDS-asennustyökalun lataamiseen ja suorittamiseen, joka muodostaa paikalliset määritystiedot kaikille Hybrid Data Security -solmuille. Organisaatiosi saattaa tarvita Docker Desktop -lisenssin. Katso Docker Desktop -vaatimukset Lisätietoja. HDS-asennustyökalun asentaminen ja käyttäminen edellyttää, että paikallisessa koneessa on kuvattu yhteys Ulkoisen yhteyden vaatimukset. | ||
10 | Jos yhdistät välityspalvelimen Hybrid Data Securityn kanssa, varmista, että se täyttää Välityspalvelinvaatimukset. | ||
11 | Jos organisaatiosi käyttää hakemistosynkronointia, luo Active Directoryyn ryhmä nimeltä
|
Hybridin tietoturvan käyttöönottotehtäväkulku
Ennen kuin aloitat
1 |
Lataa OVA-tiedosto paikalliselle koneellesi myöhempää käyttöä varten. | ||
2 | Luo konfigurointi-ISO HDS-isäntäkoneille Luo ISO-määritystiedosto Hybrid Data Security -solmuille HDS-asetustyökalulla. | ||
3 |
Luo virtuaalikone OVA-tiedostosta ja suorita alkuasetukset, kuten verkkoasetukset.
| ||
4 | Määritä Hybrid Data Security VM Kirjaudu sisään VM-konsoliin ja määritä kirjautumistiedot. Määritä solmun verkkoasetukset, jos et määrittänyt niitä OVA:n käyttöönoton yhteydessä. | ||
5 | Lataa ja asenna HDS Configuration ISO Määritä virtuaalinen kone ISO-määritystiedostosta, jonka loit HDS-asetustyökalulla. | ||
6 | Määritä HDS-solmu välityspalvelinintegraatiota varten Jos verkkoympäristö edellyttää välityspalvelimen määrittämistä, määritä solmussa käytettävä välityspalvelimen tyyppi ja lisää välityspalvelinvarmenne tarvittaessa luottamussäilöön. | ||
7 | Rekisteröi klusterin ensimmäinen solmu Rekisteröi VM Cisco Webex -pilveen hybriditietoturvasolmuksi. | ||
8 | Luo ja rekisteröi lisää solmuja Viimeistele klusterin asennus. | ||
9 | Suorita kokeilu ja siirry tuotantoon (seuraava kappale) Ennen kuin aloitat kokeilun, solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu. |
Lataa asennustiedostot
1 | Kirjaudu sisään https://admin.webex.comja napsauta sitten Palvelut. | ||||
2 | Etsi Hybridipalvelut-osiosta Hybriditietojen suojauskortti ja napsauta sitten Perustaa. Jos kortti on poistettu käytöstä tai et näe sitä, ota yhteyttä tilitiimiisi tai kumppaniorganisaatioosi. Anna heille tilinumerosi ja pyydä ottamaan organisaatiollesi käyttöön hybriditietoturva. Löydät tilinumeron napsauttamalla rataskuvaketta oikeassa yläkulmassa organisaatiosi nimen vieressä.
| ||||
3 | Valitse Ei osoittaaksesi, että et ole vielä määrittänyt solmua, ja napsauta sitten Seuraava. OVA-tiedoston lataus alkaa automaattisesti. Tallenna tiedosto johonkin paikkaan koneellasi.
| ||||
4 | Valinnaisesti napsauta Avaa Käyttöönottoopas tarkistaaksesi, onko tästä oppaasta saatavilla uudempi versio. |
Luo konfigurointi-ISO HDS-isäntäkoneille
Hybrid Data Security -asetusprosessi luo ISO-tiedoston. Määritä sitten hybriditietoturva-isäntäsi ISO:n avulla.
Ennen kuin aloitat
HDS-asennustyökalu toimii Docker-säiliönä paikallisessa koneessa. Voit käyttää sitä suorittamalla Dockerin kyseisessä koneessa. Asennusprosessi vaatii Control Hub -tilin kirjautumistiedot, jolla on täydet järjestelmänvalvojan oikeudet organisaatiollesi.
Jos HDS-asennustyökalu toimii välityspalvelimen takana ympäristössäsi, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien kautta, kun tuot Docker-säilön esiin vaiheessa. 5. Tässä taulukossa on joitain mahdollisia ympäristömuuttujia:
Kuvaus
Muuttuja
HTTP-välityspalvelin ilman todennusta
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-välityspalvelin ilman todennusta
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-välityspalvelin todennuksella
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-välityspalvelin todennuksella
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Luomasi ISO-määritystiedosto sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset tämän tiedoston viimeisimmän kopion aina, kun teet muutoksia, kuten seuraavat:
Tietokannan tunnistetiedot
Varmenteiden päivitykset
Muutoksia valtuutuskäytäntöön
Jos aiot salata tietokantayhteydet, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:lle.
1 | Kirjoita koneesi komentoriville ympäristöllesi sopiva komento: Tavallisissa ympäristöissä:
FedRAMP-ympäristöissä:
| ||||||||||||
2 | Kirjaudu Docker-kuvarekisteriin kirjoittamalla seuraava:
| ||||||||||||
3 | Kirjoita salasanakehotteeseen tämä hash:
| ||||||||||||
4 | Lataa uusin vakaa kuva ympäristöösi: Tavallisissa ympäristöissä:
FedRAMP-ympäristöissä:
| ||||||||||||
5 | Kun veto on valmis, anna ympäristöllesi sopiva komento:
Kun säilö on käynnissä, näet "Express-palvelin kuuntelee portissa 8080". | ||||||||||||
6 |
Siirry paikallispalvelimeen verkkoselaimella, Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää oikean ympäristön määrittämiseen kyseiselle tilille. Työkalu näyttää sitten tavallisen kirjautumiskehotteen. | ||||||||||||
7 | Anna pyydettäessä Control Hub -asiakasjärjestelmänvalvojan kirjautumistietosi ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn Hybrid Data Securityn tarvittaviin palveluihin. | ||||||||||||
8 | Napsauta Setup Toolin yleiskatsaussivulla Aloittaa. | ||||||||||||
9 | Käytössä ISO tuonti sivulla, sinulla on seuraavat vaihtoehdot:
| ||||||||||||
10 | Tarkista, että X.509-sertifikaattisi täyttää vaatimukset X.509 Varmennevaatimukset.
| ||||||||||||
11 | Anna tietokannan osoite ja tili HDS:lle päästäksesi avaintietosäilöön: | ||||||||||||
12 | Valitse TLS-tietokantayhteystila:
Kun lataat juurivarmenteen (tarvittaessa) ja napsautat Jatkaa, HDS Setup Tool testaa TLS-yhteyden tietokantapalvelimeen. Työkalu tarkistaa myös varmenteen allekirjoittajan ja isäntänimen, jos mahdollista. Jos testi epäonnistuu, työkalu näyttää ongelmaa kuvaavan virhesanoman. Voit valita, jätetäänkö virhe huomioimatta ja jatketaanko asennusta. (Yhteyseroista johtuen HDS-solmut saattavat pystyä muodostamaan TLS-yhteyden, vaikka HDS-asetustyökalu ei pystyisi testaamaan sitä.) | ||||||||||||
13 | Määritä Syslogd-palvelimesi Järjestelmälokit-sivulla: | ||||||||||||
14 | (Valinnainen) Voit muuttaa joidenkin tietokantayhteysparametrien oletusarvoja Lisäasetukset. Yleensä tämä parametri on ainoa, jota saatat haluta muuttaa:
| ||||||||||||
15 | Klikkaus Jatkaa päällä Palauta palvelutilien salasana näyttö. Palvelutilin salasanojen käyttöikä on yhdeksän kuukautta. Käytä tätä näyttöä, kun salasanasi ovat vanhenemassa tai haluat nollata ne mitätöimään aiemmat ISO-tiedostot. | ||||||||||||
16 | Klikkaus Lataa ISO-tiedosto. Tallenna tiedosto paikkaan, joka on helppo löytää. | ||||||||||||
17 | Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmääsi. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää pääsalausavaimen tietokannan sisällölle. Rajoita pääsy vain niille Hybrid Data Security -järjestelmänvalvojille, joiden tulee tehdä kokoonpanomuutoksia. | ||||||||||||
18 | Sulje Setup-työkalu kirjoittamalla |
Mitä tehdä seuraavaksi
Varmuuskopioi asetusten ISO-tiedosto. Tarvitset sitä luodaksesi lisää solmuja palautusta varten tai tehdäksesi kokoonpanomuutoksia. Jos menetät kaikki ISO-tiedoston kopiot, olet myös menettänyt pääavaimen. Avaimien palauttaminen PostgreSQL- tai Microsoft SQL Server -tietokannasta ei ole mahdollista.
Meillä ei ole koskaan kopiota tästä avaimesta, emmekä voi auttaa, jos kadotat sen. |
Asenna HDS Host OVA
1 | Käytä tietokoneesi VMware vSphere -asiakasohjelmaa kirjautuaksesi ESXi-virtuaaliisäntään. | ||||||
2 | Valitse Tiedosto > Ota käyttöön OVF-malli. | ||||||
3 | Määritä ohjatussa toiminnossa aiemmin lataamasi OVA-tiedoston sijainti ja napsauta sitten Seuraava . | ||||||
4 | Käytössä Valitse nimi ja kansio sivu, kirjoita a Virtuaalikoneen nimi solmulle (esimerkiksi "HDS_Node_1"), valitse sijainti, jossa virtuaalikoneen solmun käyttöönotto voi sijaita, ja napsauta sitten Seuraava . | ||||||
5 | Käytössä Valitse laskentaresurssi -sivulla, valitse kohdelaskentaresurssi ja napsauta sitten Seuraava . Vahvistustarkistus suoritetaan. Kun se on valmis, mallin tiedot tulevat näkyviin. | ||||||
6 | Tarkista mallin tiedot ja napsauta sitten Seuraava. | ||||||
7 | Jos sinua pyydetään valitsemaan resurssikokoonpano Kokoonpano sivu, napsauta 4 CPU ja napsauta sitten Seuraava . | ||||||
8 | Käytössä Valitse tallennustila sivu, napsauta Seuraava hyväksyä oletuslevymuoto ja VM-tallennuskäytäntö. | ||||||
9 | Käytössä Valitse verkot -sivulla, valitse verkkovaihtoehto merkintäluettelosta tarjotaksesi halutun yhteyden virtuaalikoneeseen. | ||||||
10 | Käytössä Mukauta mallia sivulla, määritä seuraavat verkkoasetukset:
Halutessasi voit ohittaa verkkoasetusten määrityksen ja noudattaa ohjeita Määritä Hybrid Data Security VM määrittääksesi asetukset solmukonsolista.
| ||||||
11 | Napsauta hiiren kakkospainikkeella solmun VM:tä ja valitse sitten .Hybrid Data Security -ohjelmisto asennetaan vieraana VM-isäntään. Olet nyt valmis kirjautumaan sisään konsoliin ja määrittämään solmun. Vianetsintävinkkejä Saatat kokea muutaman minuutin viiveen ennen kuin solmusäiliöt tulevat näkyviin. Siltapalomuuriviesti tulee näkyviin konsoliin ensimmäisen käynnistyksen aikana, jolloin et voi kirjautua sisään. |
Määritä Hybrid Data Security VM
Käytä tätä menettelyä kirjautuaksesi sisään Hybrid Data Security -solmun VM-konsoliin ensimmäistä kertaa ja määrittääksesi kirjautumistunnukset. Voit myös käyttää konsolia solmun verkkoasetusten määrittämiseen, jos et määrittänyt niitä OVA-asennuksen yhteydessä.
1 | Valitse VMware vSphere -asiakkaassa Hybrid Data Security -solmun VM ja valitse Konsoli -välilehti. Virtuaalinen kone käynnistyy ja näkyviin tulee kirjautumiskehote. Jos kirjautumiskehote ei tule näkyviin, paina Tulla sisään.
|
2 | Käytä seuraavaa oletusarvoista kirjautumistunnusta ja salasanaa kirjautuaksesi sisään ja muuttaaksesi tunnistetietoja: Koska kirjaudut sisään virtuaalikoneeseen ensimmäistä kertaa, sinun on vaihdettava järjestelmänvalvojan salasana. |
3 | Jos olet jo määrittänyt verkkoasetukset Asenna HDS Host OVA, ohita loput tästä toimenpiteestä. Muussa tapauksessa valitse päävalikosta Muokkaa kokoonpanoa vaihtoehto. |
4 | Aseta staattinen kokoonpano IP-osoitteen, peitteen, yhdyskäytävän ja DNS-tietojen kanssa. Solmullasi tulee olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta. |
5 | (Valinnainen) Muuta tarvittaessa isäntänimeä, toimialuetta tai NTP-palvelimia vastaamaan verkkokäytäntöäsi. Sinun ei tarvitse asettaa toimialuetta vastaamaan toimialuetta, jota käytit X.509-varmenteen hankkimiseen. |
6 | Tallenna verkkoasetukset ja käynnistä virtuaalikone uudelleen, jotta muutokset tulevat voimaan. |
Lataa ja asenna HDS Configuration ISO
Ennen kuin aloitat
Koska ISO-tiedosto sisältää pääavaimen, se tulisi paljastaa vain "tarve tietää" -periaatteella, jotta Hybrid Data Security -virtuaalikoneet ja muut järjestelmänvalvojat voivat käyttää sitä. Varmista, että vain kyseiset järjestelmänvalvojat pääsevät tietosäilöön.
1 | Lataa ISO-tiedosto tietokoneeltasi: |
2 | Asenna ISO-tiedosto: |
Mitä tehdä seuraavaksi
Jos IT-käytäntösi vaatii, voit halutessasi irrottaa ISO-tiedoston sen jälkeen, kun kaikki solmut ovat huomanneet kokoonpanomuutokset. Katso (Valinnainen) Irrota ISO HDS-määrityksen jälkeen yksityiskohtia varten.
Määritä HDS-solmu välityspalvelinintegraatiota varten
Jos verkkoympäristö vaatii välityspalvelimen, määritä tämän toimenpiteen avulla, minkä tyyppiseen välityspalvelimeen haluat integroida Hybriditietoturva. Jos valitset läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-välityspalvelimen, voit käyttää solmun käyttöliittymää juurivarmenteen lataamiseen ja asentamiseen. Voit myös tarkistaa välityspalvelinyhteyden käyttöliittymästä ja tehdä mahdollisten ongelmien vianmäärityksen.
Ennen kuin aloitat
Katso Välityspalvelimen tuki saadaksesi yleiskatsauksen tuetuista välityspalvelinvaihtoehdoista.
1 | Anna HDS-solmun asetusten URL-osoite |
2 | Mene Trust Store ja välityspalvelinja valitse sitten vaihtoehto:
Noudata seuraavia ohjeita läpinäkyvän tarkastavan välityspalvelimen, HTTP-sellaisen välityspalvelimen, jossa on perustodennus, tai HTTPS-eksplisiittisen välityspalvelimen kohdalla. |
3 | Klikkaus Lataa juurivarmenne tai loppukokonaisuuden varmenneja valitse sitten välityspalvelimen juurivarmenne. Varmenne on ladattu, mutta sitä ei ole vielä asennettu, koska sinun on käynnistettävä solmu uudelleen varmenteen asentamiseksi. Napsauta varmenteen myöntäjän nimen vieressä olevaa nuolimerkkiä saadaksesi lisätietoja tai napsauta Poistaa jos teit virheen ja haluat ladata tiedoston uudelleen. |
4 | Klikkaus Tarkista välityspalvelinyhteys solmun ja välityspalvelimen välisen verkkoyhteyden testaamiseen. Jos yhteystesti epäonnistuu, näet virheilmoituksen, joka näyttää syyn ja kuinka voit korjata ongelman. Jos näet viestin, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen. Tämä ehto on odotettavissa monissa eksplisiittisissä välityspalvelinkokoonpanoissa. Voit jatkaa asennusta, ja solmu toimii estetty ulkoinen DNS-resoluutio -tilassa. Jos tämä on mielestäsi virhe, suorita nämä vaiheet ja katso sitten Poista Estetty ulkoinen DNS-resoluutiotila käytöstä. |
5 | Kun yhteystesti on läpäissyt, jos eksplisiittiselle välityspalvelimelle on asetettu vain https, käännä kytkin päälle Reititä kaikki portin 443/444 https-pyynnöt tästä solmusta nimenomaisen välityspalvelimen kautta. Tämän asetuksen voimaantulo kestää 15 sekuntia. |
6 | Klikkaus Asenna kaikki sertifikaatit Trust Storeen (näkyy eksplisiittiselle HTTPS-välityspalvelimelle tai läpinäkyvälle tarkastavalle välityspalvelimelle) tai Käynnistä uudelleen (näkyy HTTP-välityspalvelimen kohdalla), lue kehote ja napsauta sitten Asentaa jos olet valmis. Solmu käynnistyy uudelleen muutaman minuutin sisällä. |
7 | Kun solmu on käynnistynyt uudelleen, kirjaudu tarvittaessa uudelleen sisään ja avaa sitten Yleiskatsaus sivu tarkistaaksesi yhteystarkistukset varmistaaksesi, että ne ovat kaikki vihreässä tilassa. Välityspalvelinyhteyden tarkistus testaa vain webex.com-aliverkkotunnuksen. Jos yhteysongelmia ilmenee, yleinen ongelma on, että jotkin asennusohjeissa luetellut pilvialueet estetään välityspalvelimessa. |
Rekisteröi klusterin ensimmäinen solmu
Kun rekisteröit ensimmäisen solmun, luot klusterin, johon solmu on määritetty. Klusteri sisältää yhden tai useamman solmun, joka on otettu käyttöön redundanssin aikaansaamiseksi.
Ennen kuin aloitat
Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.
Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen sivustolle admin.webex.com.
1 | Kirjaudu sisään https://admin.webex.com. |
2 | Valitse näytön vasemman reunan valikosta Palvelut. |
3 | Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta Perustaa. Register Hybrid Data Security Node -sivu tulee näkyviin.
|
4 | Valitse Joo osoittaaksesi, että olet määrittänyt solmun ja olet valmis rekisteröimään sen, ja napsauta sitten Seuraava. |
5 | Kirjoita ensimmäiseen kenttään nimi klusterille, jolle haluat liittää hybriditietoturvasolmun. Suosittelemme, että nimeät klusterin sen mukaan, missä klusterin solmut sijaitsevat maantieteellisesti. Esimerkkejä: "San Francisco" tai "New York" tai "Dallas" |
6 | Kirjoita toiseen kenttään solmusi sisäinen IP-osoite tai täysin hyväksytty verkkotunnuksen nimi (FQDN) ja napsauta Seuraava. Tämän IP-osoitteen tai FQDN:n tulee vastata IP-osoitetta tai isäntänimeä ja verkkotunnusta, jossa käytit Määritä Hybrid Data Security VM. Näkyviin tulee viesti, joka ilmaisee, että voit rekisteröidä solmusi Webexiin.
|
7 | Klikkaus Siirry Nodeen. |
8 | Klikkaus Jatkaa varoitusviestissä. Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, Salli pääsy hybriditietoturvasolmuun -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa Webex-organisaatiollesi luvan käyttää solmuasi.
|
9 | Tarkista Salli pääsy hybriditietoturvasolmuun valintaruutu ja napsauta sitten Jatkaa. Tilisi on vahvistettu ja "Registration Complete" -viesti osoittaa, että solmu on nyt rekisteröity Webex-pilveen.
|
10 | Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle. Käytössä Hybriditietoturva -sivulla uusi klusteri, joka sisältää rekisteröimäsi solmun, tulee näkyviin. Solmu lataa automaattisesti uusimman ohjelmiston pilvestä.
|
Luo ja rekisteröi lisää solmuja
Tällä hetkellä varmuuskopioidut VM:t, joissa loit Täytä hybriditietoturvan edellytykset ovat valmiustilassa olevia isäntiä, joita käytetään vain katastrofipalautuksen yhteydessä; niitä ei ole rekisteröity järjestelmään ennen sitä. Katso lisätietoja Katastrofipalautus valmiustilan tietokeskuksen avulla. |
Ennen kuin aloitat
Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.
Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen sivustolle admin.webex.com.
1 | Luo uusi virtuaalikone OVA:sta toistamalla vaiheet Asenna HDS Host OVA. |
2 | Määritä uuden virtuaalikoneen alkuperäinen määritys toistamalla vaiheet Määritä Hybrid Data Security VM. |
3 | Toista vaiheet uudessa virtuaalikoneessa Lataa ja asenna HDS Configuration ISO. |
4 | Jos olet määrittämässä välityspalvelinta käyttöönotolle, toista vaiheet Määritä HDS-solmu välityspalvelinintegraatiota varten tarpeen mukaan uutta solmua varten. |
5 | Rekisteröi solmu. Solmusi on rekisteröity. Huomaa, että ennen kuin aloitat kokeilun, solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.
|
Mitä tehdä seuraavaksi
Kokeilu tuotantotehtäväkulkuun
Kun olet määrittänyt Hybrid Data Security -klusterin, voit aloittaa pilotin, lisätä siihen käyttäjiä ja alkaa käyttää sitä käyttöönoton testaamiseen ja tarkistamiseen valmistautuessasi tuotantoon siirtymiseen.
Ennen kuin aloitat
1 | Synkronoi tarvittaessa Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava |
2 |
Aloita kokeilu. Ennen kuin teet tämän tehtävän, solmusi luovat hälytyksen, joka ilmoittaa, että palvelua ei ole vielä aktivoitu. |
3 |
Tarkista, että avainpyynnöt välitetään Hybrid Data Security -käyttöönottoasi. |
4 | Tarkkaile hybriditietoturvan kuntoa Tarkista tila ja määritä sähköposti-ilmoitukset hälytyksiä varten. |
5 | |
6 | Suorita kokeiluvaihe loppuun jollakin seuraavista toimista: |
Aktivoi kokeiluversio
Ennen kuin aloitat
Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava HdsTrialGroup
ryhmäobjekti synkronoitavaksi pilveen ennen kuin voit aloittaa kokeilun organisaatiossasi. Katso ohjeet kohdasta Käyttöönottoopas Cisco Directory Connectorille.
1 | Kirjaudu sisään https://admin.webex.comja valitse sitten Palvelut. |
2 | Napsauta Hybriditietoturva-kohdassa asetukset. |
3 | Napsauta Palvelun tila -osiossa Aloita kokeilujakso. Palvelun tila vaihtuu kokeilutilaan.
|
4 | Klikkaus Lisää käyttäjiä ja syötä yhden tai useamman käyttäjän sähköpostiosoite, jota haluat pilotoida käyttämällä Hybrid Data Security -solmuja salaus- ja indeksointipalveluissa. (Jos organisaatiosi käyttää hakemistosynkronointia, hallinnoi kokeiluryhmää Active Directoryn avulla, |
Testaa hybriditietoturvaasi
Ennen kuin aloitat
Määritä Hybrid Data Security -käyttöönotto.
Aktivoi kokeilu ja lisää useita kokeilukäyttäjiä.
Varmista, että sinulla on pääsy syslogiin varmistaaksesi, että avainpyynnöt välitetään Hybrid Data Security -asennukseesi.
1 | Tietyn tilan avaimet asettaa tilan luoja. Kirjaudu Webex-sovellukseen yhtenä pilottikäyttäjistä ja luo sitten tila ja kutsu vähintään yksi pilottikäyttäjä ja yksi ei-pilottikäyttäjä.
| ||
2 | Lähetä viestejä uuteen tilaan. | ||
3 | Tarkista syslog-tuloste varmistaaksesi, että avainpyynnöt välitetään Hybrid Data Security -käyttöönottoasi. |
Tarkkaile hybriditietoturvan kuntoa
1 | Sisään Ohjauskeskus, valitse Palvelut näytön vasemmassa reunassa olevasta valikosta. |
2 | Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta asetukset. Hybriditietojen suojausasetukset -sivu tulee näkyviin.
|
3 | Kirjoita Sähköposti-ilmoitukset-osioon yksi tai useampi sähköpostiosoite pilkuilla erotettuna ja paina Tulla sisään. |
Lisää tai poista käyttäjiä kokeiluversiostasi
Jos poistat käyttäjän kokeilujaksosta, käyttäjän asiakasohjelma pyytää avaimia ja avainten luomista pilvi-KMS:stä KMS:n sijaan. Jos asiakas tarvitsee avaimen, joka on tallennettu KMS:ään, pilvi-KMS noutaa sen käyttäjän puolesta.
Jos organisaatiosi käyttää hakemistosynkronointia, käytä Active Directorya (tämän toimenpiteen sijaan) kokeiluryhmän hallintaan, HdsTrialGroup
; voit tarkastella ryhmän jäseniä Control Hubissa, mutta et voi lisätä tai poistaa niitä.
1 | Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut. |
2 | Napsauta Hybriditietoturva-kohdassa asetukset. |
3 | Napsauta Palvelun tila -alueen Kokeilutila-osiossa Lisää käyttäjiätai napsauta katsoa ja muokata poistaaksesi käyttäjät kokeilusta. |
4 | Kirjoita yhden tai useamman lisättävän käyttäjän sähköpostiosoite tai napsauta X käyttäjätunnuksella poistaaksesi käyttäjän kokeilusta. Napsauta sitten Tallentaa. |
Siirry kokeilusta tuotantoon
1 | Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut. |
2 | Napsauta Hybriditietoturva-kohdassa asetukset. |
3 | Napsauta Palvelun tila -osiossa Siirry tuotantoon. |
4 | Vahvista, että haluat siirtää kaikki käyttäjäsi tuotantoon. |
Lopeta kokeilu siirtymättä tuotantoon
1 | Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut. |
2 | Napsauta Hybriditietoturva-kohdassa asetukset. |
3 | Napsauta Poista käytöstä -osiossa Poista käytöstä. |
4 | Vahvista, että haluat poistaa palvelun käytöstä, ja lopeta kokeilu. |
Hallitse HDS-käyttöönottoa
Käytä tässä kuvattuja tehtäviä Hybrid Data Security -asennuksen hallintaan.
Aseta klusterin päivitysaikataulu
Päivitysaikataulun määrittäminen:
1 | Kirjaudu sisään Ohjauskeskus. |
2 | Valitse Yleiskatsaus-sivun Hybridipalvelut-kohdassa Hybriditietoturva. |
3 | Valitse Hybriditietoturvaresurssit-sivulla klusteri. |
4 | Valitse oikealla olevan Yleiskatsaus-paneelin Cluster Settings -kohdassa klusterin nimi. |
5 | Valitse Asetukset-sivun Päivitys-kohdasta aika ja aikavyöhyke päivitysaikataululle. Huomautus: Aikavyöhykkeen alla näytetään seuraavan saatavilla olevan päivityksen päivämäärä ja aika. Voit tarvittaessa siirtää päivityksen seuraavalle päivälle napsauttamalla Lykätä. |
Muuta solmun kokoonpanoa
x.509-varmenteiden muuttaminen vanhenemisen tai muiden syiden vuoksi.
Emme tue varmenteen CN-verkkotunnuksen vaihtamista. Verkkotunnuksen on vastattava klusterin rekisteröintiin käytettyä alkuperäistä verkkotunnusta.
Tietokannan asetusten päivittäminen PostgreSQL- tai Microsoft SQL Server -tietokannan kopioksi muuttamiseksi.
Emme tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin tai päinvastoin. Jos haluat vaihtaa tietokantaympäristöä, aloita uusi Hybrid Data Security -käyttöönotto.
Uuden kokoonpanon luominen uuden datakeskuksen valmistelemiseksi.
Lisäksi Hybrid Data Security käyttää turvallisuussyistä palvelutilin salasanoja, joiden käyttöikä on yhdeksän kuukautta. Kun HDS Setup -työkalu on luonut nämä salasanat, otat ne käyttöön jokaisessa HDS-solmussa ISO-määritystiedostossa. Kun organisaatiosi salasanat ovat vanhenemassa, saat Webex-tiimin ilmoituksen konetilin salasanan nollaamisesta. (Sähköposti sisältää tekstin "Käytä konetilin sovellusliittymää salasanan päivittämiseen.") Jos salasanasi eivät ole vielä vanhentuneet, työkalu tarjoaa kaksi vaihtoehtoa:
Pehmeä nollaus-Vanha ja uusi salasana ovat molemmat voimassa jopa 10 päivää. Käytä tätä ajanjaksoa korvataksesi solmujen ISO-tiedoston asteittain.
Laitekäynnistys-Vanhat salasanat lakkaavat toimimasta välittömästi.
Jos salasanasi vanhenevat ilman nollausta, se vaikuttaa HDS-palveluusi ja vaatii välitöntä hard resetin ja ISO-tiedoston vaihtamisen kaikissa solmuissa.
Käytä tätä menettelyä luodaksesi uuden ISO-määritystiedoston ja käyttääksesi sitä klusteriisi.
Ennen kuin aloitat
HDS-asennustyökalu toimii Docker-säiliönä paikallisessa koneessa. Voit käyttää sitä suorittamalla Dockerin kyseisessä koneessa. Asennusprosessi vaatii Control Hub -tilin kirjautumistiedot, jolla on täydet järjestelmänvalvojan oikeudet organisaatiollesi.
Jos HDS-asennustyökalu toimii välityspalvelimen takana ympäristössäsi, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien kautta, kun avaat Docker-säilön 1.e. Tässä taulukossa on joitain mahdollisia ympäristömuuttujia:
Kuvaus
Muuttuja
HTTP-välityspalvelin ilman todennusta
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-välityspalvelin ilman todennusta
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-välityspalvelin todennuksella
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-välityspalvelin todennuksella
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Tarvitset kopion nykyisestä ISO-määritystiedostosta uuden kokoonpanon luomiseksi. ISO sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset ISO-tunnuksen, kun teet muutoksia kokoonpanoon, mukaan lukien tietokannan tunnistetiedot, sertifikaattien päivitykset tai valtuutuskäytäntöjen muutokset.
1 | Suorita HDS Setup Tool käyttämällä Dockeria paikallisessa koneessa. |
2 | Jos käytössäsi on vain yksi HDS-solmu, luo uusi Hybrid Data Security -solmun VM ja rekisteröi se käyttämällä uutta ISO-määritystiedostoa. Katso tarkemmat ohjeet Luo ja rekisteröi lisää solmuja. |
3 | Asenna ISO-tiedosto olemassa oleville HDS-solmuille, jotka käyttävät vanhempaa määritystiedostoa. Suorita seuraava toimenpide jokaiselle solmulle vuorotellen päivittämällä jokainen solmu ennen kuin sammutat seuraavan solmun: |
4 | Toista vaihe 3 korvataksesi kokoonpanon jokaisessa jäljellä olevassa solmussa, joka käyttää vanhaa kokoonpanoa. |
Poista Estetty ulkoinen DNS-resoluutiotila käytöstä
Kun rekisteröit solmun tai tarkistat solmun välityspalvelimen kokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex-pilveen. Jos solmun DNS-palvelin ei pysty ratkaisemaan julkisia DNS-nimiä, solmu siirtyy automaattisesti Estetty ulkoinen DNS-ratkaisu -tilaan.
Jos solmusi pystyvät ratkaisemaan julkiset DNS-nimet sisäisten DNS-palvelimien kautta, voit poistaa tämän tilan käytöstä suorittamalla välityspalvelinyhteystestin uudelleen jokaisessa solmussa.
Ennen kuin aloitat
1 | Avaa verkkoselaimessa Hybrid Data Security -solmun käyttöliittymä (IP-osoite/asetus esim. https://192.0.2.0/setup), anna solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään. |
2 | Mene Yleiskatsaus (oletussivu). Kun käytössä, Estetty ulkoinen DNS-resoluutio on asetettu Joo. |
3 | Siirry kohtaan Trust Store ja välityspalvelin sivu. |
4 | Klikkaus Tarkista välityspalvelinyhteys. Jos näet viestin, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen ja pysyy tässä tilassa. Muussa tapauksessa käynnistät solmun uudelleen ja palaat takaisin Yleiskatsaus -sivulla Estetty ulkoinen DNS-resoluutio tulee asettaa arvoon ei. |
Mitä tehdä seuraavaksi
Poista solmu
1 | Käytä tietokoneesi VMware vSphere -asiakasta kirjautuaksesi ESXi-virtuaaliisäntään ja sammuttaaksesi virtuaalikoneen. |
2 | Poista solmu: |
3 | Poista VM vSphere-asiakkaassa. (Napsauta VM:tä hiiren kakkospainikkeella vasemmassa navigointiruudussa ja napsauta Poistaa.) Jos et poista virtuaalikonetta, muista irrottaa määritysten ISO-tiedosto. Ilman ISO-tiedostoa et voi käyttää suojaustietojasi virtuaalikoneella. |
Katastrofipalautus valmiustilan tietokeskuksen avulla
Hybrid Data Security -klusterisi kriittisin palvelu on viestien ja muun Webex-pilveen tallennetun sisällön salaamiseen käytettävien avaimien luominen ja tallennus. Jokaiselle organisaation käyttäjälle, joka on määritetty hybriditietoturvaan, uudet avaintenluontipyynnöt reititetään klusteriin. Klusteri on myös vastuussa luomiensa avainten palauttamisesta kaikille käyttäjille, joilla on oikeus noutaa ne, esimerkiksi keskustelutilan jäsenille.
Koska klusteri suorittaa näiden avainten kriittisen toiminnon, on välttämätöntä, että klusteri pysyy käynnissä ja että asianmukaiset varmuuskopiot ylläpidetään. Hybrid Data Security -tietokannan tai skeemaa varten käytetyn konfiguraatio-ISO:n katoaminen johtaa asiakkaan sisällön PALAUTTAMATTOMAN MENETTYMISEEN. Seuraavat käytännöt ovat pakollisia tällaisten menetysten estämiseksi:
Jos katastrofin vuoksi HDS-asennus ei ole käytettävissä ensisijaisessa datakeskuksessa, noudata näitä ohjeita ja siirry manuaalisesti valmiustilan datakeskukseen.
1 | Käynnistä HDS Setup -työkalu ja noudata kohdassa mainittuja vaiheita Luo konfigurointi-ISO HDS-isäntäkoneille. | ||
2 | Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset | ||
3 | Käytössä Lisäasetukset -sivulle, lisää kokoonpano alla tai poista
| ||
4 | Viimeistele määritysprosessi ja tallenna ISO-tiedosto paikkaan, joka on helppo löytää. | ||
5 | Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmääsi. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää pääsalausavaimen tietokannan sisällölle. Rajoita pääsy vain niille Hybrid Data Security -järjestelmänvalvojille, joiden tulee tehdä kokoonpanomuutoksia. | ||
6 | Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia.. | ||
7 | Klikkaus Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.
| ||
8 | Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 15 minuuttiin. | ||
9 | Toista prosessi jokaiselle valmiustilan datakeskuksen solmulle.
|
Mitä tehdä seuraavaksi
(Valinnainen) Irrota ISO HDS-määrityksen jälkeen
HDS-standardikokoonpano toimii ISO-asennuksella. Jotkut asiakkaat eivät kuitenkaan halua jättää ISO-tiedostoja jatkuvasti asennettavaksi. Voit irrottaa ISO-tiedoston, kun kaikki HDS-solmut ovat ottaneet uuden kokoonpanon.
Käytät edelleen ISO-tiedostoja konfiguraatiomuutosten tekemiseen. Kun luot uuden ISO:n tai päivität ISO:n Setup Toolin kautta, päivitetty ISO on asennettava kaikkiin HDS-solmuihin. Kun kaikki solmut ovat havainneet konfiguraatiomuutokset, voit irrottaa ISO:n uudelleen tällä menettelyllä.
Ennen kuin aloitat
Päivitä kaikki HDS-solmut versioon 2021.01.22.4720 tai uudempaan.
1 | Sulje yksi HDS-solmuistasi. |
2 | Valitse vCenter Server Appliancessa HDS-solmu. |
3 | Valita Datastore ISO-tiedosto. ja poista valinta |
4 | Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 20 minuuttiin. |
5 | Toista jokaiselle HDS-solmulle vuorotellen. |
Näytä hälytykset ja vianetsintä
Hybrid Data Security -asennuksen katsotaan olevan käyttökelvoton, jos kaikkiin klusterin solmuihin ei saada yhteyttä tai klusteri toimii niin hitaasti, että se pyytää aikakatkaisua. Jos käyttäjät eivät saa yhteyttä hybriditietoturvaklusteriisi, he kokevat seuraavat oireet:
Uusia tiloja ei voi luoda (ei voi luoda uusia avaimia)
Viestien ja välilyöntien otsikoiden salauksen purkaminen epäonnistuu:
Uusia käyttäjiä lisätty välilyöntiin (avaimia ei voi noutaa)
Olemassa olevat käyttäjät tilassa, jotka käyttävät uutta asiakasohjelmaa (avaimia ei voi noutaa)
Tilassa olevat käyttäjät jatkavat toimintaansa niin kauan kuin heidän asiakkaillaan on salausavainten välimuisti
On tärkeää, että valvot Hybrid Data Security -klusteriasi oikein ja käsittelet kaikki hälytykset välittömästi, jotta vältyt palvelun keskeytymiseltä.
Hälytykset
Jos Hybrid Data Security -asetuksissa on ongelma, Control Hub näyttää hälytyksiä organisaation järjestelmänvalvojalle ja lähettää sähköpostit määritettyyn sähköpostiosoitteeseen. Hälytykset kattavat monia yleisiä skenaarioita.
Varoitus | Toiminta |
---|---|
Paikallisen tietokannan käyttövirhe. |
Tarkista tietokantavirheiden tai paikallisverkko-ongelmien varalta. |
Paikallinen tietokantayhteys epäonnistui. |
Tarkista, että tietokantapalvelin on käytettävissä ja että solmun määrityksessä käytettiin oikeita palvelutilin tunnistetietoja. |
Pilvipalvelun käyttövirhe. |
Tarkista, että solmut voivat käyttää Webex-palvelimia kohdassa määritetyllä tavalla Ulkoisen yhteyden vaatimukset. |
Pilvipalvelurekisteröinnin uusiminen. |
Rekisteröityminen pilvipalveluihin lopetettiin. Rekisteröinnin uusiminen on käynnissä. |
Pilvipalvelun rekisteröinti putosi. |
Rekisteröityminen pilvipalveluihin on lopetettu. Palvelu suljetaan. |
Palvelua ei ole vielä aktivoitu. |
Aktivoi kokeilu tai lopeta kokeilun siirtäminen tuotantoon. |
Määritetty toimialue ei vastaa palvelimen varmennetta. |
Varmista, että palvelinvarmenne vastaa määritettyä palvelun aktivointitoimialuetta. Todennäköisin syy on se, että varmenne CN on äskettäin vaihdettu ja on nyt eri kuin alkuperäisen asennuksen aikana käytetty CN. |
Todennus pilvipalveluihin epäonnistui. |
Tarkista palvelutilin kirjautumistietojen tarkkuus ja mahdollinen vanheneminen. |
Paikallisen avainsäilytystiedoston avaaminen epäonnistui. |
Tarkista paikallisen avainsäilytystiedoston eheys ja salasanan tarkkuus. |
Paikallisen palvelimen varmenne on virheellinen. |
Tarkista palvelinvarmenteen viimeinen voimassaolopäivä ja varmista, että sen on myöntänyt luotettava varmenteen myöntäjä. |
Mittareita ei voi lähettää. |
Tarkista paikallisen verkon pääsy ulkoisiin pilvipalveluihin. |
/media/configdrive/hds-hakemistoa ei ole olemassa. |
Tarkista virtuaalipalvelimen ISO-asennusasetukset. Varmista, että ISO-tiedosto on olemassa, että se on määritetty liitettäväksi uudelleenkäynnistyksen yhteydessä ja että se liitetään onnistuneesti. |
Hybriditietoturvan vianetsintä
1 | Tarkista Control Hub mahdollisten hälytysten varalta ja korjaa sieltä löytämäsi kohteet. |
2 | Tarkista syslog-palvelimen tulos Hybrid Data Security -asennuksen toiminnan varalta. |
3 | Ottaa yhteyttä Ciscon tuki. |
Hybriditietoturvan tunnetut ongelmat
Jos suljet Hybrid Data Security -klusterin (poistamalla sen Control Hubissa tai sulkemalla kaikki solmut), menetät määritysten ISO-tiedostosi tai menetät pääsyn avainsäilötietokantaan, Webex-sovelluksesi käyttäjät eivät voi enää käyttää välilyöntejä ihmisten alla. luettelo, joka on luotu KMS:n avaimilla. Tämä koskee sekä koekäyttöä että tuotantokäyttöä. Meillä ei tällä hetkellä ole ratkaisua tai korjausta tähän ongelmaan, ja kehotamme sinua olemaan sulkematta HDS-palvelujasi, kun ne käsittelevät aktiivisia käyttäjätilejä.
Asiakas, jolla on olemassa ECDH-yhteys KMS-järjestelmään, ylläpitää tätä yhteyttä tietyn ajan (todennäköisesti tunnin). Kun käyttäjästä tulee Hybrid Data Security -kokeiluversion jäsen, käyttäjän asiakas jatkaa olemassa olevan ECDH-yhteyden käyttöä, kunnes se aikakatkaisee. Vaihtoehtoisesti käyttäjä voi kirjautua ulos ja takaisin sisään Webex App -sovellukseen päivittääkseen sijainnin, johon sovellus ottaa yhteyttä salausavaimia varten.
Sama käyttäytyminen tapahtuu, kun siirrät kokeilun organisaation tuotantoon. Kaikki muut kuin kokeilukäyttäjät, joilla on olemassa ECDH-yhteydet aikaisempiin tietoturvapalveluihin, jatkavat näiden palvelujen käyttöä, kunnes ECDH-yhteys neuvotellaan uudelleen (aikakatkaisun kautta tai kirjautumalla ulos ja takaisin sisään).
Luo PKCS12-tiedosto OpenSSL:n avulla
Ennen kuin aloitat
OpenSSL on yksi työkalu, jonka avulla PKCS12-tiedosto voidaan tehdä oikeaan muotoon ladattavaksi HDS-asennustyökaluun. On olemassa muitakin tapoja tehdä tämä, emmekä tue tai mainosta yhtä tapaa toisen edelle.
Jos päätät käyttää OpenSSL:ää, tarjoamme tämän menettelyn ohjeeksi, joka auttaa sinua luomaan tiedoston, joka täyttää X.509-varmennevaatimukset X.509 Varmennevaatimukset. Ymmärrä nämä vaatimukset ennen kuin jatkat.
Asenna OpenSSL tuettuun ympäristöön. Katso https://www.openssl.org ohjelmistoa ja dokumentaatiota varten.
Luo yksityinen avain.
Aloita tämä toimenpide, kun saat palvelinvarmenteen varmenteen myöntäjältä (CA).
1 | Kun saat palvelinvarmenteen CA:lta, tallenna se nimellä |
2 | Näytä varmenne tekstinä ja tarkista tiedot.
|
3 | Luo tekstieditorilla varmennepakettitiedosto nimeltä
|
4 | Luo .p12-tiedosto ystävällisellä nimellä
|
5 | Tarkista palvelimen varmenteen tiedot. |
Mitä tehdä seuraavaksi
Palata Täytä hybriditietoturvan edellytykset. Tulet käyttämään hdsnode.p12
tiedosto ja sille määrittämäsi salasana Luo konfigurointi-ISO HDS-isäntäkoneille.
Voit käyttää näitä tiedostoja uudelleen pyytääksesi uutta varmennetta, kun alkuperäinen varmenne vanhenee. |
Liikenne HDS-solmujen ja pilven välillä
Lähtevän mittaustietojen keräämisen liikenne
Hybrid Data Security -solmut lähettävät tiettyjä mittareita Webex-pilveen. Näitä ovat järjestelmän mittarit keon enimmäismäärälle, käytetylle keolle, suorittimen kuormitukselle ja säikeiden määrälle; synkronisten ja asynkronisten säikeiden metriikka; tiedot hälytyksistä, jotka koskevat salausyhteyksien kynnystä, latenssia tai pyyntöjonon pituutta; tietovaraston mittarit; ja salausyhteystiedot. Solmut lähettävät salattua avainmateriaalia kaistan ulkopuolisen (pyynnöstä erillisen) kanavan kautta.
Sisääntuleva liikenne
Hybriditietoturvasolmut vastaanottavat seuraavan tyyppistä saapuvaa liikennettä Webex-pilvestä:
Asiakkailta tulevat salauspyynnöt, jotka salauspalvelu reitittää
Päivitykset solmuohjelmistoon
Määritä Squid-välityspalvelimet hybriditietoturvaa varten
Websocket ei voi muodostaa yhteyttä Squid-välityspalvelimen kautta
Squid-välityspalvelimet, jotka tarkastavat HTTPS-liikennettä, voivat häiritä verkkopistorasian ( wss:
) yhteyksiä, joita Hybrid Data Security vaatii. Nämä osiot antavat ohjeita Squidin eri versioiden konfiguroinnista ohitettaviksi wss:
liikennettä palvelujen moitteettoman toiminnan varmistamiseksi.
Kalmari 4 ja 5
Lisää on_unsupported_protocol
ohje squid.conf
:
on_unsupported_protocol tunnel all
Kalmari 3.5.27
Testasimme onnistuneesti Hybrid Data Securityn seuraavilla säännöillä lisättynä squid.conf
. Nämä säännöt voivat muuttua, kun kehitämme ominaisuuksia ja päivitämme Webex-pilviä.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Uutta ja muuttunutta tietoa
Päiväys | Muutoksia tehty | ||
---|---|---|---|
20. lokakuuta 2023 |
| ||
07. elokuuta 2023 |
| ||
23. toukokuuta 2023 |
| ||
06. joulukuuta 2022 |
| ||
23. marraskuuta 2022 |
| ||
13. lokakuuta 2021 | Docker Desktopin on suoritettava asennusohjelma, ennen kuin voit asentaa HDS-solmuja. Katso Docker Desktop -vaatimukset. | ||
24. kesäkuuta 2021 | Huomioi, että voit käyttää yksityisen avaimen tiedostoa ja CSR:ää uudelleen pyytääksesi uutta varmennetta. Katso Luo PKCS12-tiedosto OpenSSL:n avulla yksityiskohtia varten. | ||
30. huhtikuuta 2021 | Paikallisen kiintolevytilan VM-vaatimus muutettiin 30 Gt:ksi. Katso Virtuaalipalvelimen vaatimukset yksityiskohtia varten. | ||
24. helmikuuta 2021 | HDS Setup Tool voi nyt toimia välityspalvelimen takana. Katso Luo konfigurointi-ISO HDS-isäntäkoneille yksityiskohtia varten. | ||
2. helmikuuta 2021 | HDS voi nyt toimia ilman asennettua ISO-tiedostoa. Katso (Valinnainen) Irrota ISO HDS-määrityksen jälkeen yksityiskohtia varten. | ||
11. tammikuuta 2021 | Lisätty tietoja HDS Setup -työkalusta ja välityspalvelimista Luo konfigurointi-ISO HDS-isäntäkoneille. | ||
13. lokakuuta 2020 | Päivitetty Lataa asennustiedostot. | ||
8. lokakuuta 2020 | Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa komennoilla FedRAMP-ympäristöille. | ||
14. elokuuta 2020 | Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa kirjautumisprosessin muutoksilla. | ||
5. elokuuta 2020 | Päivitetty Testaa hybriditietoturvaasi lokiviestien muutoksille. Päivitetty Virtuaalipalvelimen vaatimukset poistaaksesi enimmäismäärän isäntiä. | ||
16. kesäkuuta 2020 | Päivitetty Poista solmu Control Hub -käyttöliittymän muutoksille. | ||
4. kesäkuuta 2020 | Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille muutoksista lisäasetuksiin, jotka voit määrittää. | ||
29. toukokuuta 2020 | Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille näyttää, että voit myös käyttää TLS:ää SQL Server -tietokantojen, käyttöliittymämuutosten ja muiden selvennusten kanssa. | ||
5. toukokuuta 2020 | Päivitetty Virtuaalipalvelimen vaatimukset näyttää ESXi 6.5:n uusi vaatimus. | ||
21. huhtikuuta 2020 | Päivitetty Ulkoisen yhteyden vaatimukset uusien Americas CI:n isäntien kanssa. | ||
1. huhtikuuta 2020 | Päivitetty Ulkoisen yhteyden vaatimukset tiedot alueellisista CI-isännöistä. | ||
20. helmikuuta 2020 | Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille tietoja uudesta valinnaisesta Lisäasetukset-näytöstä HDS-asetustyökalussa. | ||
4. helmikuuta 2020 | Päivitetty Välityspalvelinvaatimukset. | ||
16. joulukuuta 2019 | Selvensi vaatimusta, jonka mukaan estetty ulkoinen DNS-resoluutiotila toimii Välityspalvelinvaatimukset. | ||
19. marraskuuta 2019 | Lisätty tietoja Estetystä ulkoisesta DNS-resoluutiotilasta seuraaviin osioihin: | ||
8. marraskuuta 2019 | Voit nyt määrittää solmun verkkoasetukset OVA:n käyttöönoton aikana eikä sen jälkeen. Päivitetty seuraavat osiot vastaavasti:
| ||
6. syyskuuta 2019 | SQL Server Standard lisätty Tietokantapalvelimen vaatimukset. | ||
29. elokuuta 2019 | Lisätty Määritä Squid-välityspalvelimet hybriditietoturvaa varten liite, jossa on ohjeet Squid-välityspalvelinten määrittämiseen niin, että ne jättävät verkkosocket-liikenteen huomioimatta oikean toiminnan varmistamiseksi. | ||
20. elokuuta 2019 | Lisätty ja päivitetty osiot, jotka kattavat välityspalvelintuen Hybrid Data Security -solmuviestinnälle Webex-pilveen. Jos haluat käyttää vain olemassa olevan käyttöönoton välityspalvelimen tukisisältöä, katso Välityspalvelintuki hybriditietoturvalle ja Webex Video Meshille ohjeartikkeli. | ||
13. kesäkuuta 2019 | Päivitetty Kokeilu tuotantotehtäväkulkuun ja muistutus synkronoida HdsTrialGroup ryhmäobjektin ennen kokeilun aloittamista, jos organisaatiosi käyttää hakemistosynkronointia. | ||
6. maaliskuuta 2019 |
| ||
28. helmikuuta 2019 |
| ||
26. helmikuuta 2019 |
| ||
24. tammikuuta 2019 |
| ||
5. marraskuuta 2018 |
| ||
19. lokakuuta 2018 |
| ||
31. heinäkuuta 2018 |
| ||
21. toukokuuta 2018 | Muutettu terminologia vastaamaan Cisco Sparkin uudelleenbrändäystä:
| ||
11. huhtikuuta 2018 |
| ||
22. helmikuuta 2018 |
| ||
15. helmikuuta 2018 |
| ||
18. tammikuuta 2018 |
| ||
2. marraskuuta 2017 |
| ||
18. elokuuta 2017 | Ensimmäinen julkaistu |
Hybridin tietoturvan yleiskatsaus
Tietoturva on ollut ensimmäisestä päivästä lähtien suunnittelun pääpaino Webex-sovellus. Tämän suojauksen kulmakivi on päästä päähän -sisällön salaus, jonka mahdollistaa Webex-sovellus asiakkaat, jotka ovat vuorovaikutuksessa Key Management Servicen (KMS) kanssa. KMS on vastuussa salausavaimien luomisesta ja hallinnasta, joita asiakkaat käyttävät viestien ja tiedostojen dynaamiseen salaukseen ja salauksen purkamiseen.
Oletuksena kaikki Webex-sovellus asiakkaat saavat päästä päähän -salauksen dynaamisilla avaimilla, jotka on tallennettu pilvi-KMS:ään Ciscon tietoturva-alueella. Hybrid Data Security siirtää KMS:n ja muut turvallisuuteen liittyvät toiminnot yrityksesi datakeskukseen, joten kukaan muu kuin sinä omistaa salatun sisältösi avaimet.
Security Realm -arkkitehtuuri
Webex-pilviarkkitehtuuri erottaa erityyppiset palvelut erillisiksi alueiksi tai luottamusalueiksi, kuten alla on kuvattu.
Ymmärtääksemme paremmin hybriditietoturvaa, katsotaanpa ensin tätä puhdasta pilvikoteloa, jossa Cisco tarjoaa kaikki toiminnot pilvialueillaan. Identiteettipalvelu, ainoa paikka, jossa käyttäjät voidaan suoraan korreloida henkilökohtaisten tietojensa, kuten sähköpostiosoitteensa kanssa, on loogisesti ja fyysisesti erillään tietokeskuksen B turvallisuusalueesta. Molemmat ovat puolestaan erillisiä alueesta, johon salattu sisältö lopulta tallennetaan. , palvelinkeskuksessa C.
Tässä kaaviossa asiakas on Webex-sovellus, joka toimii käyttäjän kannettavassa tietokoneessa ja on todennettu identiteettipalvelulla. Kun käyttäjä kirjoittaa tilaan lähetettävän viestin, seuraavat vaiheet tapahtuvat:
Asiakas muodostaa suojatun yhteyden avaintenhallintapalveluun (KMS) ja pyytää sitten avainta viestin salaamiseksi. Suojattu yhteys käyttää ECDH:ta, ja KMS salaa avaimen AES-256-pääavaimella.
Viesti salataan ennen kuin se lähtee asiakkaalta. Asiakas lähettää sen indeksointipalveluun, joka luo salattuja hakuhakemistoja auttamaan tulevia sisällönhakuja.
Salattu viesti lähetetään vaatimustenmukaisuuspalveluun vaatimustenmukaisuustarkastuksia varten.
Salattu viesti tallennetaan tallennusalueelle.
Kun otat käyttöön Hybrid Data Securityn, siirrät suojausalueen toiminnot (KMS, indeksointi ja vaatimustenmukaisuus) paikalliseen tietokeskukseesi. Muut Webexin muodostavat pilvipalvelut (mukaan lukien identiteetti ja sisällön tallennus) jäävät Ciscon toimialueille.
Yhteistyö muiden organisaatioiden kanssa
Organisaatiosi käyttäjät voivat säännöllisesti käyttää Webex-sovellusta tehdäkseen yhteistyötä muiden organisaatioiden ulkopuolisten osallistujien kanssa. Kun joku käyttäjistäsi pyytää avainta organisaatiosi omistamaan tilaan (koska sen on luonut yksi käyttäjistäsi), KMS lähettää avaimen asiakkaalle ECDH-suojatun kanavan kautta. Kuitenkin, kun toinen organisaatio omistaa tilan avaimen, KMS-järjestelmäsi reitittää pyynnön Webex-pilveen erillisen ECDH-kanavan kautta saadakseen avaimen asianmukaiselta KMS:ltä ja palauttaa sitten avaimen käyttäjällesi alkuperäisessä kanavassa.
Organisaatiossa A toimiva KMS-palvelu vahvistaa yhteydet muiden organisaatioiden KMS-järjestelmiin käyttämällä x.509 PKI -varmenteita. Katso Valmistele ympäristösi lisätietoja x.509-varmenteen luomisesta käytettäväksi Hybrid Data Security -asennuksesi kanssa.
Hybriditietoturvan käyttöönottoon liittyvät odotukset
Hybrid Data Security -käyttöönotto edellyttää merkittävää asiakkaiden sitoutumista ja tietoisuutta salausavainten omistamiseen liittyvistä riskeistä.
Hybriditietoturvan käyttöönottoa varten sinun on toimitettava:
Turvallinen datakeskus maassa, joka on a Cisco Webex Teams -suunnitelmien tuettu sijainti.
Kohdassa kuvatut laitteet, ohjelmistot ja verkkoyhteys Valmistele ympäristösi.
Joko Hybrid Data Securitylle luomasi ISO-kokoonpanon tai toimittamasi tietokannan täydellinen menetys johtaa avainten katoamiseen. Avaimen katoaminen estää käyttäjiä purkamasta avaruussisällön ja muiden salattujen tietojen salausta Webex Appissa. Jos näin tapahtuu, voit rakentaa uuden käyttöönoton, mutta vain uusi sisältö näkyy. Jotta et menetä tietoja, sinun on:
Hallitse tietokannan varmuuskopiointia ja palautusta sekä ISO-konfiguraatiota.
Ole valmis suorittamaan nopean katastrofipalautuksen, jos tapahtuu katastrofi, kuten tietokantalevyvika tai tietokeskuksen katastrofi.
Ei ole mekanismia avainten siirtämiseksi takaisin pilveen HDS-asennuksen jälkeen. |
Korkean tason asennusprosessi
Tämä asiakirja kattaa Hybrid Data Securityn käyttöönoton ja hallinnan:
Ota käyttöön hybriditietoturva– Tämä sisältää tarvittavan infrastruktuurin valmistelemisen ja Hybrid Data Security -ohjelmiston asentamisen, käyttöönoton testaamisen käyttäjien osajoukolla kokeilutilassa ja, kun testaus on valmis, siirtyminen tuotantoon. Tämä muuntaa koko organisaation käyttämään Hybrid Data Security -klusteriasi suojaustoimintoihin.
Asennus-, kokeilu- ja tuotantovaiheet käsitellään yksityiskohtaisesti seuraavassa kolmessa luvussa.
Ylläpidä Hybrid Data Security -käyttöönottoasi— Webex-pilvi tarjoaa automaattisesti jatkuvat päivitykset. IT-osastosi voi tarjota ykköstason tukea tälle käyttöönotolle ja Ciscon tukea tarvittaessa. Voit käyttää näytön ilmoituksia ja määrittää sähköpostipohjaisia hälytyksiä Control Hubissa.
Ymmärrä yleiset hälytykset, vianetsintävaiheet ja tunnetut ongelmat— Jos Hybrid Data Securityn käyttöönotossa tai käytössä ilmenee ongelmia, tämän oppaan viimeinen luku ja Tunnetut ongelmat -liite voivat auttaa sinua määrittämään ja korjaamaan ongelman.
Hybriditietoturvan käyttöönottomalli
Otat yrityksesi tietokeskuksessa käyttöön Hybrid Data Securityn yhtenä solmuklusterina erillisissä virtuaalikoneissa. Solmut kommunikoivat Webex-pilven kanssa suojattujen verkkoliitäntöjen ja suojatun HTTP:n kautta.
Asennusprosessin aikana annamme sinulle OVA-tiedoston, jonka avulla voit määrittää virtuaalilaitteiston toimittamillesi VM-koneille. Käytät HDS Setup Toolia luodaksesi mukautetun klusterin kokoonpanon ISO-tiedoston, joka liitetään kuhunkin solmuun. Hybrid Data Security -klusteri käyttää toimittamaasi Syslogd-palvelinta ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. (Määrität Syslogd- ja tietokantayhteystiedot HDS-asennustyökalussa.)
Solmujen vähimmäismäärä klusterissa on kaksi. Suosittelemme vähintään kolmea, ja sinulla voi olla jopa viisi. Useiden solmujen käyttö varmistaa, että palvelu ei keskeydy ohjelmistopäivityksen tai muun solmun ylläpitotoimenpiteen aikana. (Webex-pilvi päivittää vain yhden solmun kerrallaan.)
Kaikki klusterin solmut käyttävät samaa avaintietovarastoa ja kirjaavat toiminnan samaan lokipalvelimeen. Itse solmut ovat valtiottomia ja käsittelevät avainpyyntöjä kiertoteitse pilven ohjeiden mukaisesti.
Solmut aktivoituvat, kun rekisteröit ne Control Hubiin. Voit poistaa yksittäisen solmun käytöstä poistamalla sen rekisteröinnin ja rekisteröimällä sen myöhemmin uudelleen tarvittaessa.
Tuemme vain yhtä klusteria organisaatiota kohden.
Hybriditietoturvan kokeilutila
Kun olet määrittänyt Hybrid Data Security -asennuksen, kokeile sitä ensin pilottikäyttäjien kanssa. Kokeilujakson aikana nämä käyttäjät käyttävät paikallista Hybrid Data Security -toimialuettasi salausavaimiin ja muihin tietoturvapalveluihin. Muut käyttäjäsi jatkavat pilviturvallisuuden käyttöä.
Jos päätät olla jatkamatta käyttöönottoa kokeilun aikana ja poistaa palvelun käytöstä, pilottikäyttäjät ja kaikki käyttäjät, joiden kanssa he ovat olleet vuorovaikutuksessa luomalla uusia tiloja kokeilujakson aikana, menettävät pääsyn viesteihin ja sisältöön. He näkevät Webex-sovelluksessa "Tätä viestiä ei voi purkaa".
Jos olet vakuuttunut siitä, että käyttöönottosi toimii hyvin kokeilukäyttäjille ja olet valmis laajentamaan Hybrid Data Securityn koskemaan kaikkia käyttäjiäsi, siirrät käyttöönoton tuotantoon. Pilottikäyttäjät voivat edelleen käyttää avaimia, jotka olivat käytössä kokeilun aikana. Et kuitenkaan voi siirtyä edestakaisin tuotantotilan ja alkuperäisen kokeilun välillä. Jos sinun on deaktivoitava palvelu, esimerkiksi suorittaaksesi hätäpalautuksen, uudelleenaktivoinnin yhteydessä sinun on aloitettava uusi kokeiluversio ja määritettävä pilottikäyttäjät uudelle kokeilujaksolle ennen kuin siirryt takaisin tuotantotilaan. Se, voivatko käyttäjät säilyttää pääsyn tietoihin tässä vaiheessa, riippuu siitä, oletko onnistuneesti ylläpitänyt avaintietovaraston ja ISO-määritystiedoston varmuuskopioita klusterin hybriditietoturvasolmuille.
Standby Data Center katastrofipalautukseen
Käyttöönoton aikana määrität suojatun valmiustilan tietokeskuksen. Palvelinkeskuksen katastrofin sattuessa voit epäonnistua käyttöönoton manuaalisesti valmiustilassa olevaan datakeskukseen.
Aktiivisten ja valmiustilassa olevien datakeskusten tietokannat ovat synkronoituja keskenään, mikä minimoi vikasietoisuuden suorittamiseen kuluvan ajan. Valmiustilan palvelinkeskuksen ISO-tiedosto päivitetään lisäkonfiguraatioilla, jotka varmistavat, että solmut ovat rekisteröityneet organisaatioon, mutta eivät käsittele liikennettä. Näin ollen valmiustilan datakeskuksen solmut pysyvät aina ajan tasalla HDS-ohjelmiston uusimman version kanssa.
Aktiivisten Hybrid Data Security -solmujen on aina oltava samassa tietokeskuksessa aktiivisen tietokantapalvelimen kanssa. |
Määritä valmiustilassa oleva tietokeskus katastrofipalautusta varten
Määritä valmiustilassa olevan datakeskuksen ISO-tiedosto seuraavasti:
Ennen kuin aloitat
Valmiustilassa olevan datakeskuksen tulee peilata virtuaalikoneiden tuotantoympäristöä ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. Jos tuotannossa on esimerkiksi 3 VM:tä, jotka käyttävät HDS-solmuja, varmuuskopiointiympäristössä tulisi olla 3 virtuaalikonetta. (Katso Standby Data Center katastrofipalautukseen saadaksesi yleiskatsauksen tästä vikasietomallista.)
Varmista, että tietokannan synkronointi on käytössä aktiivisten ja passiivisten klusterisolmujen tietokannan välillä.
1 | Käynnistä HDS Setup -työkalu ja noudata kohdassa mainittuja vaiheita Luo konfigurointi-ISO HDS-isäntäkoneille.
| ||
2 | Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset | ||
3 | Käytössä Lisäasetukset sivulla, lisää alla oleva kokoonpano asettaaksesi solmun passiiviseen tilaan. Tässä tilassa solmu rekisteröidään organisaatioon ja yhdistetään pilveen, mutta se ei käsittele liikennettä.
| ||
4 | Viimeistele määritysprosessi ja tallenna ISO-tiedosto paikkaan, joka on helppo löytää. | ||
5 | Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmääsi. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää pääsalausavaimen tietokannan sisällölle. Rajoita pääsy vain niille Hybrid Data Security -järjestelmänvalvojille, joiden tulee tehdä kokoonpanomuutoksia. | ||
6 | Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia.. | ||
7 | Klikkaus Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.
| ||
8 | Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 15 minuuttiin. | ||
9 | Toista prosessi jokaiselle valmiustilan datakeskuksen solmulle.
|
Mitä tehdä seuraavaksi
Konfiguroinnin jälkeen passiveMode
ISO-tiedostossa ja tallentamalla sen, voit luoda ISO-tiedostosta toisen kopion ilman passiveMode
määritykset ja tallenna se turvalliseen paikkaan. Tämä kopio ISO-tiedostosta ilman passiveMode
konfiguroitu voi auttaa nopeassa vikasietoprosessissa katastrofipalautuksen aikana. Katso Katastrofipalautus valmiustilan tietokeskuksen avulla yksityiskohtaista vikasietoprosessia varten.
Välityspalvelimen tuki
Hybrid Data Security tukee eksplisiittisiä, läpinäkyviä tarkastuksia ja ei-tarkistavia välityspalvelimia. Voit sitoa nämä välityspalvelimet käyttöönottoasi, jotta voit suojata ja valvoa liikennettä yrityksestä pilveen. Voit käyttää alustan järjestelmänvalvojan käyttöliittymää solmuissa varmenteiden hallintaan ja yleisen yhteyden tilan tarkistamiseen sen jälkeen, kun olet määrittänyt solmujen välityspalvelimen.
Hybrid Data Security -solmut tukevat seuraavia välityspalvelinvaihtoehtoja:
Ei välityspalvelinta— Oletusasetus, jos et käytä HDS-solmun asetusten Trust Store & Proxy -kokoonpanoa välityspalvelimen integroimiseen. Varmennepäivitystä ei tarvita.
Läpinäkyvä ei-tarkistava välityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen tarkastamattoman välityspalvelimen kanssa. Varmennepäivitystä ei tarvita.
Läpinäkyvä tunnelointi tai tarkastusvälityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta. Solmuihin ei tarvita HTTP- tai HTTPS-kokoonpanomuutoksia. Solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne luottavat välityspalvelimeen. IT käyttää tyypillisesti tarkastusvälityspalvelimia valvoakseen käytäntöjä, joilla verkkosivustoilla voi vierailla ja minkä tyyppinen sisältö ei ole sallittua. Tämän tyyppinen välityspalvelin purkaa kaiken liikenteesi (jopa HTTPS:n).
Eksplisiittinen välityspalvelin— Eksplisiittisellä välityspalvelimella kerrot HDS-solmuille, mitä välityspalvelinta ja todennusmallia tulee käyttää. Jos haluat määrittää nimenomaisen välityspalvelimen, sinun on annettava seuraavat tiedot jokaiseen solmuun:
Välityspalvelimen IP/FQDN— Osoite, jota voidaan käyttää välityspalvelimen tavoittamiseen.
Välityspalvelimen portti— Portin numero, jota välityspalvelin käyttää välityspalvelimen liikenteen kuuntelemiseen.
Välityspalvelinprotokolla— Valitse seuraavista protokollista riippuen siitä, mitä välityspalvelimesi tukee:
HTTP – Tarkastelee ja hallitsee kaikkia asiakkaan lähettämiä pyyntöjä.
HTTPS – Tarjoaa kanavan palvelimelle. Asiakas vastaanottaa ja vahvistaa palvelimen varmenteen.
Tunnistautumistapa-Valitse seuraavista todennustyypeistä:
Ei mitään-Lisätunnistusta ei tarvita.
Käytettävissä, jos valitset välityspalvelimeksi HTTP- tai HTTPS-protokollaksi.
Perus—Käytetään HTTP-käyttäjäagentille antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.
Käytettävissä, jos valitset välityspalvelimeksi HTTP- tai HTTPS-protokollaksi.
Edellyttää käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.
Sulattaa-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Käyttää hajautustoimintoa käyttäjänimeen ja salasanaan ennen lähettämistä verkon kautta.
Saatavilla vain, jos valitset HTTPS-protokollaksi välityspalvelimeksi.
Edellyttää käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.
Esimerkki hybriditietoturvasolmuista ja välityspalvelimesta
Tämä kaavio näyttää esimerkkiyhteyden Hybrid Data Securityn, verkon ja välityspalvelimen välillä. Läpinäkyvän tarkastuksen ja HTTPS:n eksplisiittisen tarkastuksen välityspalvelimen valintoja varten sama juurivarmenne on asennettava välityspalvelimeen ja Hybrid Data Security -solmuihin.
Estetty ulkoinen DNS-resoluutiotila (eksplisiittiset välityspalvelimen määritykset)
Kun rekisteröit solmun tai tarkistat solmun välityspalvelimen kokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex-pilveen. Jos solmu ei voi tehdä kyselyä DNS-palvelimille, se siirtyy automaattisesti estetty ulkoinen DNS-selvitys -tilaan käyttöönotoissa, joissa on nimenomaiset välityspalvelinkokoonpanot, jotka eivät salli ulkoista DNS-selvitystä sisäisille asiakkaille. Tässä tilassa solmun rekisteröinti ja muut välityspalvelimen yhteystestit voivat jatkua.
Hybriditietoturvan vaatimukset
Cisco Webex -lisenssivaatimukset
Hybriditietoturvan käyttöönotto:
Sinulla on oltava Pro Pack Cisco Webex Control Hubille. (Katso https://www.cisco.com/go/pro-pack.)
Docker Desktop -vaatimukset
Ennen kuin asennat HDS-solmut, tarvitset Docker Desktopin asennusohjelman suorittamiseen. Docker päivitti äskettäin lisenssimallinsa. Organisaatiosi saattaa vaatia maksullisen Docker Desktopin tilauksen. Katso lisätietoja Dockerin blogiviestistä " Docker päivittää ja laajentaa tuotetilauksiamme".
X.509 Varmennevaatimukset
Varmenneketjun tulee täyttää seuraavat vaatimukset:
Vaatimus | Tiedot |
---|---|
| Oletuksena luotamme Mozilla-luettelon CA:ihin (poikkeuksena WoSign ja StartCom) https://wiki.mozilla.org/CA:IncludedCAs. |
| CN:n ei tarvitse olla tavoitettavissa tai olla elävä isäntä. Suosittelemme, että käytät nimeä, joka kuvastaa organisaatiotasi, esim. CN ei saa sisältää *-merkkiä (jokerimerkki). CN:ää käytetään Webex App -asiakkaiden Hybrid Data Security -solmujen vahvistamiseen. Kaikki klusterin Hybrid Data Security -solmut käyttävät samaa varmennetta. KMS tunnistaa itsensä käyttämällä CN-toimialuetta, ei mitään toimialuetta, joka on määritetty x.509v3 SAN -kentissä. Kun olet rekisteröinyt solmun tällä varmenteella, emme tue CN-verkkotunnuksen vaihtamista. Valitse toimialue, jota voidaan soveltaa sekä kokeilu- että tuotantokäyttöön. |
| KMS-ohjelmisto ei tue SHA1-allekirjoituksia muiden organisaatioiden KMS:ien välisten yhteyksien vahvistamiseksi. |
| Voit muuttaa varmenteen muotoa muuntimen, kuten OpenSSL:n, avulla. Sinun on syötettävä salasana, kun suoritat HDS Setup Tool -työkalun. |
KMS-ohjelmisto ei pakota avainten käyttöä tai laajennettuja avainten käyttöä koskevia rajoituksia. Jotkut varmenneviranomaiset vaativat, että jokaiseen varmenteeseen sovelletaan laajennettuja avainten käyttörajoituksia, kuten palvelimen todennus. Palvelimen todennusta tai muita asetuksia saa käyttää.
Virtuaalipalvelimen vaatimukset
Virtuaalisilla isännillä, jotka määrität klusterin hybriditietoturvasolmuiksi, on seuraavat vaatimukset:
Vähintään kaksi erillistä isäntäkonetta (3 suositeltavaa), jotka sijaitsevat samassa suojatussa datakeskuksessa
VMware ESXi 6.5 (tai uudempi) asennettu ja käynnissä.
Sinun on päivitettävä, jos sinulla on aiempi versio ESXi:stä.
Vähintään 4 vCPU:ta, 8 Gt keskusmuistia, 30 Gt paikallista kiintolevytilaa palvelinta kohden
Tietokantapalvelimen vaatimukset
Luo uusi tietokanta avainten säilytystä varten. Älä käytä oletustietokantaa. Kun HDS-sovellukset on asennettu, ne luovat tietokantaskeeman. |
Tietokantapalvelimelle on kaksi vaihtoehtoa. Vaatimukset kullekin ovat seuraavat:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Vähintään 8 vCPU:ta, 16 Gt:n keskusmuisti, riittävä kiintolevytila ja valvonta sen varmistamiseksi, että sitä ei ylitetä (2 TB suositellaan, jos haluat käyttää tietokantaa pitkään ilman tarvetta lisätä tallennustilaa) | Vähintään 8 vCPU:ta, 16 Gt:n keskusmuisti, riittävä kiintolevytila ja valvonta sen varmistamiseksi, että sitä ei ylitetä (2 TB suositellaan, jos haluat käyttää tietokantaa pitkään ilman tarvetta lisätä tallennustilaa) |
HDS-ohjelmisto asentaa tällä hetkellä seuraavat ajuriversiot tietokantapalvelimen kanssa kommunikointia varten:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC -ohjain 42.2.5 | SQL Server JDBC -ohjain 4.6 Tämä ohjainversio tukee SQL Server Always On ( Aina Failover Cluster -esiintymissä ja Aina käytettävissä ryhmät). |
Lisävaatimukset Windows-todennusta vastaan Microsoft SQL Serveriä vastaan
Jos haluat, että HDS-solmut käyttävät Windows-todennusta päästäkseen Microsoft SQL Serverin avainsäilötietokantaasi, tarvitset seuraavan kokoonpanon ympäristössäsi:
HDS-solmut, Active Directory -infrastruktuuri ja MS SQL Server on kaikki synkronoitava NTP:n kanssa.
HDS-solmuille antamallasi Windows-tilillä on oltava luku-/kirjoitusoikeus tietokantaan.
HDS-solmuille toimittamiesi DNS-palvelimien on kyettävä ratkaisemaan Key Distribution Center (KDC).
Voit rekisteröidä HDS-tietokannan ilmentymän Microsoft SQL Serverissäsi palvelun päänimeksi (SPN) Active Directoryssa. Katso Rekisteröi palvelun päänimi Kerberos-yhteyksille.
HDS-asennustyökalun, HDS-käynnistimen ja paikallisen KMS:n on käytettävä Windows-todennusta päästäkseen avainsäilötietokantaan. He käyttävät ISO-kokoonpanosi tietoja SPN:n muodostamiseen pyytäessään pääsyä Kerberos-todennusta käyttämällä.
Ulkoisen yhteyden vaatimukset
Määritä palomuurisi sallimaan seuraavat liitännät HDS-sovelluksille:
Sovellus | pöytäkirja | Portti | Ohje sovelluksesta | Kohde |
---|---|---|---|---|
Hybriditietoturvasolmut | TCP | 443 | Lähtevä HTTPS ja WSS |
|
HDS-asetustyökalu | TCP | 443 | Lähtevä HTTPS |
|
Hybriditietoturvasolmut toimivat verkkokäyttömuunnoksen (NAT) kanssa tai palomuurin takana, kunhan NAT tai palomuuri sallii vaaditut lähtevät yhteydet edellisen taulukon toimialueen kohteisiin. Hybrid Data Security -solmuihin tulevissa yhteyksissä ei saa näkyä portteja Internetistä. Palvelinkeskuksessasi asiakkailla on oltava pääsy Hybrid Data Security -solmuihin TCP-porteissa 443 ja 22 hallinnollisia tarkoituksia varten. |
Common Identity (CI) -isäntien URL-osoitteet ovat aluekohtaisia. Nämä ovat nykyiset CI-isännät:
Alue | Yhteisen identiteetin isäntä-URL-osoitteet |
---|---|
Amerikka |
|
Euroopan unioni |
|
Kanada |
|
Välityspalvelinvaatimukset
Tuemme virallisesti seuraavia välityspalvelinratkaisuja, jotka voidaan integroida Hybrid Data Security -solmuisi.
Läpinäkyvä välityspalvelin — Cisco Web Security Appliance (WSA).
Eksplisiittinen välityspalvelin – Squid.
Squid-välityspalvelimet, jotka tarkastavat HTTPS-liikennettä, voivat häiritä verkkopistorasian (wss:) yhteyksiä. Jos haluat kiertää tämän ongelman, katso Määritä Squid-välityspalvelimet hybriditietoturvaa varten.
Tuemme seuraavia todennustyyppiyhdistelmiä eksplisiittisille välityspalvelimille:
Ei todennusta HTTP:llä tai HTTPS:llä
Perustodennus HTTP- tai HTTPS-protokollalla
Tiivistetodennus vain HTTPS:llä
Jos haluat läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-välityspalvelimen, sinulla on oltava kopio välityspalvelimen juurivarmenteesta. Tämän oppaan käyttöönotto-ohjeet kertovat, kuinka kopio ladataan Hybrid Data Security -solmujen luotettaviin varastoihin.
HDS-solmuja isännöivä verkko on määritettävä pakottamaan lähtevä TCP-liikenne portissa 443 reitittämään välityspalvelimen kautta.
Verkkoliikennettä tarkastavat välityspalvelimet voivat häiritä verkkoliitäntäyhteyksiä. Jos tämä ongelma ilmenee, ohita (ei tarkasta) liikenne kohteeseen
wbx2.com
jaciscospark.com
ratkaisee ongelman.
Täytä hybriditietoturvan edellytykset
1 | Varmista, että Webex-organisaatiossasi on käytössä Pro Pack for Cisco Webex Control Hub, ja hanki tilin kirjautumistiedot, jolla on täydet organisaation järjestelmänvalvojan oikeudet. Ota yhteyttä Cisco-kumppaniisi tai asiakasvastaavaan saadaksesi apua tässä prosessissa. | ||
2 | Valitse HDS-asennuksellesi verkkotunnus (esim. | ||
3 | Valmistele identtiset virtuaaliset isännät, jotka määrität klusterin hybriditietoturvasolmuiksi. Tarvitset vähintään kaksi erillistä isäntäkonetta (3 suositeltua), jotka sijaitsevat samassa suojatussa datakeskuksessa ja jotka täyttävät vaatimukset Virtuaalipalvelimen vaatimukset. | ||
4 | Valmistele tietokantapalvelin, joka toimii klusterin avaintietovarastona Tietokantapalvelimen vaatimukset. Tietokantapalvelin on sijoitettava suojattuun tietokeskukseen virtuaalisten isäntien kanssa. | ||
5 | Nopeaa katastrofipalautusta varten määritä varmuuskopioympäristö eri tietokeskukseen. Varmuuskopiointiympäristö peilaa virtuaalikoneiden ja varmuuskopiotietokantapalvelimen tuotantoympäristöä. Jos tuotannossa on esimerkiksi 3 virtuaalikonetta, jotka käyttävät HDS-solmuja, varmuuskopiointiympäristössä tulisi olla 3 virtuaalikonetta. | ||
6 | Määritä syslog-isäntä keräämään lokit klusterin solmuista. Kerää sen verkko-osoite ja syslog-portti (oletus on UDP 514). | ||
7 | Luo suojattu varmuuskopiointikäytäntö Hybrid Data Security -solmuille, tietokantapalvelimelle ja loki-isännälle. Vähintään peruuttamattoman tietojen häviämisen estämiseksi sinun on varmuuskopioitava tietokanta ja konfiguraatio-ISO-tiedosto, joka on luotu Hybrid Data Security -solmuille.
Webex App -asiakkaat tallentavat avaimensa välimuistiin, joten käyttökatkos ei välttämättä ole heti havaittavissa, mutta se tulee ilmeiseksi ajan myötä. Vaikka tilapäisiä katkoksia on mahdotonta estää, ne ovat korjattavissa. Tietokannan tai määritysten ISO-tiedoston täydellinen menetys (ei varmuuskopioita saatavilla) johtaa kuitenkin asiakastietojen palauttamiseen. Hybrid Data Security -solmujen operaattoreiden odotetaan varmuuskopioivan säännöllisesti tietokantaa ja konfigurointi-ISO-tiedostoa ja olevan valmiita rakentamaan Hybrid Data Security -palvelinkeskus uudelleen, jos katastrofi tapahtuu. | ||
8 | Varmista, että palomuurikokoonpanosi mahdollistaa liitettävyyden hybriditietoturvasolmuille, kuten kohdassa on kuvattu Ulkoisen yhteyden vaatimukset. | ||
9 | Asenna Docker ( https://www.docker.com) missä tahansa paikallisessa koneessa, jossa on tuettu käyttöjärjestelmä (Microsoft Windows 10 Professional tai Enterprise 64-bittinen tai Mac OSX Yosemite 10.10.3 tai uudempi), jossa on verkkoselain, joka voi käyttää sitä osoitteessa http://127.0.0.1:8080. Käytät Docker-instanssia HDS-asennustyökalun lataamiseen ja suorittamiseen, joka muodostaa paikalliset määritystiedot kaikille Hybrid Data Security -solmuille. Organisaatiosi saattaa tarvita Docker Desktop -lisenssin. Katso Docker Desktop -vaatimukset Lisätietoja. HDS-asennustyökalun asentaminen ja käyttäminen edellyttää, että paikallisessa koneessa on kuvattu yhteys Ulkoisen yhteyden vaatimukset. | ||
10 | Jos yhdistät välityspalvelimen Hybrid Data Securityn kanssa, varmista, että se täyttää Välityspalvelinvaatimukset. | ||
11 | Jos organisaatiosi käyttää hakemistosynkronointia, luo Active Directoryyn ryhmä nimeltä
|
Hybridin tietoturvan käyttöönottotehtäväkulku
Ennen kuin aloitat
1 |
Lataa OVA-tiedosto paikalliselle koneellesi myöhempää käyttöä varten. | ||
2 | Luo konfigurointi-ISO HDS-isäntäkoneille Luo ISO-määritystiedosto Hybrid Data Security -solmuille HDS-asetustyökalulla. | ||
3 |
Luo virtuaalikone OVA-tiedostosta ja suorita alkuasetukset, kuten verkkoasetukset.
| ||
4 | Määritä Hybrid Data Security VM Kirjaudu sisään VM-konsoliin ja määritä kirjautumistiedot. Määritä solmun verkkoasetukset, jos et määrittänyt niitä OVA:n käyttöönoton yhteydessä. | ||
5 | Lataa ja asenna HDS Configuration ISO Määritä virtuaalinen kone ISO-määritystiedostosta, jonka loit HDS-asetustyökalulla. | ||
6 | Määritä HDS-solmu välityspalvelinintegraatiota varten Jos verkkoympäristö edellyttää välityspalvelimen määrittämistä, määritä solmussa käytettävä välityspalvelimen tyyppi ja lisää välityspalvelinvarmenne tarvittaessa luottamussäilöön. | ||
7 | Rekisteröi klusterin ensimmäinen solmu Rekisteröi VM Cisco Webex -pilveen hybriditietoturvasolmuksi. | ||
8 | Luo ja rekisteröi lisää solmuja Viimeistele klusterin asennus. | ||
9 | Suorita kokeilu ja siirry tuotantoon (seuraava kappale) Ennen kuin aloitat kokeilun, solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu. |
Lataa asennustiedostot
1 | Kirjaudu sisään https://admin.webex.comja napsauta sitten Palvelut. | ||||
2 | Etsi Hybridipalvelut-osiosta Hybriditietojen suojauskortti ja napsauta sitten Perustaa. Jos kortti on poistettu käytöstä tai et näe sitä, ota yhteyttä tilitiimiisi tai kumppaniorganisaatioosi. Anna heille tilinumerosi ja pyydä ottamaan organisaatiollesi käyttöön hybriditietoturva. Löydät tilinumeron napsauttamalla rataskuvaketta oikeassa yläkulmassa organisaatiosi nimen vieressä.
| ||||
3 | Valitse Ei osoittaaksesi, että et ole vielä määrittänyt solmua, ja napsauta sitten Seuraava. OVA-tiedoston lataus alkaa automaattisesti. Tallenna tiedosto johonkin paikkaan koneellasi.
| ||||
4 | Valinnaisesti napsauta Avaa Käyttöönottoopas tarkistaaksesi, onko tästä oppaasta saatavilla uudempi versio. |
Luo konfigurointi-ISO HDS-isäntäkoneille
Hybrid Data Security -asetusprosessi luo ISO-tiedoston. Määritä sitten hybriditietoturva-isäntäsi ISO:n avulla.
Ennen kuin aloitat
HDS-asennustyökalu toimii Docker-säiliönä paikallisessa koneessa. Voit käyttää sitä suorittamalla Dockerin kyseisessä koneessa. Asennusprosessi vaatii Control Hub -tilin kirjautumistiedot, jolla on täydet järjestelmänvalvojan oikeudet organisaatiollesi.
Jos HDS-asennustyökalu toimii välityspalvelimen takana ympäristössäsi, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien kautta, kun tuot Docker-säilön esiin vaiheessa. 5. Tässä taulukossa on joitain mahdollisia ympäristömuuttujia:
Kuvaus
Muuttuja
HTTP-välityspalvelin ilman todennusta
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-välityspalvelin ilman todennusta
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-välityspalvelin todennuksella
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-välityspalvelin todennuksella
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Luomasi ISO-määritystiedosto sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset tämän tiedoston viimeisimmän kopion aina, kun teet muutoksia, kuten seuraavat:
Tietokannan tunnistetiedot
Varmenteiden päivitykset
Muutoksia valtuutuskäytäntöön
Jos aiot salata tietokantayhteydet, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:lle.
1 | Kirjoita koneesi komentoriville ympäristöllesi sopiva komento: Tavallisissa ympäristöissä:
FedRAMP-ympäristöissä:
| ||||||||||||
2 | Kirjaudu Docker-kuvarekisteriin kirjoittamalla seuraava:
| ||||||||||||
3 | Kirjoita salasanakehotteeseen tämä hash:
| ||||||||||||
4 | Lataa uusin vakaa kuva ympäristöösi: Tavallisissa ympäristöissä:
FedRAMP-ympäristöissä:
| ||||||||||||
5 | Kun veto on valmis, anna ympäristöllesi sopiva komento:
Kun säilö on käynnissä, näet "Express-palvelin kuuntelee portissa 8080". | ||||||||||||
6 |
Siirry paikallispalvelimeen verkkoselaimella, Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää oikean ympäristön määrittämiseen kyseiselle tilille. Työkalu näyttää sitten tavallisen kirjautumiskehotteen. | ||||||||||||
7 | Anna pyydettäessä Control Hub -asiakasjärjestelmänvalvojan kirjautumistietosi ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn Hybrid Data Securityn tarvittaviin palveluihin. | ||||||||||||
8 | Napsauta Setup Toolin yleiskatsaussivulla Aloittaa. | ||||||||||||
9 | Käytössä ISO tuonti sivulla, sinulla on seuraavat vaihtoehdot:
| ||||||||||||
10 | Tarkista, että X.509-sertifikaattisi täyttää vaatimukset X.509 Varmennevaatimukset.
| ||||||||||||
11 | Anna tietokannan osoite ja tili HDS:lle päästäksesi avaintietosäilöön: | ||||||||||||
12 | Valitse TLS-tietokantayhteystila:
Kun lataat juurivarmenteen (tarvittaessa) ja napsautat Jatkaa, HDS Setup Tool testaa TLS-yhteyden tietokantapalvelimeen. Työkalu tarkistaa myös varmenteen allekirjoittajan ja isäntänimen, jos mahdollista. Jos testi epäonnistuu, työkalu näyttää ongelmaa kuvaavan virhesanoman. Voit valita, jätetäänkö virhe huomioimatta ja jatketaanko asennusta. (Yhteyseroista johtuen HDS-solmut saattavat pystyä muodostamaan TLS-yhteyden, vaikka HDS-asetustyökalu ei pystyisi testaamaan sitä.) | ||||||||||||
13 | Määritä Syslogd-palvelimesi Järjestelmälokit-sivulla: | ||||||||||||
14 | (Valinnainen) Voit muuttaa joidenkin tietokantayhteysparametrien oletusarvoja Lisäasetukset. Yleensä tämä parametri on ainoa, jota saatat haluta muuttaa:
| ||||||||||||
15 | Klikkaus Jatkaa päällä Palauta palvelutilien salasana näyttö. Palvelutilin salasanojen käyttöikä on yhdeksän kuukautta. Käytä tätä näyttöä, kun salasanasi ovat vanhenemassa tai haluat nollata ne mitätöimään aiemmat ISO-tiedostot. | ||||||||||||
16 | Klikkaus Lataa ISO-tiedosto. Tallenna tiedosto paikkaan, joka on helppo löytää. | ||||||||||||
17 | Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmääsi. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää pääsalausavaimen tietokannan sisällölle. Rajoita pääsy vain niille Hybrid Data Security -järjestelmänvalvojille, joiden tulee tehdä kokoonpanomuutoksia. | ||||||||||||
18 | Sulje Setup-työkalu kirjoittamalla |
Mitä tehdä seuraavaksi
Varmuuskopioi asetusten ISO-tiedosto. Tarvitset sitä luodaksesi lisää solmuja palautusta varten tai tehdäksesi kokoonpanomuutoksia. Jos menetät kaikki ISO-tiedoston kopiot, olet myös menettänyt pääavaimen. Avaimien palauttaminen PostgreSQL- tai Microsoft SQL Server -tietokannasta ei ole mahdollista.
Meillä ei ole koskaan kopiota tästä avaimesta, emmekä voi auttaa, jos kadotat sen. |
Asenna HDS Host OVA
1 | Käytä tietokoneesi VMware vSphere -asiakasohjelmaa kirjautuaksesi ESXi-virtuaaliisäntään. | ||||||
2 | Valitse Tiedosto > Ota käyttöön OVF-malli. | ||||||
3 | Määritä ohjatussa toiminnossa aiemmin lataamasi OVA-tiedoston sijainti ja napsauta sitten Seuraava . | ||||||
4 | Käytössä Valitse nimi ja kansio sivu, kirjoita a Virtuaalikoneen nimi solmulle (esimerkiksi "HDS_Node_1"), valitse sijainti, jossa virtuaalikoneen solmun käyttöönotto voi sijaita, ja napsauta sitten Seuraava . | ||||||
5 | Käytössä Valitse laskentaresurssi -sivulla, valitse kohdelaskentaresurssi ja napsauta sitten Seuraava . Vahvistustarkistus suoritetaan. Kun se on valmis, mallin tiedot tulevat näkyviin. | ||||||
6 | Tarkista mallin tiedot ja napsauta sitten Seuraava. | ||||||
7 | Jos sinua pyydetään valitsemaan resurssikokoonpano Kokoonpano sivu, napsauta 4 CPU ja napsauta sitten Seuraava . | ||||||
8 | Käytössä Valitse tallennustila sivu, napsauta Seuraava hyväksyä oletuslevymuoto ja VM-tallennuskäytäntö. | ||||||
9 | Käytössä Valitse verkot -sivulla, valitse verkkovaihtoehto merkintäluettelosta tarjotaksesi halutun yhteyden virtuaalikoneeseen. | ||||||
10 | Käytössä Mukauta mallia sivulla, määritä seuraavat verkkoasetukset:
Halutessasi voit ohittaa verkkoasetusten määrityksen ja noudattaa ohjeita Määritä Hybrid Data Security VM määrittääksesi asetukset solmukonsolista.
| ||||||
11 | Napsauta hiiren kakkospainikkeella solmun VM:tä ja valitse sitten .Hybrid Data Security -ohjelmisto asennetaan vieraana VM-isäntään. Olet nyt valmis kirjautumaan sisään konsoliin ja määrittämään solmun. Vianetsintävinkkejä Saatat kokea muutaman minuutin viiveen ennen kuin solmusäiliöt tulevat näkyviin. Siltapalomuuriviesti tulee näkyviin konsoliin ensimmäisen käynnistyksen aikana, jolloin et voi kirjautua sisään. |
Määritä Hybrid Data Security VM
Käytä tätä menettelyä kirjautuaksesi sisään Hybrid Data Security -solmun VM-konsoliin ensimmäistä kertaa ja määrittääksesi kirjautumistunnukset. Voit myös käyttää konsolia solmun verkkoasetusten määrittämiseen, jos et määrittänyt niitä OVA-asennuksen yhteydessä.
1 | Valitse VMware vSphere -asiakkaassa Hybrid Data Security -solmun VM ja valitse Konsoli -välilehti. Virtuaalinen kone käynnistyy ja näkyviin tulee kirjautumiskehote. Jos kirjautumiskehote ei tule näkyviin, paina Tulla sisään.
|
2 | Käytä seuraavaa oletusarvoista kirjautumistunnusta ja salasanaa kirjautuaksesi sisään ja muuttaaksesi tunnistetietoja: Koska kirjaudut sisään virtuaalikoneeseen ensimmäistä kertaa, sinun on vaihdettava järjestelmänvalvojan salasana. |
3 | Jos olet jo määrittänyt verkkoasetukset Asenna HDS Host OVA, ohita loput tästä toimenpiteestä. Muussa tapauksessa valitse päävalikosta Muokkaa kokoonpanoa vaihtoehto. |
4 | Aseta staattinen kokoonpano IP-osoitteen, peitteen, yhdyskäytävän ja DNS-tietojen kanssa. Solmullasi tulee olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta. |
5 | (Valinnainen) Muuta tarvittaessa isäntänimeä, toimialuetta tai NTP-palvelimia vastaamaan verkkokäytäntöäsi. Sinun ei tarvitse asettaa toimialuetta vastaamaan toimialuetta, jota käytit X.509-varmenteen hankkimiseen. |
6 | Tallenna verkkoasetukset ja käynnistä virtuaalikone uudelleen, jotta muutokset tulevat voimaan. |
Lataa ja asenna HDS Configuration ISO
Ennen kuin aloitat
Koska ISO-tiedosto sisältää pääavaimen, se tulisi paljastaa vain "tarve tietää" -periaatteella, jotta Hybrid Data Security -virtuaalikoneet ja muut järjestelmänvalvojat voivat käyttää sitä. Varmista, että vain kyseiset järjestelmänvalvojat pääsevät tietosäilöön.
1 | Lataa ISO-tiedosto tietokoneeltasi: |
2 | Asenna ISO-tiedosto: |
Mitä tehdä seuraavaksi
Jos IT-käytäntösi vaatii, voit halutessasi irrottaa ISO-tiedoston sen jälkeen, kun kaikki solmut ovat huomanneet kokoonpanomuutokset. Katso (Valinnainen) Irrota ISO HDS-määrityksen jälkeen yksityiskohtia varten.
Määritä HDS-solmu välityspalvelinintegraatiota varten
Jos verkkoympäristö vaatii välityspalvelimen, määritä tämän toimenpiteen avulla, minkä tyyppiseen välityspalvelimeen haluat integroida Hybriditietoturva. Jos valitset läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-välityspalvelimen, voit käyttää solmun käyttöliittymää juurivarmenteen lataamiseen ja asentamiseen. Voit myös tarkistaa välityspalvelinyhteyden käyttöliittymästä ja tehdä mahdollisten ongelmien vianmäärityksen.
Ennen kuin aloitat
Katso Välityspalvelimen tuki saadaksesi yleiskatsauksen tuetuista välityspalvelinvaihtoehdoista.
1 | Anna HDS-solmun asetusten URL-osoite |
2 | Mene Trust Store ja välityspalvelinja valitse sitten vaihtoehto:
Noudata seuraavia ohjeita läpinäkyvän tarkastavan välityspalvelimen, HTTP-sellaisen välityspalvelimen, jossa on perustodennus, tai HTTPS-eksplisiittisen välityspalvelimen kohdalla. |
3 | Klikkaus Lataa juurivarmenne tai loppukokonaisuuden varmenneja valitse sitten välityspalvelimen juurivarmenne. Varmenne on ladattu, mutta sitä ei ole vielä asennettu, koska sinun on käynnistettävä solmu uudelleen varmenteen asentamiseksi. Napsauta varmenteen myöntäjän nimen vieressä olevaa nuolimerkkiä saadaksesi lisätietoja tai napsauta Poistaa jos teit virheen ja haluat ladata tiedoston uudelleen. |
4 | Klikkaus Tarkista välityspalvelinyhteys solmun ja välityspalvelimen välisen verkkoyhteyden testaamiseen. Jos yhteystesti epäonnistuu, näet virheilmoituksen, joka näyttää syyn ja kuinka voit korjata ongelman. Jos näet viestin, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen. Tämä ehto on odotettavissa monissa eksplisiittisissä välityspalvelinkokoonpanoissa. Voit jatkaa asennusta, ja solmu toimii estetty ulkoinen DNS-resoluutio -tilassa. Jos tämä on mielestäsi virhe, suorita nämä vaiheet ja katso sitten Poista Estetty ulkoinen DNS-resoluutiotila käytöstä. |
5 | Kun yhteystesti on läpäissyt, jos eksplisiittiselle välityspalvelimelle on asetettu vain https, käännä kytkin päälle Reititä kaikki portin 443/444 https-pyynnöt tästä solmusta nimenomaisen välityspalvelimen kautta. Tämän asetuksen voimaantulo kestää 15 sekuntia. |
6 | Klikkaus Asenna kaikki sertifikaatit Trust Storeen (näkyy eksplisiittiselle HTTPS-välityspalvelimelle tai läpinäkyvälle tarkastavalle välityspalvelimelle) tai Käynnistä uudelleen (näkyy HTTP-välityspalvelimen kohdalla), lue kehote ja napsauta sitten Asentaa jos olet valmis. Solmu käynnistyy uudelleen muutaman minuutin sisällä. |
7 | Kun solmu on käynnistynyt uudelleen, kirjaudu tarvittaessa uudelleen sisään ja avaa sitten Yleiskatsaus sivu tarkistaaksesi yhteystarkistukset varmistaaksesi, että ne ovat kaikki vihreässä tilassa. Välityspalvelinyhteyden tarkistus testaa vain webex.com-aliverkkotunnuksen. Jos yhteysongelmia ilmenee, yleinen ongelma on, että jotkin asennusohjeissa luetellut pilvialueet estetään välityspalvelimessa. |
Rekisteröi klusterin ensimmäinen solmu
Kun rekisteröit ensimmäisen solmun, luot klusterin, johon solmu on määritetty. Klusteri sisältää yhden tai useamman solmun, joka on otettu käyttöön redundanssin aikaansaamiseksi.
Ennen kuin aloitat
Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.
Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen sivustolle admin.webex.com.
1 | Kirjaudu sisään https://admin.webex.com. |
2 | Valitse näytön vasemman reunan valikosta Palvelut. |
3 | Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta Perustaa. Register Hybrid Data Security Node -sivu tulee näkyviin.
|
4 | Valitse Joo osoittaaksesi, että olet määrittänyt solmun ja olet valmis rekisteröimään sen, ja napsauta sitten Seuraava. |
5 | Kirjoita ensimmäiseen kenttään nimi klusterille, jolle haluat liittää hybriditietoturvasolmun. Suosittelemme, että nimeät klusterin sen mukaan, missä klusterin solmut sijaitsevat maantieteellisesti. Esimerkkejä: "San Francisco" tai "New York" tai "Dallas" |
6 | Kirjoita toiseen kenttään solmusi sisäinen IP-osoite tai täysin hyväksytty verkkotunnuksen nimi (FQDN) ja napsauta Seuraava. Tämän IP-osoitteen tai FQDN:n tulee vastata IP-osoitetta tai isäntänimeä ja verkkotunnusta, jossa käytit Määritä Hybrid Data Security VM. Näkyviin tulee viesti, joka ilmaisee, että voit rekisteröidä solmusi Webexiin.
|
7 | Klikkaus Siirry Nodeen. |
8 | Klikkaus Jatkaa varoitusviestissä. Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, Salli pääsy hybriditietoturvasolmuun -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa Webex-organisaatiollesi luvan käyttää solmuasi.
|
9 | Tarkista Salli pääsy hybriditietoturvasolmuun valintaruutu ja napsauta sitten Jatkaa. Tilisi on vahvistettu ja "Registration Complete" -viesti osoittaa, että solmu on nyt rekisteröity Webex-pilveen.
|
10 | Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle. Käytössä Hybriditietoturva -sivulla uusi klusteri, joka sisältää rekisteröimäsi solmun, tulee näkyviin. Solmu lataa automaattisesti uusimman ohjelmiston pilvestä.
|
Luo ja rekisteröi lisää solmuja
Tällä hetkellä varmuuskopioidut VM:t, joissa loit Täytä hybriditietoturvan edellytykset ovat valmiustilassa olevia isäntiä, joita käytetään vain katastrofipalautuksen yhteydessä; niitä ei ole rekisteröity järjestelmään ennen sitä. Katso lisätietoja Katastrofipalautus valmiustilan tietokeskuksen avulla. |
Ennen kuin aloitat
Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.
Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen sivustolle admin.webex.com.
1 | Luo uusi virtuaalikone OVA:sta toistamalla vaiheet Asenna HDS Host OVA. |
2 | Määritä uuden virtuaalikoneen alkuperäinen määritys toistamalla vaiheet Määritä Hybrid Data Security VM. |
3 | Toista vaiheet uudessa virtuaalikoneessa Lataa ja asenna HDS Configuration ISO. |
4 | Jos olet määrittämässä välityspalvelinta käyttöönotolle, toista vaiheet Määritä HDS-solmu välityspalvelinintegraatiota varten tarpeen mukaan uutta solmua varten. |
5 | Rekisteröi solmu. Solmusi on rekisteröity. Huomaa, että ennen kuin aloitat kokeilun, solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.
|
Mitä tehdä seuraavaksi
Kokeilu tuotantotehtäväkulkuun
Kun olet määrittänyt Hybrid Data Security -klusterin, voit aloittaa pilotin, lisätä siihen käyttäjiä ja alkaa käyttää sitä käyttöönoton testaamiseen ja tarkistamiseen valmistautuessasi tuotantoon siirtymiseen.
Ennen kuin aloitat
1 | Synkronoi tarvittaessa Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava |
2 |
Aloita kokeilu. Ennen kuin teet tämän tehtävän, solmusi luovat hälytyksen, joka ilmoittaa, että palvelua ei ole vielä aktivoitu. |
3 |
Tarkista, että avainpyynnöt välitetään Hybrid Data Security -käyttöönottoasi. |
4 | Tarkkaile hybriditietoturvan kuntoa Tarkista tila ja määritä sähköposti-ilmoitukset hälytyksiä varten. |
5 | |
6 | Suorita kokeiluvaihe loppuun jollakin seuraavista toimista: |
Aktivoi kokeiluversio
Ennen kuin aloitat
Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava HdsTrialGroup
ryhmäobjekti synkronoitavaksi pilveen ennen kuin voit aloittaa kokeilun organisaatiossasi. Katso ohjeet kohdasta Käyttöönottoopas Cisco Directory Connectorille.
1 | Kirjaudu sisään https://admin.webex.comja valitse sitten Palvelut. |
2 | Napsauta Hybriditietoturva-kohdassa asetukset. |
3 | Napsauta Palvelun tila -osiossa Aloita kokeilujakso. Palvelun tila vaihtuu kokeilutilaan.
|
4 | Klikkaus Lisää käyttäjiä ja syötä yhden tai useamman käyttäjän sähköpostiosoite, jota haluat pilotoida käyttämällä Hybrid Data Security -solmuja salaus- ja indeksointipalveluissa. (Jos organisaatiosi käyttää hakemistosynkronointia, hallinnoi kokeiluryhmää Active Directoryn avulla, |
Testaa hybriditietoturvaasi
Ennen kuin aloitat
Määritä Hybrid Data Security -käyttöönotto.
Aktivoi kokeilu ja lisää useita kokeilukäyttäjiä.
Varmista, että sinulla on pääsy syslogiin varmistaaksesi, että avainpyynnöt välitetään Hybrid Data Security -asennukseesi.
1 | Tietyn tilan avaimet asettaa tilan luoja. Kirjaudu Webex-sovellukseen yhtenä pilottikäyttäjistä ja luo sitten tila ja kutsu vähintään yksi pilottikäyttäjä ja yksi ei-pilottikäyttäjä.
| ||
2 | Lähetä viestejä uuteen tilaan. | ||
3 | Tarkista syslog-tuloste varmistaaksesi, että avainpyynnöt välitetään Hybrid Data Security -käyttöönottoasi. |
Tarkkaile hybriditietoturvan kuntoa
1 | Sisään Ohjauskeskus, valitse Palvelut näytön vasemmassa reunassa olevasta valikosta. |
2 | Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta asetukset. Hybriditietojen suojausasetukset -sivu tulee näkyviin.
|
3 | Kirjoita Sähköposti-ilmoitukset-osioon yksi tai useampi sähköpostiosoite pilkuilla erotettuna ja paina Tulla sisään. |
Lisää tai poista käyttäjiä kokeiluversiostasi
Jos poistat käyttäjän kokeilujaksosta, käyttäjän asiakasohjelma pyytää avaimia ja avainten luomista pilvi-KMS:stä KMS:n sijaan. Jos asiakas tarvitsee avaimen, joka on tallennettu KMS:ään, pilvi-KMS noutaa sen käyttäjän puolesta.
Jos organisaatiosi käyttää hakemistosynkronointia, käytä Active Directorya (tämän toimenpiteen sijaan) kokeiluryhmän hallintaan, HdsTrialGroup
; voit tarkastella ryhmän jäseniä Control Hubissa, mutta et voi lisätä tai poistaa niitä.
1 | Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut. |
2 | Napsauta Hybriditietoturva-kohdassa asetukset. |
3 | Napsauta Palvelun tila -alueen Kokeilutila-osiossa Lisää käyttäjiätai napsauta katsoa ja muokata poistaaksesi käyttäjät kokeilusta. |
4 | Kirjoita yhden tai useamman lisättävän käyttäjän sähköpostiosoite tai napsauta X käyttäjätunnuksella poistaaksesi käyttäjän kokeilusta. Napsauta sitten Tallentaa. |
Siirry kokeilusta tuotantoon
1 | Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut. |
2 | Napsauta Hybriditietoturva-kohdassa asetukset. |
3 | Napsauta Palvelun tila -osiossa Siirry tuotantoon. |
4 | Vahvista, että haluat siirtää kaikki käyttäjäsi tuotantoon. |
Lopeta kokeilu siirtymättä tuotantoon
1 | Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut. |
2 | Napsauta Hybriditietoturva-kohdassa asetukset. |
3 | Napsauta Poista käytöstä -osiossa Poista käytöstä. |
4 | Vahvista, että haluat poistaa palvelun käytöstä, ja lopeta kokeilu. |
Hallitse HDS-käyttöönottoa
Käytä tässä kuvattuja tehtäviä Hybrid Data Security -asennuksen hallintaan.
Aseta klusterin päivitysaikataulu
Päivitysaikataulun määrittäminen:
1 | Kirjaudu sisään Ohjauskeskus. |
2 | Valitse Yleiskatsaus-sivun Hybridipalvelut-kohdassa Hybriditietoturva. |
3 | Valitse Hybriditietoturvaresurssit-sivulla klusteri. |
4 | Valitse oikealla olevan Yleiskatsaus-paneelin Cluster Settings -kohdassa klusterin nimi. |
5 | Valitse Asetukset-sivun Päivitys-kohdasta aika ja aikavyöhyke päivitysaikataululle. Huomautus: Aikavyöhykkeen alla näytetään seuraavan saatavilla olevan päivityksen päivämäärä ja aika. Voit tarvittaessa siirtää päivityksen seuraavalle päivälle napsauttamalla Lykätä. |
Muuta solmun kokoonpanoa
x.509-varmenteiden muuttaminen vanhenemisen tai muiden syiden vuoksi.
Emme tue varmenteen CN-verkkotunnuksen vaihtamista. Verkkotunnuksen on vastattava klusterin rekisteröintiin käytettyä alkuperäistä verkkotunnusta.
Tietokannan asetusten päivittäminen PostgreSQL- tai Microsoft SQL Server -tietokannan kopioksi muuttamiseksi.
Emme tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin tai päinvastoin. Jos haluat vaihtaa tietokantaympäristöä, aloita uusi Hybrid Data Security -käyttöönotto.
Uuden kokoonpanon luominen uuden datakeskuksen valmistelemiseksi.
Lisäksi Hybrid Data Security käyttää turvallisuussyistä palvelutilin salasanoja, joiden käyttöikä on yhdeksän kuukautta. Kun HDS Setup -työkalu on luonut nämä salasanat, otat ne käyttöön jokaisessa HDS-solmussa ISO-määritystiedostossa. Kun organisaatiosi salasanat ovat vanhenemassa, saat Webex-tiimin ilmoituksen konetilin salasanan nollaamisesta. (Sähköposti sisältää tekstin "Käytä konetilin sovellusliittymää salasanan päivittämiseen.") Jos salasanasi eivät ole vielä vanhentuneet, työkalu tarjoaa kaksi vaihtoehtoa:
Pehmeä nollaus-Vanha ja uusi salasana ovat molemmat voimassa jopa 10 päivää. Käytä tätä ajanjaksoa korvataksesi solmujen ISO-tiedoston asteittain.
Laitekäynnistys-Vanhat salasanat lakkaavat toimimasta välittömästi.
Jos salasanasi vanhenevat ilman nollausta, se vaikuttaa HDS-palveluusi ja vaatii välitöntä hard resetin ja ISO-tiedoston vaihtamisen kaikissa solmuissa.
Käytä tätä menettelyä luodaksesi uuden ISO-määritystiedoston ja käyttääksesi sitä klusteriisi.
Ennen kuin aloitat
HDS-asennustyökalu toimii Docker-säiliönä paikallisessa koneessa. Voit käyttää sitä suorittamalla Dockerin kyseisessä koneessa. Asennusprosessi vaatii Control Hub -tilin kirjautumistiedot, jolla on täydet järjestelmänvalvojan oikeudet organisaatiollesi.
Jos HDS-asennustyökalu toimii välityspalvelimen takana ympäristössäsi, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien kautta, kun avaat Docker-säilön 1.e. Tässä taulukossa on joitain mahdollisia ympäristömuuttujia:
Kuvaus
Muuttuja
HTTP-välityspalvelin ilman todennusta
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-välityspalvelin ilman todennusta
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-välityspalvelin todennuksella
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-välityspalvelin todennuksella
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Tarvitset kopion nykyisestä ISO-määritystiedostosta uuden kokoonpanon luomiseksi. ISO sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset ISO-tunnuksen, kun teet muutoksia kokoonpanoon, mukaan lukien tietokannan tunnistetiedot, sertifikaattien päivitykset tai valtuutuskäytäntöjen muutokset.
1 | Suorita HDS Setup Tool käyttämällä Dockeria paikallisessa koneessa. |
2 | Jos käytössäsi on vain yksi HDS-solmu, luo uusi Hybrid Data Security -solmun VM ja rekisteröi se käyttämällä uutta ISO-määritystiedostoa. Katso tarkemmat ohjeet Luo ja rekisteröi lisää solmuja. |
3 | Asenna ISO-tiedosto olemassa oleville HDS-solmuille, jotka käyttävät vanhempaa määritystiedostoa. Suorita seuraava toimenpide jokaiselle solmulle vuorotellen päivittämällä jokainen solmu ennen kuin sammutat seuraavan solmun: |
4 | Toista vaihe 3 korvataksesi kokoonpanon jokaisessa jäljellä olevassa solmussa, joka käyttää vanhaa kokoonpanoa. |
Poista Estetty ulkoinen DNS-resoluutiotila käytöstä
Kun rekisteröit solmun tai tarkistat solmun välityspalvelimen kokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex-pilveen. Jos solmun DNS-palvelin ei pysty ratkaisemaan julkisia DNS-nimiä, solmu siirtyy automaattisesti Estetty ulkoinen DNS-ratkaisu -tilaan.
Jos solmusi pystyvät ratkaisemaan julkiset DNS-nimet sisäisten DNS-palvelimien kautta, voit poistaa tämän tilan käytöstä suorittamalla välityspalvelinyhteystestin uudelleen jokaisessa solmussa.
Ennen kuin aloitat
1 | Avaa verkkoselaimessa Hybrid Data Security -solmun käyttöliittymä (IP-osoite/asetus esim. https://192.0.2.0/setup), anna solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään. |
2 | Mene Yleiskatsaus (oletussivu). Kun käytössä, Estetty ulkoinen DNS-resoluutio on asetettu Joo. |
3 | Siirry kohtaan Trust Store ja välityspalvelin sivu. |
4 | Klikkaus Tarkista välityspalvelinyhteys. Jos näet viestin, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen ja pysyy tässä tilassa. Muussa tapauksessa käynnistät solmun uudelleen ja palaat takaisin Yleiskatsaus -sivulla Estetty ulkoinen DNS-resoluutio tulee asettaa arvoon ei. |
Mitä tehdä seuraavaksi
Poista solmu
1 | Käytä tietokoneesi VMware vSphere -asiakasta kirjautuaksesi ESXi-virtuaaliisäntään ja sammuttaaksesi virtuaalikoneen. |
2 | Poista solmu: |
3 | Poista VM vSphere-asiakkaassa. (Napsauta VM:tä hiiren kakkospainikkeella vasemmassa navigointiruudussa ja napsauta Poistaa.) Jos et poista virtuaalikonetta, muista irrottaa määritysten ISO-tiedosto. Ilman ISO-tiedostoa et voi käyttää suojaustietojasi virtuaalikoneella. |
Katastrofipalautus valmiustilan tietokeskuksen avulla
Hybrid Data Security -klusterisi kriittisin palvelu on viestien ja muun Webex-pilveen tallennetun sisällön salaamiseen käytettävien avaimien luominen ja tallennus. Jokaiselle organisaation käyttäjälle, joka on määritetty hybriditietoturvaan, uudet avaintenluontipyynnöt reititetään klusteriin. Klusteri on myös vastuussa luomiensa avainten palauttamisesta kaikille käyttäjille, joilla on oikeus noutaa ne, esimerkiksi keskustelutilan jäsenille.
Koska klusteri suorittaa näiden avainten kriittisen toiminnon, on välttämätöntä, että klusteri pysyy käynnissä ja että asianmukaiset varmuuskopiot ylläpidetään. Hybrid Data Security -tietokannan tai skeemaa varten käytetyn konfiguraatio-ISO:n katoaminen johtaa asiakkaan sisällön PALAUTTAMATTOMAN MENETTYMISEEN. Seuraavat käytännöt ovat pakollisia tällaisten menetysten estämiseksi:
Jos katastrofin vuoksi HDS-asennus ei ole käytettävissä ensisijaisessa datakeskuksessa, noudata näitä ohjeita ja siirry manuaalisesti valmiustilan datakeskukseen.
1 | Käynnistä HDS Setup -työkalu ja noudata kohdassa mainittuja vaiheita Luo konfigurointi-ISO HDS-isäntäkoneille. | ||
2 | Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset | ||
3 | Käytössä Lisäasetukset -sivulle, lisää kokoonpano alla tai poista
| ||
4 | Viimeistele määritysprosessi ja tallenna ISO-tiedosto paikkaan, joka on helppo löytää. | ||
5 | Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmääsi. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää pääsalausavaimen tietokannan sisällölle. Rajoita pääsy vain niille Hybrid Data Security -järjestelmänvalvojille, joiden tulee tehdä kokoonpanomuutoksia. | ||
6 | Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia.. | ||
7 | Klikkaus Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.
| ||
8 | Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 15 minuuttiin. | ||
9 | Toista prosessi jokaiselle valmiustilan datakeskuksen solmulle.
|
Mitä tehdä seuraavaksi
(Valinnainen) Irrota ISO HDS-määrityksen jälkeen
HDS-standardikokoonpano toimii ISO-asennuksella. Jotkut asiakkaat eivät kuitenkaan halua jättää ISO-tiedostoja jatkuvasti asennettavaksi. Voit irrottaa ISO-tiedoston, kun kaikki HDS-solmut ovat ottaneet uuden kokoonpanon.
Käytät edelleen ISO-tiedostoja konfiguraatiomuutosten tekemiseen. Kun luot uuden ISO:n tai päivität ISO:n Setup Toolin kautta, päivitetty ISO on asennettava kaikkiin HDS-solmuihin. Kun kaikki solmut ovat havainneet konfiguraatiomuutokset, voit irrottaa ISO:n uudelleen tällä menettelyllä.
Ennen kuin aloitat
Päivitä kaikki HDS-solmut versioon 2021.01.22.4720 tai uudempaan.
1 | Sulje yksi HDS-solmuistasi. |
2 | Valitse vCenter Server Appliancessa HDS-solmu. |
3 | Valita Datastore ISO-tiedosto. ja poista valinta |
4 | Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 20 minuuttiin. |
5 | Toista jokaiselle HDS-solmulle vuorotellen. |
Näytä hälytykset ja vianetsintä
Hybrid Data Security -asennuksen katsotaan olevan käyttökelvoton, jos kaikkiin klusterin solmuihin ei saada yhteyttä tai klusteri toimii niin hitaasti, että se pyytää aikakatkaisua. Jos käyttäjät eivät saa yhteyttä hybriditietoturvaklusteriisi, he kokevat seuraavat oireet:
Uusia tiloja ei voi luoda (ei voi luoda uusia avaimia)
Viestien ja välilyöntien otsikoiden salauksen purkaminen epäonnistuu:
Uusia käyttäjiä lisätty välilyöntiin (avaimia ei voi noutaa)
Olemassa olevat käyttäjät tilassa, jotka käyttävät uutta asiakasohjelmaa (avaimia ei voi noutaa)
Tilassa olevat käyttäjät jatkavat toimintaansa niin kauan kuin heidän asiakkaillaan on salausavainten välimuisti
On tärkeää, että valvot Hybrid Data Security -klusteriasi oikein ja käsittelet kaikki hälytykset välittömästi, jotta vältyt palvelun keskeytymiseltä.
Hälytykset
Jos Hybrid Data Security -asetuksissa on ongelma, Control Hub näyttää hälytyksiä organisaation järjestelmänvalvojalle ja lähettää sähköpostit määritettyyn sähköpostiosoitteeseen. Hälytykset kattavat monia yleisiä skenaarioita.
Varoitus | Toiminta |
---|---|
Paikallisen tietokannan käyttövirhe. |
Tarkista tietokantavirheiden tai paikallisverkko-ongelmien varalta. |
Paikallinen tietokantayhteys epäonnistui. |
Tarkista, että tietokantapalvelin on käytettävissä ja että solmun määrityksessä käytettiin oikeita palvelutilin tunnistetietoja. |
Pilvipalvelun käyttövirhe. |
Tarkista, että solmut voivat käyttää Webex-palvelimia kohdassa määritetyllä tavalla Ulkoisen yhteyden vaatimukset. |
Pilvipalvelurekisteröinnin uusiminen. |
Rekisteröityminen pilvipalveluihin lopetettiin. Rekisteröinnin uusiminen on käynnissä. |
Pilvipalvelun rekisteröinti putosi. |
Rekisteröityminen pilvipalveluihin on lopetettu. Palvelu suljetaan. |
Palvelua ei ole vielä aktivoitu. |
Aktivoi kokeilu tai lopeta kokeilun siirtäminen tuotantoon. |
Määritetty toimialue ei vastaa palvelimen varmennetta. |
Varmista, että palvelinvarmenne vastaa määritettyä palvelun aktivointitoimialuetta. Todennäköisin syy on se, että varmenne CN on äskettäin vaihdettu ja on nyt eri kuin alkuperäisen asennuksen aikana käytetty CN. |
Todennus pilvipalveluihin epäonnistui. |
Tarkista palvelutilin kirjautumistietojen tarkkuus ja mahdollinen vanheneminen. |
Paikallisen avainsäilytystiedoston avaaminen epäonnistui. |
Tarkista paikallisen avainsäilytystiedoston eheys ja salasanan tarkkuus. |
Paikallisen palvelimen varmenne on virheellinen. |
Tarkista palvelinvarmenteen viimeinen voimassaolopäivä ja varmista, että sen on myöntänyt luotettava varmenteen myöntäjä. |
Mittareita ei voi lähettää. |
Tarkista paikallisen verkon pääsy ulkoisiin pilvipalveluihin. |
/media/configdrive/hds-hakemistoa ei ole olemassa. |
Tarkista virtuaalipalvelimen ISO-asennusasetukset. Varmista, että ISO-tiedosto on olemassa, että se on määritetty liitettäväksi uudelleenkäynnistyksen yhteydessä ja että se liitetään onnistuneesti. |
Hybriditietoturvan vianetsintä
1 | Tarkista Control Hub mahdollisten hälytysten varalta ja korjaa sieltä löytämäsi kohteet. |
2 | Tarkista syslog-palvelimen tulos Hybrid Data Security -asennuksen toiminnan varalta. |
3 | Ottaa yhteyttä Ciscon tuki. |
Hybriditietoturvan tunnetut ongelmat
Jos suljet Hybrid Data Security -klusterin (poistamalla sen Control Hubissa tai sulkemalla kaikki solmut), menetät määritysten ISO-tiedostosi tai menetät pääsyn avainsäilötietokantaan, Webex-sovelluksesi käyttäjät eivät voi enää käyttää välilyöntejä ihmisten alla. luettelo, joka on luotu KMS:n avaimilla. Tämä koskee sekä koekäyttöä että tuotantokäyttöä. Meillä ei tällä hetkellä ole ratkaisua tai korjausta tähän ongelmaan, ja kehotamme sinua olemaan sulkematta HDS-palvelujasi, kun ne käsittelevät aktiivisia käyttäjätilejä.
Asiakas, jolla on olemassa ECDH-yhteys KMS-järjestelmään, ylläpitää tätä yhteyttä tietyn ajan (todennäköisesti tunnin). Kun käyttäjästä tulee Hybrid Data Security -kokeiluversion jäsen, käyttäjän asiakas jatkaa olemassa olevan ECDH-yhteyden käyttöä, kunnes se aikakatkaisee. Vaihtoehtoisesti käyttäjä voi kirjautua ulos ja takaisin sisään Webex App -sovellukseen päivittääkseen sijainnin, johon sovellus ottaa yhteyttä salausavaimia varten.
Sama käyttäytyminen tapahtuu, kun siirrät kokeilun organisaation tuotantoon. Kaikki muut kuin kokeilukäyttäjät, joilla on olemassa ECDH-yhteydet aikaisempiin tietoturvapalveluihin, jatkavat näiden palvelujen käyttöä, kunnes ECDH-yhteys neuvotellaan uudelleen (aikakatkaisun kautta tai kirjautumalla ulos ja takaisin sisään).
Luo PKCS12-tiedosto OpenSSL:n avulla
Ennen kuin aloitat
OpenSSL on yksi työkalu, jonka avulla PKCS12-tiedosto voidaan tehdä oikeaan muotoon ladattavaksi HDS-asennustyökaluun. On olemassa muitakin tapoja tehdä tämä, emmekä tue tai mainosta yhtä tapaa toisen edelle.
Jos päätät käyttää OpenSSL:ää, tarjoamme tämän menettelyn ohjeeksi, joka auttaa sinua luomaan tiedoston, joka täyttää X.509-varmennevaatimukset X.509 Varmennevaatimukset. Ymmärrä nämä vaatimukset ennen kuin jatkat.
Asenna OpenSSL tuettuun ympäristöön. Katso https://www.openssl.org ohjelmistoa ja dokumentaatiota varten.
Luo yksityinen avain.
Aloita tämä toimenpide, kun saat palvelinvarmenteen varmenteen myöntäjältä (CA).
1 | Kun saat palvelinvarmenteen CA:lta, tallenna se nimellä |
2 | Näytä varmenne tekstinä ja tarkista tiedot.
|
3 | Luo tekstieditorilla varmennepakettitiedosto nimeltä
|
4 | Luo .p12-tiedosto ystävällisellä nimellä
|
5 | Tarkista palvelimen varmenteen tiedot. |
Mitä tehdä seuraavaksi
Palata Täytä hybriditietoturvan edellytykset. Tulet käyttämään hdsnode.p12
tiedosto ja sille määrittämäsi salasana Luo konfigurointi-ISO HDS-isäntäkoneille.
Voit käyttää näitä tiedostoja uudelleen pyytääksesi uutta varmennetta, kun alkuperäinen varmenne vanhenee. |
Liikenne HDS-solmujen ja pilven välillä
Lähtevän mittaustietojen keräämisen liikenne
Hybrid Data Security -solmut lähettävät tiettyjä mittareita Webex-pilveen. Näitä ovat järjestelmän mittarit keon enimmäismäärälle, käytetylle keolle, suorittimen kuormitukselle ja säikeiden määrälle; synkronisten ja asynkronisten säikeiden metriikka; tiedot hälytyksistä, jotka koskevat salausyhteyksien kynnystä, latenssia tai pyyntöjonon pituutta; tietovaraston mittarit; ja salausyhteystiedot. Solmut lähettävät salattua avainmateriaalia kaistan ulkopuolisen (pyynnöstä erillisen) kanavan kautta.
Sisääntuleva liikenne
Hybriditietoturvasolmut vastaanottavat seuraavan tyyppistä saapuvaa liikennettä Webex-pilvestä:
Asiakkailta tulevat salauspyynnöt, jotka salauspalvelu reitittää
Päivitykset solmuohjelmistoon
Määritä Squid-välityspalvelimet hybriditietoturvaa varten
Websocket ei voi muodostaa yhteyttä Squid-välityspalvelimen kautta
Squid-välityspalvelimet, jotka tarkastavat HTTPS-liikennettä, voivat häiritä verkkopistorasian ( wss:
) yhteyksiä, joita Hybrid Data Security vaatii. Nämä osiot antavat ohjeita Squidin eri versioiden konfiguroinnista ohitettaviksi wss:
liikennettä palvelujen moitteettoman toiminnan varmistamiseksi.
Kalmari 4 ja 5
Lisää on_unsupported_protocol
ohje squid.conf
:
on_unsupported_protocol tunnel all
Kalmari 3.5.27
Testasimme onnistuneesti Hybrid Data Securityn seuraavilla säännöillä lisättynä squid.conf
. Nämä säännöt voivat muuttua, kun kehitämme ominaisuuksia ja päivitämme Webex-pilviä.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Uutta ja muuttunutta tietoa
Päiväys | Muutoksia tehty | ||
---|---|---|---|
20. lokakuuta 2023 |
| ||
07. elokuuta 2023 |
| ||
23. toukokuuta 2023 |
| ||
06. joulukuuta 2022 |
| ||
23. marraskuuta 2022 |
| ||
13. lokakuuta 2021 | Docker Desktopin on suoritettava asennusohjelma, ennen kuin voit asentaa HDS-solmuja. Katso Docker Desktop -vaatimukset. | ||
24. kesäkuuta 2021 | Huomioi, että voit käyttää yksityisen avaimen tiedostoa ja CSR:ää uudelleen pyytääksesi uutta varmennetta. Katso Luo PKCS12-tiedosto OpenSSL:n avulla yksityiskohtia varten. | ||
30. huhtikuuta 2021 | Paikallisen kiintolevytilan VM-vaatimus muutettiin 30 Gt:ksi. Katso Virtuaalipalvelimen vaatimukset yksityiskohtia varten. | ||
24. helmikuuta 2021 | HDS Setup Tool voi nyt toimia välityspalvelimen takana. Katso Luo konfigurointi-ISO HDS-isäntäkoneille yksityiskohtia varten. | ||
2. helmikuuta 2021 | HDS voi nyt toimia ilman asennettua ISO-tiedostoa. Katso (Valinnainen) Irrota ISO HDS-määrityksen jälkeen yksityiskohtia varten. | ||
11. tammikuuta 2021 | Lisätty tietoja HDS Setup -työkalusta ja välityspalvelimista Luo konfigurointi-ISO HDS-isäntäkoneille. | ||
13. lokakuuta 2020 | Päivitetty Lataa asennustiedostot. | ||
8. lokakuuta 2020 | Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa komennoilla FedRAMP-ympäristöille. | ||
14. elokuuta 2020 | Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa kirjautumisprosessin muutoksilla. | ||
5. elokuuta 2020 | Päivitetty Testaa hybriditietoturvaasi lokiviestien muutoksille. Päivitetty Virtuaalipalvelimen vaatimukset poistaaksesi enimmäismäärän isäntiä. | ||
16. kesäkuuta 2020 | Päivitetty Poista solmu Control Hub -käyttöliittymän muutoksille. | ||
4. kesäkuuta 2020 | Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille muutoksista lisäasetuksiin, jotka voit määrittää. | ||
29. toukokuuta 2020 | Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille näyttää, että voit myös käyttää TLS:ää SQL Server -tietokantojen, käyttöliittymämuutosten ja muiden selvennusten kanssa. | ||
5. toukokuuta 2020 | Päivitetty Virtuaalipalvelimen vaatimukset näyttää ESXi 6.5:n uusi vaatimus. | ||
21. huhtikuuta 2020 | Päivitetty Ulkoisen yhteyden vaatimukset uusien Americas CI:n isäntien kanssa. | ||
1. huhtikuuta 2020 | Päivitetty Ulkoisen yhteyden vaatimukset tiedot alueellisista CI-isännöistä. | ||
20. helmikuuta 2020 | Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille tietoja uudesta valinnaisesta Lisäasetukset-näytöstä HDS-asetustyökalussa. | ||
4. helmikuuta 2020 | Päivitetty Välityspalvelinvaatimukset. | ||
16. joulukuuta 2019 | Selvensi vaatimusta, jonka mukaan estetty ulkoinen DNS-resoluutiotila toimii Välityspalvelinvaatimukset. | ||
19. marraskuuta 2019 | Lisätty tietoja Estetystä ulkoisesta DNS-resoluutiotilasta seuraaviin osioihin: | ||
8. marraskuuta 2019 | Voit nyt määrittää solmun verkkoasetukset OVA:n käyttöönoton aikana eikä sen jälkeen. Päivitetty seuraavat osiot vastaavasti:
| ||
6. syyskuuta 2019 | SQL Server Standard lisätty Tietokantapalvelimen vaatimukset. | ||
29. elokuuta 2019 | Lisätty Määritä Squid-välityspalvelimet hybriditietoturvaa varten liite, jossa on ohjeet Squid-välityspalvelinten määrittämiseen niin, että ne jättävät verkkosocket-liikenteen huomioimatta oikean toiminnan varmistamiseksi. | ||
20. elokuuta 2019 | Lisätty ja päivitetty osiot, jotka kattavat välityspalvelintuen Hybrid Data Security -solmuviestinnälle Webex-pilveen. Jos haluat käyttää vain olemassa olevan käyttöönoton välityspalvelimen tukisisältöä, katso Välityspalvelintuki hybriditietoturvalle ja Webex Video Meshille ohjeartikkeli. | ||
13. kesäkuuta 2019 | Päivitetty Kokeilu tuotantotehtäväkulkuun ja muistutus synkronoida HdsTrialGroup ryhmäobjektin ennen kokeilun aloittamista, jos organisaatiosi käyttää hakemistosynkronointia. | ||
6. maaliskuuta 2019 |
| ||
28. helmikuuta 2019 |
| ||
26. helmikuuta 2019 |
| ||
24. tammikuuta 2019 |
| ||
5. marraskuuta 2018 |
| ||
19. lokakuuta 2018 |
| ||
31. heinäkuuta 2018 |
| ||
21. toukokuuta 2018 | Muutettu terminologia vastaamaan Cisco Sparkin uudelleenbrändäystä:
| ||
11. huhtikuuta 2018 |
| ||
22. helmikuuta 2018 |
| ||
15. helmikuuta 2018 |
| ||
18. tammikuuta 2018 |
| ||
2. marraskuuta 2017 |
| ||
18. elokuuta 2017 | Ensimmäinen julkaistu |
Hybridin tietoturvan yleiskatsaus
Tietoturva on ollut ensimmäisestä päivästä lähtien suunnittelun pääpaino Webex-sovellus. Tämän suojauksen kulmakivi on päästä päähän -sisällön salaus, jonka mahdollistaa Webex-sovellus asiakkaat, jotka ovat vuorovaikutuksessa Key Management Servicen (KMS) kanssa. KMS on vastuussa salausavaimien luomisesta ja hallinnasta, joita asiakkaat käyttävät viestien ja tiedostojen dynaamiseen salaukseen ja salauksen purkamiseen.
Oletuksena kaikki Webex-sovellus asiakkaat saavat päästä päähän -salauksen dynaamisilla avaimilla, jotka on tallennettu pilvi-KMS:ään Ciscon tietoturva-alueella. Hybrid Data Security siirtää KMS:n ja muut turvallisuuteen liittyvät toiminnot yrityksesi datakeskukseen, joten kukaan muu kuin sinä omistaa salatun sisältösi avaimet.
Security Realm -arkkitehtuuri
Webex-pilviarkkitehtuuri erottaa erityyppiset palvelut erillisiksi alueiksi tai luottamusalueiksi, kuten alla on kuvattu.
Ymmärtääksemme paremmin hybriditietoturvaa, katsotaanpa ensin tätä puhdasta pilvikoteloa, jossa Cisco tarjoaa kaikki toiminnot pilvialueillaan. Identiteettipalvelu, ainoa paikka, jossa käyttäjät voidaan suoraan korreloida henkilökohtaisten tietojensa, kuten sähköpostiosoitteensa kanssa, on loogisesti ja fyysisesti erillään tietokeskuksen B turvallisuusalueesta. Molemmat ovat puolestaan erillisiä alueesta, johon salattu sisältö lopulta tallennetaan. , palvelinkeskuksessa C.
Tässä kaaviossa asiakas on Webex-sovellus, joka toimii käyttäjän kannettavassa tietokoneessa ja on todennettu identiteettipalvelulla. Kun käyttäjä kirjoittaa tilaan lähetettävän viestin, seuraavat vaiheet tapahtuvat:
Asiakas muodostaa suojatun yhteyden avaintenhallintapalveluun (KMS) ja pyytää sitten avainta viestin salaamiseksi. Suojattu yhteys käyttää ECDH:ta, ja KMS salaa avaimen AES-256-pääavaimella.
Viesti salataan ennen kuin se lähtee asiakkaalta. Asiakas lähettää sen indeksointipalveluun, joka luo salattuja hakuhakemistoja auttamaan tulevia sisällönhakuja.
Salattu viesti lähetetään vaatimustenmukaisuuspalveluun vaatimustenmukaisuustarkastuksia varten.
Salattu viesti tallennetaan tallennusalueelle.
Kun otat käyttöön Hybrid Data Securityn, siirrät suojausalueen toiminnot (KMS, indeksointi ja vaatimustenmukaisuus) paikalliseen tietokeskukseesi. Muut Webexin muodostavat pilvipalvelut (mukaan lukien identiteetti ja sisällön tallennus) jäävät Ciscon toimialueille.
Yhteistyö muiden organisaatioiden kanssa
Organisaatiosi käyttäjät voivat säännöllisesti käyttää Webex-sovellusta tehdäkseen yhteistyötä muiden organisaatioiden ulkopuolisten osallistujien kanssa. Kun joku käyttäjistäsi pyytää avainta organisaatiosi omistamaan tilaan (koska sen on luonut yksi käyttäjistäsi), KMS lähettää avaimen asiakkaalle ECDH-suojatun kanavan kautta. Kuitenkin, kun toinen organisaatio omistaa tilan avaimen, KMS-järjestelmäsi reitittää pyynnön Webex-pilveen erillisen ECDH-kanavan kautta saadakseen avaimen asianmukaiselta KMS:ltä ja palauttaa sitten avaimen käyttäjällesi alkuperäisessä kanavassa.
Organisaatiossa A toimiva KMS-palvelu vahvistaa yhteydet muiden organisaatioiden KMS-järjestelmiin käyttämällä x.509 PKI -varmenteita. Katso Valmistele ympäristösi lisätietoja x.509-varmenteen luomisesta käytettäväksi Hybrid Data Security -asennuksesi kanssa.
Hybriditietoturvan käyttöönottoon liittyvät odotukset
Hybrid Data Security -käyttöönotto edellyttää merkittävää asiakkaiden sitoutumista ja tietoisuutta salausavainten omistamiseen liittyvistä riskeistä.
Hybriditietoturvan käyttöönottoa varten sinun on toimitettava:
Turvallinen datakeskus maassa, joka on a Cisco Webex Teams -suunnitelmien tuettu sijainti.
Kohdassa kuvatut laitteet, ohjelmistot ja verkkoyhteys Valmistele ympäristösi.
Joko Hybrid Data Securitylle luomasi ISO-kokoonpanon tai toimittamasi tietokannan täydellinen menetys johtaa avainten katoamiseen. Avaimen katoaminen estää käyttäjiä purkamasta avaruussisällön ja muiden salattujen tietojen salausta Webex Appissa. Jos näin tapahtuu, voit rakentaa uuden käyttöönoton, mutta vain uusi sisältö näkyy. Jotta et menetä tietoja, sinun on:
Hallitse tietokannan varmuuskopiointia ja palautusta sekä ISO-konfiguraatiota.
Ole valmis suorittamaan nopean katastrofipalautuksen, jos tapahtuu katastrofi, kuten tietokantalevyvika tai tietokeskuksen katastrofi.
Ei ole mekanismia avainten siirtämiseksi takaisin pilveen HDS-asennuksen jälkeen. |
Korkean tason asennusprosessi
Tämä asiakirja kattaa Hybrid Data Securityn käyttöönoton ja hallinnan:
Ota käyttöön hybriditietoturva– Tämä sisältää tarvittavan infrastruktuurin valmistelemisen ja Hybrid Data Security -ohjelmiston asentamisen, käyttöönoton testaamisen käyttäjien osajoukolla kokeilutilassa ja, kun testaus on valmis, siirtyminen tuotantoon. Tämä muuntaa koko organisaation käyttämään Hybrid Data Security -klusteriasi suojaustoimintoihin.
Asennus-, kokeilu- ja tuotantovaiheet käsitellään yksityiskohtaisesti seuraavassa kolmessa luvussa.
Ylläpidä Hybrid Data Security -käyttöönottoasi— Webex-pilvi tarjoaa automaattisesti jatkuvat päivitykset. IT-osastosi voi tarjota ykköstason tukea tälle käyttöönotolle ja Ciscon tukea tarvittaessa. Voit käyttää näytön ilmoituksia ja määrittää sähköpostipohjaisia hälytyksiä Control Hubissa.
Ymmärrä yleiset hälytykset, vianetsintävaiheet ja tunnetut ongelmat— Jos Hybrid Data Securityn käyttöönotossa tai käytössä ilmenee ongelmia, tämän oppaan viimeinen luku ja Tunnetut ongelmat -liite voivat auttaa sinua määrittämään ja korjaamaan ongelman.
Hybriditietoturvan käyttöönottomalli
Otat yrityksesi tietokeskuksessa käyttöön Hybrid Data Securityn yhtenä solmuklusterina erillisissä virtuaalikoneissa. Solmut kommunikoivat Webex-pilven kanssa suojattujen verkkoliitäntöjen ja suojatun HTTP:n kautta.
Asennusprosessin aikana annamme sinulle OVA-tiedoston, jonka avulla voit määrittää virtuaalilaitteiston toimittamillesi VM-koneille. Käytät HDS Setup Toolia luodaksesi mukautetun klusterin kokoonpanon ISO-tiedoston, joka liitetään kuhunkin solmuun. Hybrid Data Security -klusteri käyttää toimittamaasi Syslogd-palvelinta ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. (Määrität Syslogd- ja tietokantayhteystiedot HDS-asennustyökalussa.)
Solmujen vähimmäismäärä klusterissa on kaksi. Suosittelemme vähintään kolmea, ja sinulla voi olla jopa viisi. Useiden solmujen käyttö varmistaa, että palvelu ei keskeydy ohjelmistopäivityksen tai muun solmun ylläpitotoimenpiteen aikana. (Webex-pilvi päivittää vain yhden solmun kerrallaan.)
Kaikki klusterin solmut käyttävät samaa avaintietovarastoa ja kirjaavat toiminnan samaan lokipalvelimeen. Itse solmut ovat valtiottomia ja käsittelevät avainpyyntöjä kiertoteitse pilven ohjeiden mukaisesti.
Solmut aktivoituvat, kun rekisteröit ne Control Hubiin. Voit poistaa yksittäisen solmun käytöstä poistamalla sen rekisteröinnin ja rekisteröimällä sen myöhemmin uudelleen tarvittaessa.
Tuemme vain yhtä klusteria organisaatiota kohden.
Hybriditietoturvan kokeilutila
Kun olet määrittänyt Hybrid Data Security -asennuksen, kokeile sitä ensin pilottikäyttäjien kanssa. Kokeilujakson aikana nämä käyttäjät käyttävät paikallista Hybrid Data Security -toimialuettasi salausavaimiin ja muihin tietoturvapalveluihin. Muut käyttäjäsi jatkavat pilviturvallisuuden käyttöä.
Jos päätät olla jatkamatta käyttöönottoa kokeilun aikana ja poistaa palvelun käytöstä, pilottikäyttäjät ja kaikki käyttäjät, joiden kanssa he ovat olleet vuorovaikutuksessa luomalla uusia tiloja kokeilujakson aikana, menettävät pääsyn viesteihin ja sisältöön. He näkevät Webex-sovelluksessa "Tätä viestiä ei voi purkaa".
Jos olet vakuuttunut siitä, että käyttöönottosi toimii hyvin kokeilukäyttäjille ja olet valmis laajentamaan Hybrid Data Securityn koskemaan kaikkia käyttäjiäsi, siirrät käyttöönoton tuotantoon. Pilottikäyttäjät voivat edelleen käyttää avaimia, jotka olivat käytössä kokeilun aikana. Et kuitenkaan voi siirtyä edestakaisin tuotantotilan ja alkuperäisen kokeilun välillä. Jos sinun on deaktivoitava palvelu, esimerkiksi suorittaaksesi hätäpalautuksen, uudelleenaktivoinnin yhteydessä sinun on aloitettava uusi kokeiluversio ja määritettävä pilottikäyttäjät uudelle kokeilujaksolle ennen kuin siirryt takaisin tuotantotilaan. Se, voivatko käyttäjät säilyttää pääsyn tietoihin tässä vaiheessa, riippuu siitä, oletko onnistuneesti ylläpitänyt avaintietovaraston ja ISO-määritystiedoston varmuuskopioita klusterin hybriditietoturvasolmuille.
Standby Data Center katastrofipalautukseen
Käyttöönoton aikana määrität suojatun valmiustilan tietokeskuksen. Palvelinkeskuksen katastrofin sattuessa voit epäonnistua käyttöönoton manuaalisesti valmiustilassa olevaan datakeskukseen.
Aktiivisten ja valmiustilassa olevien datakeskusten tietokannat ovat synkronoituja keskenään, mikä minimoi vikasietoisuuden suorittamiseen kuluvan ajan. Valmiustilan palvelinkeskuksen ISO-tiedosto päivitetään lisäkonfiguraatioilla, jotka varmistavat, että solmut ovat rekisteröityneet organisaatioon, mutta eivät käsittele liikennettä. Näin ollen valmiustilan datakeskuksen solmut pysyvät aina ajan tasalla HDS-ohjelmiston uusimman version kanssa.
Aktiivisten Hybrid Data Security -solmujen on aina oltava samassa tietokeskuksessa aktiivisen tietokantapalvelimen kanssa. |
Määritä valmiustilassa oleva tietokeskus katastrofipalautusta varten
Määritä valmiustilassa olevan datakeskuksen ISO-tiedosto seuraavasti:
Ennen kuin aloitat
Valmiustilassa olevan datakeskuksen tulee peilata virtuaalikoneiden tuotantoympäristöä ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. Jos tuotannossa on esimerkiksi 3 VM:tä, jotka käyttävät HDS-solmuja, varmuuskopiointiympäristössä tulisi olla 3 virtuaalikonetta. (Katso Standby Data Center katastrofipalautukseen saadaksesi yleiskatsauksen tästä vikasietomallista.)
Varmista, että tietokannan synkronointi on käytössä aktiivisten ja passiivisten klusterisolmujen tietokannan välillä.
1 | Käynnistä HDS Setup -työkalu ja noudata kohdassa mainittuja vaiheita Luo konfigurointi-ISO HDS-isäntäkoneille.
| ||
2 | Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset | ||
3 | Käytössä Lisäasetukset sivulla, lisää alla oleva kokoonpano asettaaksesi solmun passiiviseen tilaan. Tässä tilassa solmu rekisteröidään organisaatioon ja yhdistetään pilveen, mutta se ei käsittele liikennettä.
| ||
4 | Viimeistele määritysprosessi ja tallenna ISO-tiedosto paikkaan, joka on helppo löytää. | ||
5 | Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmääsi. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää pääsalausavaimen tietokannan sisällölle. Rajoita pääsy vain niille Hybrid Data Security -järjestelmänvalvojille, joiden tulee tehdä kokoonpanomuutoksia. | ||
6 | Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia.. | ||
7 | Klikkaus Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.
| ||
8 | Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 15 minuuttiin. | ||
9 | Toista prosessi jokaiselle valmiustilan datakeskuksen solmulle.
|
Mitä tehdä seuraavaksi
Konfiguroinnin jälkeen passiveMode
ISO-tiedostossa ja tallentamalla sen, voit luoda ISO-tiedostosta toisen kopion ilman passiveMode
määritykset ja tallenna se turvalliseen paikkaan. Tämä kopio ISO-tiedostosta ilman passiveMode
konfiguroitu voi auttaa nopeassa vikasietoprosessissa katastrofipalautuksen aikana. Katso Katastrofipalautus valmiustilan tietokeskuksen avulla yksityiskohtaista vikasietoprosessia varten.
Välityspalvelimen tuki
Hybrid Data Security tukee eksplisiittisiä, läpinäkyviä tarkastuksia ja ei-tarkistavia välityspalvelimia. Voit sitoa nämä välityspalvelimet käyttöönottoasi, jotta voit suojata ja valvoa liikennettä yrityksestä pilveen. Voit käyttää alustan järjestelmänvalvojan käyttöliittymää solmuissa varmenteiden hallintaan ja yleisen yhteyden tilan tarkistamiseen sen jälkeen, kun olet määrittänyt solmujen välityspalvelimen.
Hybrid Data Security -solmut tukevat seuraavia välityspalvelinvaihtoehtoja:
Ei välityspalvelinta— Oletusasetus, jos et käytä HDS-solmun asetusten Trust Store & Proxy -kokoonpanoa välityspalvelimen integroimiseen. Varmennepäivitystä ei tarvita.
Läpinäkyvä ei-tarkistava välityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen tarkastamattoman välityspalvelimen kanssa. Varmennepäivitystä ei tarvita.
Läpinäkyvä tunnelointi tai tarkastusvälityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta. Solmuihin ei tarvita HTTP- tai HTTPS-kokoonpanomuutoksia. Solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne luottavat välityspalvelimeen. IT käyttää tyypillisesti tarkastusvälityspalvelimia valvoakseen käytäntöjä, joilla verkkosivustoilla voi vierailla ja minkä tyyppinen sisältö ei ole sallittua. Tämän tyyppinen välityspalvelin purkaa kaiken liikenteesi (jopa HTTPS:n).
Eksplisiittinen välityspalvelin— Eksplisiittisellä välityspalvelimella kerrot HDS-solmuille, mitä välityspalvelinta ja todennusmallia tulee käyttää. Jos haluat määrittää nimenomaisen välityspalvelimen, sinun on annettava seuraavat tiedot jokaiseen solmuun:
Välityspalvelimen IP/FQDN— Osoite, jota voidaan käyttää välityspalvelimen tavoittamiseen.
Välityspalvelimen portti— Portin numero, jota välityspalvelin käyttää välityspalvelimen liikenteen kuuntelemiseen.
Välityspalvelinprotokolla— Valitse seuraavista protokollista riippuen siitä, mitä välityspalvelimesi tukee:
HTTP – Tarkastelee ja hallitsee kaikkia asiakkaan lähettämiä pyyntöjä.
HTTPS – Tarjoaa kanavan palvelimelle. Asiakas vastaanottaa ja vahvistaa palvelimen varmenteen.
Tunnistautumistapa-Valitse seuraavista todennustyypeistä:
Ei mitään-Lisätunnistusta ei tarvita.
Käytettävissä, jos valitset välityspalvelimeksi HTTP- tai HTTPS-protokollaksi.
Perus—Käytetään HTTP-käyttäjäagentille antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.
Käytettävissä, jos valitset välityspalvelimeksi HTTP- tai HTTPS-protokollaksi.
Edellyttää käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.
Sulattaa-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Käyttää hajautustoimintoa käyttäjänimeen ja salasanaan ennen lähettämistä verkon kautta.
Saatavilla vain, jos valitset HTTPS-protokollaksi välityspalvelimeksi.
Edellyttää käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.
Esimerkki hybriditietoturvasolmuista ja välityspalvelimesta
Tämä kaavio näyttää esimerkkiyhteyden Hybrid Data Securityn, verkon ja välityspalvelimen välillä. Läpinäkyvän tarkastuksen ja HTTPS:n eksplisiittisen tarkastuksen välityspalvelimen valintoja varten sama juurivarmenne on asennettava välityspalvelimeen ja Hybrid Data Security -solmuihin.
Estetty ulkoinen DNS-resoluutiotila (eksplisiittiset välityspalvelimen määritykset)
Kun rekisteröit solmun tai tarkistat solmun välityspalvelimen kokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex-pilveen. Jos solmu ei voi tehdä kyselyä DNS-palvelimille, se siirtyy automaattisesti estetty ulkoinen DNS-selvitys -tilaan käyttöönotoissa, joissa on nimenomaiset välityspalvelinkokoonpanot, jotka eivät salli ulkoista DNS-selvitystä sisäisille asiakkaille. Tässä tilassa solmun rekisteröinti ja muut välityspalvelimen yhteystestit voivat jatkua.
Hybriditietoturvan vaatimukset
Cisco Webex -lisenssivaatimukset
Hybriditietoturvan käyttöönotto:
Sinulla on oltava Pro Pack Cisco Webex Control Hubille. (Katso https://www.cisco.com/go/pro-pack.)
Docker Desktop -vaatimukset
Ennen kuin asennat HDS-solmut, tarvitset Docker Desktopin asennusohjelman suorittamiseen. Docker päivitti äskettäin lisenssimallinsa. Organisaatiosi saattaa vaatia maksullisen Docker Desktopin tilauksen. Katso lisätietoja Dockerin blogiviestistä " Docker päivittää ja laajentaa tuotetilauksiamme".
X.509 Varmennevaatimukset
Varmenneketjun tulee täyttää seuraavat vaatimukset:
Vaatimus | Tiedot |
---|---|
| Oletuksena luotamme Mozilla-luettelon CA:ihin (poikkeuksena WoSign ja StartCom) https://wiki.mozilla.org/CA:IncludedCAs. |
| CN:n ei tarvitse olla tavoitettavissa tai olla elävä isäntä. Suosittelemme, että käytät nimeä, joka kuvastaa organisaatiotasi, esim. CN ei saa sisältää *-merkkiä (jokerimerkki). CN:ää käytetään Webex App -asiakkaiden Hybrid Data Security -solmujen vahvistamiseen. Kaikki klusterin Hybrid Data Security -solmut käyttävät samaa varmennetta. KMS tunnistaa itsensä käyttämällä CN-toimialuetta, ei mitään toimialuetta, joka on määritetty x.509v3 SAN -kentissä. Kun olet rekisteröinyt solmun tällä varmenteella, emme tue CN-verkkotunnuksen vaihtamista. Valitse toimialue, jota voidaan soveltaa sekä kokeilu- että tuotantokäyttöön. |
| KMS-ohjelmisto ei tue SHA1-allekirjoituksia muiden organisaatioiden KMS:ien välisten yhteyksien vahvistamiseksi. |
| Voit muuttaa varmenteen muotoa muuntimen, kuten OpenSSL:n, avulla. Sinun on syötettävä salasana, kun suoritat HDS Setup Tool -työkalun. |
KMS-ohjelmisto ei pakota avainten käyttöä tai laajennettuja avainten käyttöä koskevia rajoituksia. Jotkut varmenneviranomaiset vaativat, että jokaiseen varmenteeseen sovelletaan laajennettuja avainten käyttörajoituksia, kuten palvelimen todennus. Palvelimen todennusta tai muita asetuksia saa käyttää.
Virtuaalipalvelimen vaatimukset
Virtuaalisilla isännillä, jotka määrität klusterin hybriditietoturvasolmuiksi, on seuraavat vaatimukset:
Vähintään kaksi erillistä isäntäkonetta (3 suositeltavaa), jotka sijaitsevat samassa suojatussa datakeskuksessa
VMware ESXi 6.5 (tai uudempi) asennettu ja käynnissä.
Sinun on päivitettävä, jos sinulla on aiempi versio ESXi:stä.
Vähintään 4 vCPU:ta, 8 Gt keskusmuistia, 30 Gt paikallista kiintolevytilaa palvelinta kohden
Tietokantapalvelimen vaatimukset
Luo uusi tietokanta avainten säilytystä varten. Älä käytä oletustietokantaa. Kun HDS-sovellukset on asennettu, ne luovat tietokantaskeeman. |
Tietokantapalvelimelle on kaksi vaihtoehtoa. Vaatimukset kullekin ovat seuraavat:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Vähintään 8 vCPU:ta, 16 Gt:n keskusmuisti, riittävä kiintolevytila ja valvonta sen varmistamiseksi, että sitä ei ylitetä (2 TB suositellaan, jos haluat käyttää tietokantaa pitkään ilman tarvetta lisätä tallennustilaa) | Vähintään 8 vCPU:ta, 16 Gt:n keskusmuisti, riittävä kiintolevytila ja valvonta sen varmistamiseksi, että sitä ei ylitetä (2 TB suositellaan, jos haluat käyttää tietokantaa pitkään ilman tarvetta lisätä tallennustilaa) |
HDS-ohjelmisto asentaa tällä hetkellä seuraavat ajuriversiot tietokantapalvelimen kanssa kommunikointia varten:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC -ohjain 42.2.5 | SQL Server JDBC -ohjain 4.6 Tämä ohjainversio tukee SQL Server Always On ( Aina Failover Cluster -esiintymissä ja Aina käytettävissä ryhmät). |
Lisävaatimukset Windows-todennusta vastaan Microsoft SQL Serveriä vastaan
Jos haluat, että HDS-solmut käyttävät Windows-todennusta päästäkseen Microsoft SQL Serverin avainsäilötietokantaasi, tarvitset seuraavan kokoonpanon ympäristössäsi:
HDS-solmut, Active Directory -infrastruktuuri ja MS SQL Server on kaikki synkronoitava NTP:n kanssa.
HDS-solmuille antamallasi Windows-tilillä on oltava luku-/kirjoitusoikeus tietokantaan.
HDS-solmuille toimittamiesi DNS-palvelimien on kyettävä ratkaisemaan Key Distribution Center (KDC).
Voit rekisteröidä HDS-tietokannan ilmentymän Microsoft SQL Serverissäsi palvelun päänimeksi (SPN) Active Directoryssa. Katso Rekisteröi palvelun päänimi Kerberos-yhteyksille.
HDS-asennustyökalun, HDS-käynnistimen ja paikallisen KMS:n on käytettävä Windows-todennusta päästäkseen avainsäilötietokantaan. He käyttävät ISO-kokoonpanosi tietoja SPN:n muodostamiseen pyytäessään pääsyä Kerberos-todennusta käyttämällä.
Ulkoisen yhteyden vaatimukset
Määritä palomuurisi sallimaan seuraavat liitännät HDS-sovelluksille:
Sovellus | pöytäkirja | Portti | Ohje sovelluksesta | Kohde |
---|---|---|---|---|
Hybriditietoturvasolmut | TCP | 443 | Lähtevä HTTPS ja WSS |
|
HDS-asetustyökalu | TCP | 443 | Lähtevä HTTPS |
|
Hybriditietoturvasolmut toimivat verkkokäyttömuunnoksen (NAT) kanssa tai palomuurin takana, kunhan NAT tai palomuuri sallii vaaditut lähtevät yhteydet edellisen taulukon toimialueen kohteisiin. Hybrid Data Security -solmuihin tulevissa yhteyksissä ei saa näkyä portteja Internetistä. Palvelinkeskuksessasi asiakkailla on oltava pääsy Hybrid Data Security -solmuihin TCP-porteissa 443 ja 22 hallinnollisia tarkoituksia varten. |
Common Identity (CI) -isäntien URL-osoitteet ovat aluekohtaisia. Nämä ovat nykyiset CI-isännät:
Alue | Yhteisen identiteetin isäntä-URL-osoitteet |
---|---|
Amerikka |
|
Euroopan unioni |
|
Kanada |
|
Välityspalvelinvaatimukset
Tuemme virallisesti seuraavia välityspalvelinratkaisuja, jotka voidaan integroida Hybrid Data Security -solmuisi.
Läpinäkyvä välityspalvelin — Cisco Web Security Appliance (WSA).
Eksplisiittinen välityspalvelin – Squid.
Squid-välityspalvelimet, jotka tarkastavat HTTPS-liikennettä, voivat häiritä verkkopistorasian (wss:) yhteyksiä. Jos haluat kiertää tämän ongelman, katso Määritä Squid-välityspalvelimet hybriditietoturvaa varten.
Tuemme seuraavia todennustyyppiyhdistelmiä eksplisiittisille välityspalvelimille:
Ei todennusta HTTP:llä tai HTTPS:llä
Perustodennus HTTP- tai HTTPS-protokollalla
Tiivistetodennus vain HTTPS:llä
Jos haluat läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-välityspalvelimen, sinulla on oltava kopio välityspalvelimen juurivarmenteesta. Tämän oppaan käyttöönotto-ohjeet kertovat, kuinka kopio ladataan Hybrid Data Security -solmujen luotettaviin varastoihin.
HDS-solmuja isännöivä verkko on määritettävä pakottamaan lähtevä TCP-liikenne portissa 443 reitittämään välityspalvelimen kautta.
Verkkoliikennettä tarkastavat välityspalvelimet voivat häiritä verkkoliitäntäyhteyksiä. Jos tämä ongelma ilmenee, ohita (ei tarkasta) liikenne kohteeseen
wbx2.com
jaciscospark.com
ratkaisee ongelman.
Täytä hybriditietoturvan edellytykset
1 | Varmista, että Webex-organisaatiossasi on käytössä Pro Pack for Cisco Webex Control Hub, ja hanki tilin kirjautumistiedot, jolla on täydet organisaation järjestelmänvalvojan oikeudet. Ota yhteyttä Cisco-kumppaniisi tai asiakasvastaavaan saadaksesi apua tässä prosessissa. | ||
2 | Valitse HDS-asennuksellesi verkkotunnus (esim. | ||
3 | Valmistele identtiset virtuaaliset isännät, jotka määrität klusterin hybriditietoturvasolmuiksi. Tarvitset vähintään kaksi erillistä isäntäkonetta (3 suositeltua), jotka sijaitsevat samassa suojatussa datakeskuksessa ja jotka täyttävät vaatimukset Virtuaalipalvelimen vaatimukset. | ||
4 | Valmistele tietokantapalvelin, joka toimii klusterin avaintietovarastona Tietokantapalvelimen vaatimukset. Tietokantapalvelin on sijoitettava suojattuun tietokeskukseen virtuaalisten isäntien kanssa. | ||
5 | Nopeaa katastrofipalautusta varten määritä varmuuskopioympäristö eri tietokeskukseen. Varmuuskopiointiympäristö peilaa virtuaalikoneiden ja varmuuskopiotietokantapalvelimen tuotantoympäristöä. Jos tuotannossa on esimerkiksi 3 virtuaalikonetta, jotka käyttävät HDS-solmuja, varmuuskopiointiympäristössä tulisi olla 3 virtuaalikonetta. | ||
6 | Määritä syslog-isäntä keräämään lokit klusterin solmuista. Kerää sen verkko-osoite ja syslog-portti (oletus on UDP 514). | ||
7 | Luo suojattu varmuuskopiointikäytäntö Hybrid Data Security -solmuille, tietokantapalvelimelle ja loki-isännälle. Vähintään peruuttamattoman tietojen häviämisen estämiseksi sinun on varmuuskopioitava tietokanta ja konfiguraatio-ISO-tiedosto, joka on luotu Hybrid Data Security -solmuille.
Webex App -asiakkaat tallentavat avaimensa välimuistiin, joten käyttökatkos ei välttämättä ole heti havaittavissa, mutta se tulee ilmeiseksi ajan myötä. Vaikka tilapäisiä katkoksia on mahdotonta estää, ne ovat korjattavissa. Tietokannan tai määritysten ISO-tiedoston täydellinen menetys (ei varmuuskopioita saatavilla) johtaa kuitenkin asiakastietojen palauttamiseen. Hybrid Data Security -solmujen operaattoreiden odotetaan varmuuskopioivan säännöllisesti tietokantaa ja konfigurointi-ISO-tiedostoa ja olevan valmiita rakentamaan Hybrid Data Security -palvelinkeskus uudelleen, jos katastrofi tapahtuu. | ||
8 | Varmista, että palomuurikokoonpanosi mahdollistaa liitettävyyden hybriditietoturvasolmuille, kuten kohdassa on kuvattu Ulkoisen yhteyden vaatimukset. | ||
9 | Asenna Docker ( https://www.docker.com) missä tahansa paikallisessa koneessa, jossa on tuettu käyttöjärjestelmä (Microsoft Windows 10 Professional tai Enterprise 64-bittinen tai Mac OSX Yosemite 10.10.3 tai uudempi), jossa on verkkoselain, joka voi käyttää sitä osoitteessa http://127.0.0.1:8080. Käytät Docker-instanssia HDS-asennustyökalun lataamiseen ja suorittamiseen, joka muodostaa paikalliset määritystiedot kaikille Hybrid Data Security -solmuille. Organisaatiosi saattaa tarvita Docker Desktop -lisenssin. Katso Docker Desktop -vaatimukset Lisätietoja. HDS-asennustyökalun asentaminen ja käyttäminen edellyttää, että paikallisessa koneessa on kuvattu yhteys Ulkoisen yhteyden vaatimukset. | ||
10 | Jos yhdistät välityspalvelimen Hybrid Data Securityn kanssa, varmista, että se täyttää Välityspalvelinvaatimukset. | ||
11 | Jos organisaatiosi käyttää hakemistosynkronointia, luo Active Directoryyn ryhmä nimeltä
|
Hybridin tietoturvan käyttöönottotehtäväkulku
Ennen kuin aloitat
1 |
Lataa OVA-tiedosto paikalliselle koneellesi myöhempää käyttöä varten. | ||
2 | Luo konfigurointi-ISO HDS-isäntäkoneille Luo ISO-määritystiedosto Hybrid Data Security -solmuille HDS-asetustyökalulla. | ||
3 |
Luo virtuaalikone OVA-tiedostosta ja suorita alkuasetukset, kuten verkkoasetukset.
| ||
4 | Määritä Hybrid Data Security VM Kirjaudu sisään VM-konsoliin ja määritä kirjautumistiedot. Määritä solmun verkkoasetukset, jos et määrittänyt niitä OVA:n käyttöönoton yhteydessä. | ||
5 | Lataa ja asenna HDS Configuration ISO Määritä virtuaalinen kone ISO-määritystiedostosta, jonka loit HDS-asetustyökalulla. | ||
6 | Määritä HDS-solmu välityspalvelinintegraatiota varten Jos verkkoympäristö edellyttää välityspalvelimen määrittämistä, määritä solmussa käytettävä välityspalvelimen tyyppi ja lisää välityspalvelinvarmenne tarvittaessa luottamussäilöön. | ||
7 | Rekisteröi klusterin ensimmäinen solmu Rekisteröi VM Cisco Webex -pilveen hybriditietoturvasolmuksi. | ||
8 | Luo ja rekisteröi lisää solmuja Viimeistele klusterin asennus. | ||
9 | Suorita kokeilu ja siirry tuotantoon (seuraava kappale) Ennen kuin aloitat kokeilun, solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu. |
Lataa asennustiedostot
1 | Kirjaudu sisään https://admin.webex.comja napsauta sitten Palvelut. | ||||
2 | Etsi Hybridipalvelut-osiosta Hybriditietojen suojauskortti ja napsauta sitten Perustaa. Jos kortti on poistettu käytöstä tai et näe sitä, ota yhteyttä tilitiimiisi tai kumppaniorganisaatioosi. Anna heille tilinumerosi ja pyydä ottamaan organisaatiollesi käyttöön hybriditietoturva. Löydät tilinumeron napsauttamalla rataskuvaketta oikeassa yläkulmassa organisaatiosi nimen vieressä.
| ||||
3 | Valitse Ei osoittaaksesi, että et ole vielä määrittänyt solmua, ja napsauta sitten Seuraava. OVA-tiedoston lataus alkaa automaattisesti. Tallenna tiedosto johonkin paikkaan koneellasi.
| ||||
4 | Valinnaisesti napsauta Avaa Käyttöönottoopas tarkistaaksesi, onko tästä oppaasta saatavilla uudempi versio. |
Luo konfigurointi-ISO HDS-isäntäkoneille
Hybrid Data Security -asetusprosessi luo ISO-tiedoston. Määritä sitten hybriditietoturva-isäntäsi ISO:n avulla.
Ennen kuin aloitat
HDS-asennustyökalu toimii Docker-säiliönä paikallisessa koneessa. Voit käyttää sitä suorittamalla Dockerin kyseisessä koneessa. Asennusprosessi vaatii Control Hub -tilin kirjautumistiedot, jolla on täydet järjestelmänvalvojan oikeudet organisaatiollesi.
Jos HDS-asennustyökalu toimii välityspalvelimen takana ympäristössäsi, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien kautta, kun tuot Docker-säilön esiin vaiheessa. 5. Tässä taulukossa on joitain mahdollisia ympäristömuuttujia:
Kuvaus
Muuttuja
HTTP-välityspalvelin ilman todennusta
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-välityspalvelin ilman todennusta
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-välityspalvelin todennuksella
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-välityspalvelin todennuksella
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Luomasi ISO-määritystiedosto sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset tämän tiedoston viimeisimmän kopion aina, kun teet muutoksia, kuten seuraavat:
Tietokannan tunnistetiedot
Varmenteiden päivitykset
Muutoksia valtuutuskäytäntöön
Jos aiot salata tietokantayhteydet, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:lle.
1 | Kirjoita koneesi komentoriville ympäristöllesi sopiva komento: Tavallisissa ympäristöissä:
FedRAMP-ympäristöissä:
| ||||||||||||
2 | Kirjaudu Docker-kuvarekisteriin kirjoittamalla seuraava:
| ||||||||||||
3 | Kirjoita salasanakehotteeseen tämä hash:
| ||||||||||||
4 | Lataa uusin vakaa kuva ympäristöösi: Tavallisissa ympäristöissä:
FedRAMP-ympäristöissä:
| ||||||||||||
5 | Kun veto on valmis, anna ympäristöllesi sopiva komento:
Kun säilö on käynnissä, näet "Express-palvelin kuuntelee portissa 8080". | ||||||||||||
6 |
Siirry paikallispalvelimeen verkkoselaimella, Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää oikean ympäristön määrittämiseen kyseiselle tilille. Työkalu näyttää sitten tavallisen kirjautumiskehotteen. | ||||||||||||
7 | Anna pyydettäessä Control Hub -asiakasjärjestelmänvalvojan kirjautumistietosi ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn Hybrid Data Securityn tarvittaviin palveluihin. | ||||||||||||
8 | Napsauta Setup Toolin yleiskatsaussivulla Aloittaa. | ||||||||||||
9 | Käytössä ISO tuonti sivulla, sinulla on seuraavat vaihtoehdot:
| ||||||||||||
10 | Tarkista, että X.509-sertifikaattisi täyttää vaatimukset X.509 Varmennevaatimukset.
| ||||||||||||
11 | Anna tietokannan osoite ja tili HDS:lle päästäksesi avaintietosäilöön: | ||||||||||||
12 | Valitse TLS-tietokantayhteystila:
Kun lataat juurivarmenteen (tarvittaessa) ja napsautat Jatkaa, HDS Setup Tool testaa TLS-yhteyden tietokantapalvelimeen. Työkalu tarkistaa myös varmenteen allekirjoittajan ja isäntänimen, jos mahdollista. Jos testi epäonnistuu, työkalu näyttää ongelmaa kuvaavan virhesanoman. Voit valita, jätetäänkö virhe huomioimatta ja jatketaanko asennusta. (Yhteyseroista johtuen HDS-solmut saattavat pystyä muodostamaan TLS-yhteyden, vaikka HDS-asetustyökalu ei pystyisi testaamaan sitä.) | ||||||||||||
13 | Määritä Syslogd-palvelimesi Järjestelmälokit-sivulla: | ||||||||||||
14 | (Valinnainen) Voit muuttaa joidenkin tietokantayhteysparametrien oletusarvoja Lisäasetukset. Yleensä tämä parametri on ainoa, jota saatat haluta muuttaa:
| ||||||||||||
15 | Klikkaus Jatkaa päällä Palauta palvelutilien salasana näyttö. Palvelutilin salasanojen käyttöikä on yhdeksän kuukautta. Käytä tätä näyttöä, kun salasanasi ovat vanhenemassa tai haluat nollata ne mitätöimään aiemmat ISO-tiedostot. | ||||||||||||
16 | Klikkaus Lataa ISO-tiedosto. Tallenna tiedosto paikkaan, joka on helppo löytää. | ||||||||||||
17 | Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmääsi. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää pääsalausavaimen tietokannan sisällölle. Rajoita pääsy vain niille Hybrid Data Security -järjestelmänvalvojille, joiden tulee tehdä kokoonpanomuutoksia. | ||||||||||||
18 | Sulje Setup-työkalu kirjoittamalla |
Mitä tehdä seuraavaksi
Varmuuskopioi asetusten ISO-tiedosto. Tarvitset sitä luodaksesi lisää solmuja palautusta varten tai tehdäksesi kokoonpanomuutoksia. Jos menetät kaikki ISO-tiedoston kopiot, olet myös menettänyt pääavaimen. Avaimien palauttaminen PostgreSQL- tai Microsoft SQL Server -tietokannasta ei ole mahdollista.
Meillä ei ole koskaan kopiota tästä avaimesta, emmekä voi auttaa, jos kadotat sen. |
Asenna HDS Host OVA
1 | Käytä tietokoneesi VMware vSphere -asiakasohjelmaa kirjautuaksesi ESXi-virtuaaliisäntään. | ||||||
2 | Valitse Tiedosto > Ota käyttöön OVF-malli. | ||||||
3 | Määritä ohjatussa toiminnossa aiemmin lataamasi OVA-tiedoston sijainti ja napsauta sitten Seuraava . | ||||||
4 | Käytössä Valitse nimi ja kansio sivu, kirjoita a Virtuaalikoneen nimi solmulle (esimerkiksi "HDS_Node_1"), valitse sijainti, jossa virtuaalikoneen solmun käyttöönotto voi sijaita, ja napsauta sitten Seuraava . | ||||||
5 | Käytössä Valitse laskentaresurssi -sivulla, valitse kohdelaskentaresurssi ja napsauta sitten Seuraava . Vahvistustarkistus suoritetaan. Kun se on valmis, mallin tiedot tulevat näkyviin. | ||||||
6 | Tarkista mallin tiedot ja napsauta sitten Seuraava. | ||||||
7 | Jos sinua pyydetään valitsemaan resurssikokoonpano Kokoonpano sivu, napsauta 4 CPU ja napsauta sitten Seuraava . | ||||||
8 | Käytössä Valitse tallennustila sivu, napsauta Seuraava hyväksyä oletuslevymuoto ja VM-tallennuskäytäntö. | ||||||
9 | Käytössä Valitse verkot -sivulla, valitse verkkovaihtoehto merkintäluettelosta tarjotaksesi halutun yhteyden virtuaalikoneeseen. | ||||||
10 | Käytössä Mukauta mallia sivulla, määritä seuraavat verkkoasetukset:
Halutessasi voit ohittaa verkkoasetusten määrityksen ja noudattaa ohjeita Määritä Hybrid Data Security VM määrittääksesi asetukset solmukonsolista.
| ||||||
11 | Napsauta hiiren kakkospainikkeella solmun VM:tä ja valitse sitten .Hybrid Data Security -ohjelmisto asennetaan vieraana VM-isäntään. Olet nyt valmis kirjautumaan sisään konsoliin ja määrittämään solmun. Vianetsintävinkkejä Saatat kokea muutaman minuutin viiveen ennen kuin solmusäiliöt tulevat näkyviin. Siltapalomuuriviesti tulee näkyviin konsoliin ensimmäisen käynnistyksen aikana, jolloin et voi kirjautua sisään. |
Määritä Hybrid Data Security VM
Käytä tätä menettelyä kirjautuaksesi sisään Hybrid Data Security -solmun VM-konsoliin ensimmäistä kertaa ja määrittääksesi kirjautumistunnukset. Voit myös käyttää konsolia solmun verkkoasetusten määrittämiseen, jos et määrittänyt niitä OVA-asennuksen yhteydessä.
1 | Valitse VMware vSphere -asiakkaassa Hybrid Data Security -solmun VM ja valitse Konsoli -välilehti. Virtuaalinen kone käynnistyy ja näkyviin tulee kirjautumiskehote. Jos kirjautumiskehote ei tule näkyviin, paina Tulla sisään.
|
2 | Käytä seuraavaa oletusarvoista kirjautumistunnusta ja salasanaa kirjautuaksesi sisään ja muuttaaksesi tunnistetietoja: Koska kirjaudut sisään virtuaalikoneeseen ensimmäistä kertaa, sinun on vaihdettava järjestelmänvalvojan salasana. |
3 | Jos olet jo määrittänyt verkkoasetukset Asenna HDS Host OVA, ohita loput tästä toimenpiteestä. Muussa tapauksessa valitse päävalikosta Muokkaa kokoonpanoa vaihtoehto. |
4 | Aseta staattinen kokoonpano IP-osoitteen, peitteen, yhdyskäytävän ja DNS-tietojen kanssa. Solmullasi tulee olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta. |
5 | (Valinnainen) Muuta tarvittaessa isäntänimeä, toimialuetta tai NTP-palvelimia vastaamaan verkkokäytäntöäsi. Sinun ei tarvitse asettaa toimialuetta vastaamaan toimialuetta, jota käytit X.509-varmenteen hankkimiseen. |
6 | Tallenna verkkoasetukset ja käynnistä virtuaalikone uudelleen, jotta muutokset tulevat voimaan. |
Lataa ja asenna HDS Configuration ISO
Ennen kuin aloitat
Koska ISO-tiedosto sisältää pääavaimen, se tulisi paljastaa vain "tarve tietää" -periaatteella, jotta Hybrid Data Security -virtuaalikoneet ja muut järjestelmänvalvojat voivat käyttää sitä. Varmista, että vain kyseiset järjestelmänvalvojat pääsevät tietosäilöön.
1 | Lataa ISO-tiedosto tietokoneeltasi: |
2 | Asenna ISO-tiedosto: |
Mitä tehdä seuraavaksi
Jos IT-käytäntösi vaatii, voit halutessasi irrottaa ISO-tiedoston sen jälkeen, kun kaikki solmut ovat huomanneet kokoonpanomuutokset. Katso (Valinnainen) Irrota ISO HDS-määrityksen jälkeen yksityiskohtia varten.
Määritä HDS-solmu välityspalvelinintegraatiota varten
Jos verkkoympäristö vaatii välityspalvelimen, määritä tämän toimenpiteen avulla, minkä tyyppiseen välityspalvelimeen haluat integroida Hybriditietoturva. Jos valitset läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-välityspalvelimen, voit käyttää solmun käyttöliittymää juurivarmenteen lataamiseen ja asentamiseen. Voit myös tarkistaa välityspalvelinyhteyden käyttöliittymästä ja tehdä mahdollisten ongelmien vianmäärityksen.
Ennen kuin aloitat
Katso Välityspalvelimen tuki saadaksesi yleiskatsauksen tuetuista välityspalvelinvaihtoehdoista.
1 | Anna HDS-solmun asetusten URL-osoite |
2 | Mene Trust Store ja välityspalvelinja valitse sitten vaihtoehto:
Noudata seuraavia ohjeita läpinäkyvän tarkastavan välityspalvelimen, HTTP-sellaisen välityspalvelimen, jossa on perustodennus, tai HTTPS-eksplisiittisen välityspalvelimen kohdalla. |
3 | Klikkaus Lataa juurivarmenne tai loppukokonaisuuden varmenneja valitse sitten välityspalvelimen juurivarmenne. Varmenne on ladattu, mutta sitä ei ole vielä asennettu, koska sinun on käynnistettävä solmu uudelleen varmenteen asentamiseksi. Napsauta varmenteen myöntäjän nimen vieressä olevaa nuolimerkkiä saadaksesi lisätietoja tai napsauta Poistaa jos teit virheen ja haluat ladata tiedoston uudelleen. |
4 | Klikkaus Tarkista välityspalvelinyhteys solmun ja välityspalvelimen välisen verkkoyhteyden testaamiseen. Jos yhteystesti epäonnistuu, näet virheilmoituksen, joka näyttää syyn ja kuinka voit korjata ongelman. Jos näet viestin, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen. Tämä ehto on odotettavissa monissa eksplisiittisissä välityspalvelinkokoonpanoissa. Voit jatkaa asennusta, ja solmu toimii estetty ulkoinen DNS-resoluutio -tilassa. Jos tämä on mielestäsi virhe, suorita nämä vaiheet ja katso sitten Poista Estetty ulkoinen DNS-resoluutiotila käytöstä. |
5 | Kun yhteystesti on läpäissyt, jos eksplisiittiselle välityspalvelimelle on asetettu vain https, käännä kytkin päälle Reititä kaikki portin 443/444 https-pyynnöt tästä solmusta nimenomaisen välityspalvelimen kautta. Tämän asetuksen voimaantulo kestää 15 sekuntia. |
6 | Klikkaus Asenna kaikki sertifikaatit Trust Storeen (näkyy eksplisiittiselle HTTPS-välityspalvelimelle tai läpinäkyvälle tarkastavalle välityspalvelimelle) tai Käynnistä uudelleen (näkyy HTTP-välityspalvelimen kohdalla), lue kehote ja napsauta sitten Asentaa jos olet valmis. Solmu käynnistyy uudelleen muutaman minuutin sisällä. |
7 | Kun solmu on käynnistynyt uudelleen, kirjaudu tarvittaessa uudelleen sisään ja avaa sitten Yleiskatsaus sivu tarkistaaksesi yhteystarkistukset varmistaaksesi, että ne ovat kaikki vihreässä tilassa. Välityspalvelinyhteyden tarkistus testaa vain webex.com-aliverkkotunnuksen. Jos yhteysongelmia ilmenee, yleinen ongelma on, että jotkin asennusohjeissa luetellut pilvialueet estetään välityspalvelimessa. |
Rekisteröi klusterin ensimmäinen solmu
Kun rekisteröit ensimmäisen solmun, luot klusterin, johon solmu on määritetty. Klusteri sisältää yhden tai useamman solmun, joka on otettu käyttöön redundanssin aikaansaamiseksi.
Ennen kuin aloitat
Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.
Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen sivustolle admin.webex.com.
1 | Kirjaudu sisään https://admin.webex.com. |
2 | Valitse näytön vasemman reunan valikosta Palvelut. |
3 | Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta Perustaa. Register Hybrid Data Security Node -sivu tulee näkyviin.
|
4 | Valitse Joo osoittaaksesi, että olet määrittänyt solmun ja olet valmis rekisteröimään sen, ja napsauta sitten Seuraava. |
5 | Kirjoita ensimmäiseen kenttään nimi klusterille, jolle haluat liittää hybriditietoturvasolmun. Suosittelemme, että nimeät klusterin sen mukaan, missä klusterin solmut sijaitsevat maantieteellisesti. Esimerkkejä: "San Francisco" tai "New York" tai "Dallas" |
6 | Kirjoita toiseen kenttään solmusi sisäinen IP-osoite tai täysin hyväksytty verkkotunnuksen nimi (FQDN) ja napsauta Seuraava. Tämän IP-osoitteen tai FQDN:n tulee vastata IP-osoitetta tai isäntänimeä ja verkkotunnusta, jossa käytit Määritä Hybrid Data Security VM. Näkyviin tulee viesti, joka ilmaisee, että voit rekisteröidä solmusi Webexiin.
|
7 | Klikkaus Siirry Nodeen. |
8 | Klikkaus Jatkaa varoitusviestissä. Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, Salli pääsy hybriditietoturvasolmuun -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa Webex-organisaatiollesi luvan käyttää solmuasi.
|
9 | Tarkista Salli pääsy hybriditietoturvasolmuun valintaruutu ja napsauta sitten Jatkaa. Tilisi on vahvistettu ja "Registration Complete" -viesti osoittaa, että solmu on nyt rekisteröity Webex-pilveen.
|
10 | Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle. Käytössä Hybriditietoturva -sivulla uusi klusteri, joka sisältää rekisteröimäsi solmun, tulee näkyviin. Solmu lataa automaattisesti uusimman ohjelmiston pilvestä.
|
Luo ja rekisteröi lisää solmuja
Tällä hetkellä varmuuskopioidut VM:t, joissa loit Täytä hybriditietoturvan edellytykset ovat valmiustilassa olevia isäntiä, joita käytetään vain katastrofipalautuksen yhteydessä; niitä ei ole rekisteröity järjestelmään ennen sitä. Katso lisätietoja Katastrofipalautus valmiustilan tietokeskuksen avulla. |
Ennen kuin aloitat
Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.
Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen sivustolle admin.webex.com.
1 | Luo uusi virtuaalikone OVA:sta toistamalla vaiheet Asenna HDS Host OVA. |
2 | Määritä uuden virtuaalikoneen alkuperäinen määritys toistamalla vaiheet Määritä Hybrid Data Security VM. |
3 | Toista vaiheet uudessa virtuaalikoneessa Lataa ja asenna HDS Configuration ISO. |
4 | Jos olet määrittämässä välityspalvelinta käyttöönotolle, toista vaiheet Määritä HDS-solmu välityspalvelinintegraatiota varten tarpeen mukaan uutta solmua varten. |
5 | Rekisteröi solmu. Solmusi on rekisteröity. Huomaa, että ennen kuin aloitat kokeilun, solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.
|
Mitä tehdä seuraavaksi
Kokeilu tuotantotehtäväkulkuun
Kun olet määrittänyt Hybrid Data Security -klusterin, voit aloittaa pilotin, lisätä siihen käyttäjiä ja alkaa käyttää sitä käyttöönoton testaamiseen ja tarkistamiseen valmistautuessasi tuotantoon siirtymiseen.
Ennen kuin aloitat
1 | Synkronoi tarvittaessa Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava |
2 |
Aloita kokeilu. Ennen kuin teet tämän tehtävän, solmusi luovat hälytyksen, joka ilmoittaa, että palvelua ei ole vielä aktivoitu. |
3 |
Tarkista, että avainpyynnöt välitetään Hybrid Data Security -käyttöönottoasi. |
4 | Tarkkaile hybriditietoturvan kuntoa Tarkista tila ja määritä sähköposti-ilmoitukset hälytyksiä varten. |
5 | |
6 | Suorita kokeiluvaihe loppuun jollakin seuraavista toimista: |
Aktivoi kokeiluversio
Ennen kuin aloitat
Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava HdsTrialGroup
ryhmäobjekti synkronoitavaksi pilveen ennen kuin voit aloittaa kokeilun organisaatiossasi. Katso ohjeet kohdasta Käyttöönottoopas Cisco Directory Connectorille.
1 | Kirjaudu sisään https://admin.webex.comja valitse sitten Palvelut. |
2 | Napsauta Hybriditietoturva-kohdassa asetukset. |
3 | Napsauta Palvelun tila -osiossa Aloita kokeilujakso. Palvelun tila vaihtuu kokeilutilaan.
|
4 | Klikkaus Lisää käyttäjiä ja syötä yhden tai useamman käyttäjän sähköpostiosoite, jota haluat pilotoida käyttämällä Hybrid Data Security -solmuja salaus- ja indeksointipalveluissa. (Jos organisaatiosi käyttää hakemistosynkronointia, hallinnoi kokeiluryhmää Active Directoryn avulla, |
Testaa hybriditietoturvaasi
Ennen kuin aloitat
Määritä Hybrid Data Security -käyttöönotto.
Aktivoi kokeilu ja lisää useita kokeilukäyttäjiä.
Varmista, että sinulla on pääsy syslogiin varmistaaksesi, että avainpyynnöt välitetään Hybrid Data Security -asennukseesi.
1 | Tietyn tilan avaimet asettaa tilan luoja. Kirjaudu Webex-sovellukseen yhtenä pilottikäyttäjistä ja luo sitten tila ja kutsu vähintään yksi pilottikäyttäjä ja yksi ei-pilottikäyttäjä.
| ||
2 | Lähetä viestejä uuteen tilaan. | ||
3 | Tarkista syslog-tuloste varmistaaksesi, että avainpyynnöt välitetään Hybrid Data Security -käyttöönottoasi. |
Tarkkaile hybriditietoturvan kuntoa
1 | Sisään Ohjauskeskus, valitse Palvelut näytön vasemmassa reunassa olevasta valikosta. |
2 | Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta asetukset. Hybriditietojen suojausasetukset -sivu tulee näkyviin.
|
3 | Kirjoita Sähköposti-ilmoitukset-osioon yksi tai useampi sähköpostiosoite pilkuilla erotettuna ja paina Tulla sisään. |
Lisää tai poista käyttäjiä kokeiluversiostasi
Jos poistat käyttäjän kokeilujaksosta, käyttäjän asiakasohjelma pyytää avaimia ja avainten luomista pilvi-KMS:stä KMS:n sijaan. Jos asiakas tarvitsee avaimen, joka on tallennettu KMS:ään, pilvi-KMS noutaa sen käyttäjän puolesta.
Jos organisaatiosi käyttää hakemistosynkronointia, käytä Active Directorya (tämän toimenpiteen sijaan) kokeiluryhmän hallintaan, HdsTrialGroup
; voit tarkastella ryhmän jäseniä Control Hubissa, mutta et voi lisätä tai poistaa niitä.
1 | Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut. |
2 | Napsauta Hybriditietoturva-kohdassa asetukset. |
3 | Napsauta Palvelun tila -alueen Kokeilutila-osiossa Lisää käyttäjiätai napsauta katsoa ja muokata poistaaksesi käyttäjät kokeilusta. |
4 | Kirjoita yhden tai useamman lisättävän käyttäjän sähköpostiosoite tai napsauta X käyttäjätunnuksella poistaaksesi käyttäjän kokeilusta. Napsauta sitten Tallentaa. |
Siirry kokeilusta tuotantoon
1 | Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut. |
2 | Napsauta Hybriditietoturva-kohdassa asetukset. |
3 | Napsauta Palvelun tila -osiossa Siirry tuotantoon. |
4 | Vahvista, että haluat siirtää kaikki käyttäjäsi tuotantoon. |
Lopeta kokeilu siirtymättä tuotantoon
1 | Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut. |
2 | Napsauta Hybriditietoturva-kohdassa asetukset. |
3 | Napsauta Poista käytöstä -osiossa Poista käytöstä. |
4 | Vahvista, että haluat poistaa palvelun käytöstä, ja lopeta kokeilu. |
Hallitse HDS-käyttöönottoa
Käytä tässä kuvattuja tehtäviä Hybrid Data Security -asennuksen hallintaan.
Aseta klusterin päivitysaikataulu
Päivitysaikataulun määrittäminen:
1 | Kirjaudu sisään Ohjauskeskus. |
2 | Valitse Yleiskatsaus-sivun Hybridipalvelut-kohdassa Hybriditietoturva. |
3 | Valitse Hybriditietoturvaresurssit-sivulla klusteri. |
4 | Valitse oikealla olevan Yleiskatsaus-paneelin Cluster Settings -kohdassa klusterin nimi. |
5 | Valitse Asetukset-sivun Päivitys-kohdasta aika ja aikavyöhyke päivitysaikataululle. Huomautus: Aikavyöhykkeen alla näytetään seuraavan saatavilla olevan päivityksen päivämäärä ja aika. Voit tarvittaessa siirtää päivityksen seuraavalle päivälle napsauttamalla Lykätä. |
Muuta solmun kokoonpanoa
x.509-varmenteiden muuttaminen vanhenemisen tai muiden syiden vuoksi.
Emme tue varmenteen CN-verkkotunnuksen vaihtamista. Verkkotunnuksen on vastattava klusterin rekisteröintiin käytettyä alkuperäistä verkkotunnusta.
Tietokannan asetusten päivittäminen PostgreSQL- tai Microsoft SQL Server -tietokannan kopioksi muuttamiseksi.
Emme tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin tai päinvastoin. Jos haluat vaihtaa tietokantaympäristöä, aloita uusi Hybrid Data Security -käyttöönotto.
Uuden kokoonpanon luominen uuden datakeskuksen valmistelemiseksi.
Lisäksi Hybrid Data Security käyttää turvallisuussyistä palvelutilin salasanoja, joiden käyttöikä on yhdeksän kuukautta. Kun HDS Setup -työkalu on luonut nämä salasanat, otat ne käyttöön jokaisessa HDS-solmussa ISO-määritystiedostossa. Kun organisaatiosi salasanat ovat vanhenemassa, saat Webex-tiimin ilmoituksen konetilin salasanan nollaamisesta. (Sähköposti sisältää tekstin "Käytä konetilin sovellusliittymää salasanan päivittämiseen.") Jos salasanasi eivät ole vielä vanhentuneet, työkalu tarjoaa kaksi vaihtoehtoa:
Pehmeä nollaus-Vanha ja uusi salasana ovat molemmat voimassa jopa 10 päivää. Käytä tätä ajanjaksoa korvataksesi solmujen ISO-tiedoston asteittain.
Laitekäynnistys-Vanhat salasanat lakkaavat toimimasta välittömästi.
Jos salasanasi vanhenevat ilman nollausta, se vaikuttaa HDS-palveluusi ja vaatii välitöntä hard resetin ja ISO-tiedoston vaihtamisen kaikissa solmuissa.
Käytä tätä menettelyä luodaksesi uuden ISO-määritystiedoston ja käyttääksesi sitä klusteriisi.
Ennen kuin aloitat
HDS-asennustyökalu toimii Docker-säiliönä paikallisessa koneessa. Voit käyttää sitä suorittamalla Dockerin kyseisessä koneessa. Asennusprosessi vaatii Control Hub -tilin kirjautumistiedot, jolla on täydet järjestelmänvalvojan oikeudet organisaatiollesi.
Jos HDS-asennustyökalu toimii välityspalvelimen takana ympäristössäsi, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien kautta, kun avaat Docker-säilön 1.e. Tässä taulukossa on joitain mahdollisia ympäristömuuttujia:
Kuvaus
Muuttuja
HTTP-välityspalvelin ilman todennusta
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-välityspalvelin ilman todennusta
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-välityspalvelin todennuksella
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-välityspalvelin todennuksella
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Tarvitset kopion nykyisestä ISO-määritystiedostosta uuden kokoonpanon luomiseksi. ISO sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset ISO-tunnuksen, kun teet muutoksia kokoonpanoon, mukaan lukien tietokannan tunnistetiedot, sertifikaattien päivitykset tai valtuutuskäytäntöjen muutokset.
1 | Suorita HDS Setup Tool käyttämällä Dockeria paikallisessa koneessa. |
2 | Jos käytössäsi on vain yksi HDS-solmu, luo uusi Hybrid Data Security -solmun VM ja rekisteröi se käyttämällä uutta ISO-määritystiedostoa. Katso tarkemmat ohjeet Luo ja rekisteröi lisää solmuja. |
3 | Asenna ISO-tiedosto olemassa oleville HDS-solmuille, jotka käyttävät vanhempaa määritystiedostoa. Suorita seuraava toimenpide jokaiselle solmulle vuorotellen päivittämällä jokainen solmu ennen kuin sammutat seuraavan solmun: |
4 | Toista vaihe 3 korvataksesi kokoonpanon jokaisessa jäljellä olevassa solmussa, joka käyttää vanhaa kokoonpanoa. |
Poista Estetty ulkoinen DNS-resoluutiotila käytöstä
Kun rekisteröit solmun tai tarkistat solmun välityspalvelimen kokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex-pilveen. Jos solmun DNS-palvelin ei pysty ratkaisemaan julkisia DNS-nimiä, solmu siirtyy automaattisesti Estetty ulkoinen DNS-ratkaisu -tilaan.
Jos solmusi pystyvät ratkaisemaan julkiset DNS-nimet sisäisten DNS-palvelimien kautta, voit poistaa tämän tilan käytöstä suorittamalla välityspalvelinyhteystestin uudelleen jokaisessa solmussa.
Ennen kuin aloitat
1 | Avaa verkkoselaimessa Hybrid Data Security -solmun käyttöliittymä (IP-osoite/asetus esim. https://192.0.2.0/setup), anna solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään. |
2 | Mene Yleiskatsaus (oletussivu). Kun käytössä, Estetty ulkoinen DNS-resoluutio on asetettu Joo. |
3 | Siirry kohtaan Trust Store ja välityspalvelin sivu. |
4 | Klikkaus Tarkista välityspalvelinyhteys. Jos näet viestin, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen ja pysyy tässä tilassa. Muussa tapauksessa käynnistät solmun uudelleen ja palaat takaisin Yleiskatsaus -sivulla Estetty ulkoinen DNS-resoluutio tulee asettaa arvoon ei. |
Mitä tehdä seuraavaksi
Poista solmu
1 | Käytä tietokoneesi VMware vSphere -asiakasta kirjautuaksesi ESXi-virtuaaliisäntään ja sammuttaaksesi virtuaalikoneen. |
2 | Poista solmu: |
3 | Poista VM vSphere-asiakkaassa. (Napsauta VM:tä hiiren kakkospainikkeella vasemmassa navigointiruudussa ja napsauta Poistaa.) Jos et poista virtuaalikonetta, muista irrottaa määritysten ISO-tiedosto. Ilman ISO-tiedostoa et voi käyttää suojaustietojasi virtuaalikoneella. |
Katastrofipalautus valmiustilan tietokeskuksen avulla
Hybrid Data Security -klusterisi kriittisin palvelu on viestien ja muun Webex-pilveen tallennetun sisällön salaamiseen käytettävien avaimien luominen ja tallennus. Jokaiselle organisaation käyttäjälle, joka on määritetty hybriditietoturvaan, uudet avaintenluontipyynnöt reititetään klusteriin. Klusteri on myös vastuussa luomiensa avainten palauttamisesta kaikille käyttäjille, joilla on oikeus noutaa ne, esimerkiksi keskustelutilan jäsenille.
Koska klusteri suorittaa näiden avainten kriittisen toiminnon, on välttämätöntä, että klusteri pysyy käynnissä ja että asianmukaiset varmuuskopiot ylläpidetään. Hybrid Data Security -tietokannan tai skeemaa varten käytetyn konfiguraatio-ISO:n katoaminen johtaa asiakkaan sisällön PALAUTTAMATTOMAN MENETTYMISEEN. Seuraavat käytännöt ovat pakollisia tällaisten menetysten estämiseksi:
Jos katastrofin vuoksi HDS-asennus ei ole käytettävissä ensisijaisessa datakeskuksessa, noudata näitä ohjeita ja siirry manuaalisesti valmiustilan datakeskukseen.
1 | Käynnistä HDS Setup -työkalu ja noudata kohdassa mainittuja vaiheita Luo konfigurointi-ISO HDS-isäntäkoneille. | ||
2 | Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset | ||
3 | Käytössä Lisäasetukset -sivulle, lisää kokoonpano alla tai poista
| ||
4 | Viimeistele määritysprosessi ja tallenna ISO-tiedosto paikkaan, joka on helppo löytää. | ||
5 | Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmääsi. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää pääsalausavaimen tietokannan sisällölle. Rajoita pääsy vain niille Hybrid Data Security -järjestelmänvalvojille, joiden tulee tehdä kokoonpanomuutoksia. | ||
6 | Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia.. | ||
7 | Klikkaus Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.
| ||
8 | Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 15 minuuttiin. | ||
9 | Toista prosessi jokaiselle valmiustilan datakeskuksen solmulle.
|
Mitä tehdä seuraavaksi
(Valinnainen) Irrota ISO HDS-määrityksen jälkeen
HDS-standardikokoonpano toimii ISO-asennuksella. Jotkut asiakkaat eivät kuitenkaan halua jättää ISO-tiedostoja jatkuvasti asennettavaksi. Voit irrottaa ISO-tiedoston, kun kaikki HDS-solmut ovat ottaneet uuden kokoonpanon.
Käytät edelleen ISO-tiedostoja konfiguraatiomuutosten tekemiseen. Kun luot uuden ISO:n tai päivität ISO:n Setup Toolin kautta, päivitetty ISO on asennettava kaikkiin HDS-solmuihin. Kun kaikki solmut ovat havainneet konfiguraatiomuutokset, voit irrottaa ISO:n uudelleen tällä menettelyllä.
Ennen kuin aloitat
Päivitä kaikki HDS-solmut versioon 2021.01.22.4720 tai uudempaan.
1 | Sulje yksi HDS-solmuistasi. |
2 | Valitse vCenter Server Appliancessa HDS-solmu. |
3 | Valita Datastore ISO-tiedosto. ja poista valinta |
4 | Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 20 minuuttiin. |
5 | Toista jokaiselle HDS-solmulle vuorotellen. |
Näytä hälytykset ja vianetsintä
Hybrid Data Security -asennuksen katsotaan olevan käyttökelvoton, jos kaikkiin klusterin solmuihin ei saada yhteyttä tai klusteri toimii niin hitaasti, että se pyytää aikakatkaisua. Jos käyttäjät eivät saa yhteyttä hybriditietoturvaklusteriisi, he kokevat seuraavat oireet:
Uusia tiloja ei voi luoda (ei voi luoda uusia avaimia)
Viestien ja välilyöntien otsikoiden salauksen purkaminen epäonnistuu:
Uusia käyttäjiä lisätty välilyöntiin (avaimia ei voi noutaa)
Olemassa olevat käyttäjät tilassa, jotka käyttävät uutta asiakasohjelmaa (avaimia ei voi noutaa)
Tilassa olevat käyttäjät jatkavat toimintaansa niin kauan kuin heidän asiakkaillaan on salausavainten välimuisti
On tärkeää, että valvot Hybrid Data Security -klusteriasi oikein ja käsittelet kaikki hälytykset välittömästi, jotta vältyt palvelun keskeytymiseltä.
Hälytykset
Jos Hybrid Data Security -asetuksissa on ongelma, Control Hub näyttää hälytyksiä organisaation järjestelmänvalvojalle ja lähettää sähköpostit määritettyyn sähköpostiosoitteeseen. Hälytykset kattavat monia yleisiä skenaarioita.
Varoitus | Toiminta |
---|---|
Paikallisen tietokannan käyttövirhe. |
Tarkista tietokantavirheiden tai paikallisverkko-ongelmien varalta. |
Paikallinen tietokantayhteys epäonnistui. |
Tarkista, että tietokantapalvelin on käytettävissä ja että solmun määrityksessä käytettiin oikeita palvelutilin tunnistetietoja. |
Pilvipalvelun käyttövirhe. |
Tarkista, että solmut voivat käyttää Webex-palvelimia kohdassa määritetyllä tavalla Ulkoisen yhteyden vaatimukset. |
Pilvipalvelurekisteröinnin uusiminen. |
Rekisteröityminen pilvipalveluihin lopetettiin. Rekisteröinnin uusiminen on käynnissä. |
Pilvipalvelun rekisteröinti putosi. |
Rekisteröityminen pilvipalveluihin on lopetettu. Palvelu suljetaan. |
Palvelua ei ole vielä aktivoitu. |
Aktivoi kokeilu tai lopeta kokeilun siirtäminen tuotantoon. |
Määritetty toimialue ei vastaa palvelimen varmennetta. |
Varmista, että palvelinvarmenne vastaa määritettyä palvelun aktivointitoimialuetta. Todennäköisin syy on se, että varmenne CN on äskettäin vaihdettu ja on nyt eri kuin alkuperäisen asennuksen aikana käytetty CN. |
Todennus pilvipalveluihin epäonnistui. |
Tarkista palvelutilin kirjautumistietojen tarkkuus ja mahdollinen vanheneminen. |
Paikallisen avainsäilytystiedoston avaaminen epäonnistui. |
Tarkista paikallisen avainsäilytystiedoston eheys ja salasanan tarkkuus. |
Paikallisen palvelimen varmenne on virheellinen. |
Tarkista palvelinvarmenteen viimeinen voimassaolopäivä ja varmista, että sen on myöntänyt luotettava varmenteen myöntäjä. |
Mittareita ei voi lähettää. |
Tarkista paikallisen verkon pääsy ulkoisiin pilvipalveluihin. |
/media/configdrive/hds-hakemistoa ei ole olemassa. |
Tarkista virtuaalipalvelimen ISO-asennusasetukset. Varmista, että ISO-tiedosto on olemassa, että se on määritetty liitettäväksi uudelleenkäynnistyksen yhteydessä ja että se liitetään onnistuneesti. |
Hybriditietoturvan vianetsintä
1 | Tarkista Control Hub mahdollisten hälytysten varalta ja korjaa sieltä löytämäsi kohteet. |
2 | Tarkista syslog-palvelimen tulos Hybrid Data Security -asennuksen toiminnan varalta. |
3 | Ottaa yhteyttä Ciscon tuki. |
Hybriditietoturvan tunnetut ongelmat
Jos suljet Hybrid Data Security -klusterin (poistamalla sen Control Hubissa tai sulkemalla kaikki solmut), menetät määritysten ISO-tiedostosi tai menetät pääsyn avainsäilötietokantaan, Webex-sovelluksesi käyttäjät eivät voi enää käyttää välilyöntejä ihmisten alla. luettelo, joka on luotu KMS:n avaimilla. Tämä koskee sekä koekäyttöä että tuotantokäyttöä. Meillä ei tällä hetkellä ole ratkaisua tai korjausta tähän ongelmaan, ja kehotamme sinua olemaan sulkematta HDS-palvelujasi, kun ne käsittelevät aktiivisia käyttäjätilejä.
Asiakas, jolla on olemassa ECDH-yhteys KMS-järjestelmään, ylläpitää tätä yhteyttä tietyn ajan (todennäköisesti tunnin). Kun käyttäjästä tulee Hybrid Data Security -kokeiluversion jäsen, käyttäjän asiakas jatkaa olemassa olevan ECDH-yhteyden käyttöä, kunnes se aikakatkaisee. Vaihtoehtoisesti käyttäjä voi kirjautua ulos ja takaisin sisään Webex App -sovellukseen päivittääkseen sijainnin, johon sovellus ottaa yhteyttä salausavaimia varten.
Sama käyttäytyminen tapahtuu, kun siirrät kokeilun organisaation tuotantoon. Kaikki muut kuin kokeilukäyttäjät, joilla on olemassa ECDH-yhteydet aikaisempiin tietoturvapalveluihin, jatkavat näiden palvelujen käyttöä, kunnes ECDH-yhteys neuvotellaan uudelleen (aikakatkaisun kautta tai kirjautumalla ulos ja takaisin sisään).
Luo PKCS12-tiedosto OpenSSL:n avulla
Ennen kuin aloitat
OpenSSL on yksi työkalu, jonka avulla PKCS12-tiedosto voidaan tehdä oikeaan muotoon ladattavaksi HDS-asennustyökaluun. On olemassa muitakin tapoja tehdä tämä, emmekä tue tai mainosta yhtä tapaa toisen edelle.
Jos päätät käyttää OpenSSL:ää, tarjoamme tämän menettelyn ohjeeksi, joka auttaa sinua luomaan tiedoston, joka täyttää X.509-varmennevaatimukset X.509 Varmennevaatimukset. Ymmärrä nämä vaatimukset ennen kuin jatkat.
Asenna OpenSSL tuettuun ympäristöön. Katso https://www.openssl.org ohjelmistoa ja dokumentaatiota varten.
Luo yksityinen avain.
Aloita tämä toimenpide, kun saat palvelinvarmenteen varmenteen myöntäjältä (CA).
1 | Kun saat palvelinvarmenteen CA:lta, tallenna se nimellä |
2 | Näytä varmenne tekstinä ja tarkista tiedot.
|
3 | Luo tekstieditorilla varmennepakettitiedosto nimeltä
|
4 | Luo .p12-tiedosto ystävällisellä nimellä
|
5 | Tarkista palvelimen varmenteen tiedot. |
Mitä tehdä seuraavaksi
Palata Täytä hybriditietoturvan edellytykset. Tulet käyttämään hdsnode.p12
tiedosto ja sille määrittämäsi salasana Luo konfigurointi-ISO HDS-isäntäkoneille.
Voit käyttää näitä tiedostoja uudelleen pyytääksesi uutta varmennetta, kun alkuperäinen varmenne vanhenee. |
Liikenne HDS-solmujen ja pilven välillä
Lähtevän mittaustietojen keräämisen liikenne
Hybrid Data Security -solmut lähettävät tiettyjä mittareita Webex-pilveen. Näitä ovat järjestelmän mittarit keon enimmäismäärälle, käytetylle keolle, suorittimen kuormitukselle ja säikeiden määrälle; synkronisten ja asynkronisten säikeiden metriikka; tiedot hälytyksistä, jotka koskevat salausyhteyksien kynnystä, latenssia tai pyyntöjonon pituutta; tietovaraston mittarit; ja salausyhteystiedot. Solmut lähettävät salattua avainmateriaalia kaistan ulkopuolisen (pyynnöstä erillisen) kanavan kautta.
Sisääntuleva liikenne
Hybriditietoturvasolmut vastaanottavat seuraavan tyyppistä saapuvaa liikennettä Webex-pilvestä:
Asiakkailta tulevat salauspyynnöt, jotka salauspalvelu reitittää
Päivitykset solmuohjelmistoon
Määritä Squid-välityspalvelimet hybriditietoturvaa varten
Websocket ei voi muodostaa yhteyttä Squid-välityspalvelimen kautta
Squid-välityspalvelimet, jotka tarkastavat HTTPS-liikennettä, voivat häiritä verkkopistorasian ( wss:
) yhteyksiä, joita Hybrid Data Security vaatii. Nämä osiot antavat ohjeita Squidin eri versioiden konfiguroinnista ohitettaviksi wss:
liikennettä palvelujen moitteettoman toiminnan varmistamiseksi.
Kalmari 4 ja 5
Lisää on_unsupported_protocol
ohje squid.conf
:
on_unsupported_protocol tunnel all
Kalmari 3.5.27
Testasimme onnistuneesti Hybrid Data Securityn seuraavilla säännöillä lisättynä squid.conf
. Nämä säännöt voivat muuttua, kun kehitämme ominaisuuksia ja päivitämme Webex-pilviä.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Uutta ja muuttunutta tietoa
Päiväys | Muutoksia tehty | ||
---|---|---|---|
20. lokakuuta 2023 |
| ||
07. elokuuta 2023 |
| ||
23. toukokuuta 2023 |
| ||
06. joulukuuta 2022 |
| ||
23. marraskuuta 2022 |
| ||
13. lokakuuta 2021 | Docker Desktopin on suoritettava asennusohjelma, ennen kuin voit asentaa HDS-solmuja. Katso Docker Desktop -vaatimukset. | ||
24. kesäkuuta 2021 | Huomioi, että voit käyttää yksityisen avaimen tiedostoa ja CSR:ää uudelleen pyytääksesi uutta varmennetta. Katso Luo PKCS12-tiedosto OpenSSL:n avulla yksityiskohtia varten. | ||
30. huhtikuuta 2021 | Paikallisen kiintolevytilan VM-vaatimus muutettiin 30 Gt:ksi. Katso Virtuaalipalvelimen vaatimukset yksityiskohtia varten. | ||
24. helmikuuta 2021 | HDS Setup Tool voi nyt toimia välityspalvelimen takana. Katso Luo konfigurointi-ISO HDS-isäntäkoneille yksityiskohtia varten. | ||
2. helmikuuta 2021 | HDS voi nyt toimia ilman asennettua ISO-tiedostoa. Katso (Valinnainen) Irrota ISO HDS-määrityksen jälkeen yksityiskohtia varten. | ||
11. tammikuuta 2021 | Lisätty tietoja HDS Setup -työkalusta ja välityspalvelimista Luo konfigurointi-ISO HDS-isäntäkoneille. | ||
13. lokakuuta 2020 | Päivitetty Lataa asennustiedostot. | ||
8. lokakuuta 2020 | Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa komennoilla FedRAMP-ympäristöille. | ||
14. elokuuta 2020 | Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille ja Muuta solmun kokoonpanoa kirjautumisprosessin muutoksilla. | ||
5. elokuuta 2020 | Päivitetty Testaa hybriditietoturvaasi lokiviestien muutoksille. Päivitetty Virtuaalipalvelimen vaatimukset poistaaksesi enimmäismäärän isäntiä. | ||
16. kesäkuuta 2020 | Päivitetty Poista solmu Control Hub -käyttöliittymän muutoksille. | ||
4. kesäkuuta 2020 | Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille muutoksista lisäasetuksiin, jotka voit määrittää. | ||
29. toukokuuta 2020 | Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille näyttää, että voit myös käyttää TLS:ää SQL Server -tietokantojen, käyttöliittymämuutosten ja muiden selvennusten kanssa. | ||
5. toukokuuta 2020 | Päivitetty Virtuaalipalvelimen vaatimukset näyttää ESXi 6.5:n uusi vaatimus. | ||
21. huhtikuuta 2020 | Päivitetty Ulkoisen yhteyden vaatimukset uusien Americas CI:n isäntien kanssa. | ||
1. huhtikuuta 2020 | Päivitetty Ulkoisen yhteyden vaatimukset tiedot alueellisista CI-isännöistä. | ||
20. helmikuuta 2020 | Päivitetty Luo konfigurointi-ISO HDS-isäntäkoneille tietoja uudesta valinnaisesta Lisäasetukset-näytöstä HDS-asetustyökalussa. | ||
4. helmikuuta 2020 | Päivitetty Välityspalvelinvaatimukset. | ||
16. joulukuuta 2019 | Selvensi vaatimusta, jonka mukaan estetty ulkoinen DNS-resoluutiotila toimii Välityspalvelinvaatimukset. | ||
19. marraskuuta 2019 | Lisätty tietoja Estetystä ulkoisesta DNS-resoluutiotilasta seuraaviin osioihin: | ||
8. marraskuuta 2019 | Voit nyt määrittää solmun verkkoasetukset OVA:n käyttöönoton aikana eikä sen jälkeen. Päivitetty seuraavat osiot vastaavasti:
| ||
6. syyskuuta 2019 | SQL Server Standard lisätty Tietokantapalvelimen vaatimukset. | ||
29. elokuuta 2019 | Lisätty Määritä Squid-välityspalvelimet hybriditietoturvaa varten liite, jossa on ohjeet Squid-välityspalvelinten määrittämiseen niin, että ne jättävät verkkosocket-liikenteen huomioimatta oikean toiminnan varmistamiseksi. | ||
20. elokuuta 2019 | Lisätty ja päivitetty osiot, jotka kattavat välityspalvelintuen Hybrid Data Security -solmuviestinnälle Webex-pilveen. Jos haluat käyttää vain olemassa olevan käyttöönoton välityspalvelimen tukisisältöä, katso Välityspalvelintuki hybriditietoturvalle ja Webex Video Meshille ohjeartikkeli. | ||
13. kesäkuuta 2019 | Päivitetty Kokeilu tuotantotehtäväkulkuun ja muistutus synkronoida HdsTrialGroup ryhmäobjektin ennen kokeilun aloittamista, jos organisaatiosi käyttää hakemistosynkronointia. | ||
6. maaliskuuta 2019 |
| ||
28. helmikuuta 2019 |
| ||
26. helmikuuta 2019 |
| ||
24. tammikuuta 2019 |
| ||
5. marraskuuta 2018 |
| ||
19. lokakuuta 2018 |
| ||
31. heinäkuuta 2018 |
| ||
21. toukokuuta 2018 | Muutettu terminologia vastaamaan Cisco Sparkin uudelleenbrändäystä:
| ||
11. huhtikuuta 2018 |
| ||
22. helmikuuta 2018 |
| ||
15. helmikuuta 2018 |
| ||
18. tammikuuta 2018 |
| ||
2. marraskuuta 2017 |
| ||
18. elokuuta 2017 | Ensimmäinen julkaistu |
Hybridin tietoturvan yleiskatsaus
Tietoturva on ollut ensimmäisestä päivästä lähtien suunnittelun pääpaino Webex-sovellus. Tämän suojauksen kulmakivi on päästä päähän -sisällön salaus, jonka mahdollistaa Webex-sovellus asiakkaat, jotka ovat vuorovaikutuksessa Key Management Servicen (KMS) kanssa. KMS on vastuussa salausavaimien luomisesta ja hallinnasta, joita asiakkaat käyttävät viestien ja tiedostojen dynaamiseen salaukseen ja salauksen purkamiseen.
Oletuksena kaikki Webex-sovellus asiakkaat saavat päästä päähän -salauksen dynaamisilla avaimilla, jotka on tallennettu pilvi-KMS:ään Ciscon tietoturva-alueella. Hybrid Data Security siirtää KMS:n ja muut turvallisuuteen liittyvät toiminnot yrityksesi datakeskukseen, joten kukaan muu kuin sinä omistaa salatun sisältösi avaimet.
Security Realm -arkkitehtuuri
Webex-pilviarkkitehtuuri erottaa erityyppiset palvelut erillisiksi alueiksi tai luottamusalueiksi, kuten alla on kuvattu.
Ymmärtääksemme paremmin hybriditietoturvaa, katsotaanpa ensin tätä puhdasta pilvikoteloa, jossa Cisco tarjoaa kaikki toiminnot pilvialueillaan. Identiteettipalvelu, ainoa paikka, jossa käyttäjät voidaan suoraan korreloida henkilökohtaisten tietojensa, kuten sähköpostiosoitteensa kanssa, on loogisesti ja fyysisesti erillään tietokeskuksen B turvallisuusalueesta. Molemmat ovat puolestaan erillisiä alueesta, johon salattu sisältö lopulta tallennetaan. , palvelinkeskuksessa C.
Tässä kaaviossa asiakas on Webex-sovellus, joka toimii käyttäjän kannettavassa tietokoneessa ja on todennettu identiteettipalvelulla. Kun käyttäjä kirjoittaa tilaan lähetettävän viestin, seuraavat vaiheet tapahtuvat:
Asiakas muodostaa suojatun yhteyden avaintenhallintapalveluun (KMS) ja pyytää sitten avainta viestin salaamiseksi. Suojattu yhteys käyttää ECDH:ta, ja KMS salaa avaimen AES-256-pääavaimella.
Viesti salataan ennen kuin se lähtee asiakkaalta. Asiakas lähettää sen indeksointipalveluun, joka luo salattuja hakuhakemistoja auttamaan tulevia sisällönhakuja.
Salattu viesti lähetetään vaatimustenmukaisuuspalveluun vaatimustenmukaisuustarkastuksia varten.
Salattu viesti tallennetaan tallennusalueelle.
Kun otat käyttöön Hybrid Data Securityn, siirrät suojausalueen toiminnot (KMS, indeksointi ja vaatimustenmukaisuus) paikalliseen tietokeskukseesi. Muut Webexin muodostavat pilvipalvelut (mukaan lukien identiteetti ja sisällön tallennus) jäävät Ciscon toimialueille.
Yhteistyö muiden organisaatioiden kanssa
Organisaatiosi käyttäjät voivat säännöllisesti käyttää Webex-sovellusta tehdäkseen yhteistyötä muiden organisaatioiden ulkopuolisten osallistujien kanssa. Kun joku käyttäjistäsi pyytää avainta organisaatiosi omistamaan tilaan (koska sen on luonut yksi käyttäjistäsi), KMS lähettää avaimen asiakkaalle ECDH-suojatun kanavan kautta. Kuitenkin, kun toinen organisaatio omistaa tilan avaimen, KMS-järjestelmäsi reitittää pyynnön Webex-pilveen erillisen ECDH-kanavan kautta saadakseen avaimen asianmukaiselta KMS:ltä ja palauttaa sitten avaimen käyttäjällesi alkuperäisessä kanavassa.
Organisaatiossa A toimiva KMS-palvelu vahvistaa yhteydet muiden organisaatioiden KMS-järjestelmiin käyttämällä x.509 PKI -varmenteita. Katso Valmistele ympäristösi lisätietoja x.509-varmenteen luomisesta käytettäväksi Hybrid Data Security -asennuksesi kanssa.
Hybriditietoturvan käyttöönottoon liittyvät odotukset
Hybrid Data Security -käyttöönotto edellyttää merkittävää asiakkaiden sitoutumista ja tietoisuutta salausavainten omistamiseen liittyvistä riskeistä.
Hybriditietoturvan käyttöönottoa varten sinun on toimitettava:
Turvallinen datakeskus maassa, joka on a Cisco Webex Teams -suunnitelmien tuettu sijainti.
Kohdassa kuvatut laitteet, ohjelmistot ja verkkoyhteys Valmistele ympäristösi.
Joko Hybrid Data Securitylle luomasi ISO-kokoonpanon tai toimittamasi tietokannan täydellinen menetys johtaa avainten katoamiseen. Avaimen katoaminen estää käyttäjiä purkamasta avaruussisällön ja muiden salattujen tietojen salausta Webex Appissa. Jos näin tapahtuu, voit rakentaa uuden käyttöönoton, mutta vain uusi sisältö näkyy. Jotta et menetä tietoja, sinun on:
Hallitse tietokannan varmuuskopiointia ja palautusta sekä ISO-konfiguraatiota.
Ole valmis suorittamaan nopean katastrofipalautuksen, jos tapahtuu katastrofi, kuten tietokantalevyvika tai tietokeskuksen katastrofi.
Ei ole mekanismia avainten siirtämiseksi takaisin pilveen HDS-asennuksen jälkeen. |
Korkean tason asennusprosessi
Tämä asiakirja kattaa Hybrid Data Securityn käyttöönoton ja hallinnan:
Ota käyttöön hybriditietoturva– Tämä sisältää tarvittavan infrastruktuurin valmistelemisen ja Hybrid Data Security -ohjelmiston asentamisen, käyttöönoton testaamisen käyttäjien osajoukolla kokeilutilassa ja, kun testaus on valmis, siirtyminen tuotantoon. Tämä muuntaa koko organisaation käyttämään Hybrid Data Security -klusteriasi suojaustoimintoihin.
Asennus-, kokeilu- ja tuotantovaiheet käsitellään yksityiskohtaisesti seuraavassa kolmessa luvussa.
Ylläpidä Hybrid Data Security -käyttöönottoasi— Webex-pilvi tarjoaa automaattisesti jatkuvat päivitykset. IT-osastosi voi tarjota ykköstason tukea tälle käyttöönotolle ja Ciscon tukea tarvittaessa. Voit käyttää näytön ilmoituksia ja määrittää sähköpostipohjaisia hälytyksiä Control Hubissa.
Ymmärrä yleiset hälytykset, vianetsintävaiheet ja tunnetut ongelmat— Jos Hybrid Data Securityn käyttöönotossa tai käytössä ilmenee ongelmia, tämän oppaan viimeinen luku ja Tunnetut ongelmat -liite voivat auttaa sinua määrittämään ja korjaamaan ongelman.
Hybriditietoturvan käyttöönottomalli
Otat yrityksesi tietokeskuksessa käyttöön Hybrid Data Securityn yhtenä solmuklusterina erillisissä virtuaalikoneissa. Solmut kommunikoivat Webex-pilven kanssa suojattujen verkkoliitäntöjen ja suojatun HTTP:n kautta.
Asennusprosessin aikana annamme sinulle OVA-tiedoston, jonka avulla voit määrittää virtuaalilaitteiston toimittamillesi VM-koneille. Käytät HDS Setup Toolia luodaksesi mukautetun klusterin kokoonpanon ISO-tiedoston, joka liitetään kuhunkin solmuun. Hybrid Data Security -klusteri käyttää toimittamaasi Syslogd-palvelinta ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. (Määrität Syslogd- ja tietokantayhteystiedot HDS-asennustyökalussa.)
Solmujen vähimmäismäärä klusterissa on kaksi. Suosittelemme vähintään kolmea, ja sinulla voi olla jopa viisi. Useiden solmujen käyttö varmistaa, että palvelu ei keskeydy ohjelmistopäivityksen tai muun solmun ylläpitotoimenpiteen aikana. (Webex-pilvi päivittää vain yhden solmun kerrallaan.)
Kaikki klusterin solmut käyttävät samaa avaintietovarastoa ja kirjaavat toiminnan samaan lokipalvelimeen. Itse solmut ovat valtiottomia ja käsittelevät avainpyyntöjä kiertoteitse pilven ohjeiden mukaisesti.
Solmut aktivoituvat, kun rekisteröit ne Control Hubiin. Voit poistaa yksittäisen solmun käytöstä poistamalla sen rekisteröinnin ja rekisteröimällä sen myöhemmin uudelleen tarvittaessa.
Tuemme vain yhtä klusteria organisaatiota kohden.
Hybriditietoturvan kokeilutila
Kun olet määrittänyt Hybrid Data Security -asennuksen, kokeile sitä ensin pilottikäyttäjien kanssa. Kokeilujakson aikana nämä käyttäjät käyttävät paikallista Hybrid Data Security -toimialuettasi salausavaimiin ja muihin tietoturvapalveluihin. Muut käyttäjäsi jatkavat pilviturvallisuuden käyttöä.
Jos päätät olla jatkamatta käyttöönottoa kokeilun aikana ja poistaa palvelun käytöstä, pilottikäyttäjät ja kaikki käyttäjät, joiden kanssa he ovat olleet vuorovaikutuksessa luomalla uusia tiloja kokeilujakson aikana, menettävät pääsyn viesteihin ja sisältöön. He näkevät Webex-sovelluksessa "Tätä viestiä ei voi purkaa".
Jos olet vakuuttunut siitä, että käyttöönottosi toimii hyvin kokeilukäyttäjille ja olet valmis laajentamaan Hybrid Data Securityn koskemaan kaikkia käyttäjiäsi, siirrät käyttöönoton tuotantoon. Pilottikäyttäjät voivat edelleen käyttää avaimia, jotka olivat käytössä kokeilun aikana. Et kuitenkaan voi siirtyä edestakaisin tuotantotilan ja alkuperäisen kokeilun välillä. Jos sinun on deaktivoitava palvelu, esimerkiksi suorittaaksesi hätäpalautuksen, uudelleenaktivoinnin yhteydessä sinun on aloitettava uusi kokeiluversio ja määritettävä pilottikäyttäjät uudelle kokeilujaksolle ennen kuin siirryt takaisin tuotantotilaan. Se, voivatko käyttäjät säilyttää pääsyn tietoihin tässä vaiheessa, riippuu siitä, oletko onnistuneesti ylläpitänyt avaintietovaraston ja ISO-määritystiedoston varmuuskopioita klusterin hybriditietoturvasolmuille.
Standby Data Center katastrofipalautukseen
Käyttöönoton aikana määrität suojatun valmiustilan tietokeskuksen. Palvelinkeskuksen katastrofin sattuessa voit epäonnistua käyttöönoton manuaalisesti valmiustilassa olevaan datakeskukseen.
Aktiivisten ja valmiustilassa olevien datakeskusten tietokannat ovat synkronoituja keskenään, mikä minimoi vikasietoisuuden suorittamiseen kuluvan ajan. Valmiustilan palvelinkeskuksen ISO-tiedosto päivitetään lisäkonfiguraatioilla, jotka varmistavat, että solmut ovat rekisteröityneet organisaatioon, mutta eivät käsittele liikennettä. Näin ollen valmiustilan datakeskuksen solmut pysyvät aina ajan tasalla HDS-ohjelmiston uusimman version kanssa.
Aktiivisten Hybrid Data Security -solmujen on aina oltava samassa tietokeskuksessa aktiivisen tietokantapalvelimen kanssa. |
Määritä valmiustilassa oleva tietokeskus katastrofipalautusta varten
Määritä valmiustilassa olevan datakeskuksen ISO-tiedosto seuraavasti:
Ennen kuin aloitat
Valmiustilassa olevan datakeskuksen tulee peilata virtuaalikoneiden tuotantoympäristöä ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. Jos tuotannossa on esimerkiksi 3 VM:tä, jotka käyttävät HDS-solmuja, varmuuskopiointiympäristössä tulisi olla 3 virtuaalikonetta. (Katso Standby Data Center katastrofipalautukseen saadaksesi yleiskatsauksen tästä vikasietomallista.)
Varmista, että tietokannan synkronointi on käytössä aktiivisten ja passiivisten klusterisolmujen tietokannan välillä.
1 | Käynnistä HDS Setup -työkalu ja noudata kohdassa mainittuja vaiheita Luo konfigurointi-ISO HDS-isäntäkoneille.
| ||
2 | Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset | ||
3 | Käytössä Lisäasetukset sivulla, lisää alla oleva kokoonpano asettaaksesi solmun passiiviseen tilaan. Tässä tilassa solmu rekisteröidään organisaatioon ja yhdistetään pilveen, mutta se ei käsittele liikennettä.
| ||
4 | Viimeistele määritysprosessi ja tallenna ISO-tiedosto paikkaan, joka on helppo löytää. | ||
5 | Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmääsi. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää pääsalausavaimen tietokannan sisällölle. Rajoita pääsy vain niille Hybrid Data Security -järjestelmänvalvojille, joiden tulee tehdä kokoonpanomuutoksia. | ||
6 | Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia.. | ||
7 | Klikkaus Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.
| ||
8 | Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 15 minuuttiin. | ||
9 | Toista prosessi jokaiselle valmiustilan datakeskuksen solmulle.
|
Mitä tehdä seuraavaksi
Konfiguroinnin jälkeen passiveMode
ISO-tiedostossa ja tallentamalla sen, voit luoda ISO-tiedostosta toisen kopion ilman passiveMode
määritykset ja tallenna se turvalliseen paikkaan. Tämä kopio ISO-tiedostosta ilman passiveMode
konfiguroitu voi auttaa nopeassa vikasietoprosessissa katastrofipalautuksen aikana. Katso Katastrofipalautus valmiustilan tietokeskuksen avulla yksityiskohtaista vikasietoprosessia varten.
Välityspalvelimen tuki
Hybrid Data Security tukee eksplisiittisiä, läpinäkyviä tarkastuksia ja ei-tarkistavia välityspalvelimia. Voit sitoa nämä välityspalvelimet käyttöönottoasi, jotta voit suojata ja valvoa liikennettä yrityksestä pilveen. Voit käyttää alustan järjestelmänvalvojan käyttöliittymää solmuissa varmenteiden hallintaan ja yleisen yhteyden tilan tarkistamiseen sen jälkeen, kun olet määrittänyt solmujen välityspalvelimen.
Hybrid Data Security -solmut tukevat seuraavia välityspalvelinvaihtoehtoja:
Ei välityspalvelinta— Oletusasetus, jos et käytä HDS-solmun asetusten Trust Store & Proxy -kokoonpanoa välityspalvelimen integroimiseen. Varmennepäivitystä ei tarvita.
Läpinäkyvä ei-tarkistava välityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen tarkastamattoman välityspalvelimen kanssa. Varmennepäivitystä ei tarvita.
Läpinäkyvä tunnelointi tai tarkastusvälityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelinosoitetta. Solmuihin ei tarvita HTTP- tai HTTPS-kokoonpanomuutoksia. Solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne luottavat välityspalvelimeen. IT käyttää tyypillisesti tarkastusvälityspalvelimia valvoakseen käytäntöjä, joilla verkkosivustoilla voi vierailla ja minkä tyyppinen sisältö ei ole sallittua. Tämän tyyppinen välityspalvelin purkaa kaiken liikenteesi (jopa HTTPS:n).
Eksplisiittinen välityspalvelin— Eksplisiittisellä välityspalvelimella kerrot HDS-solmuille, mitä välityspalvelinta ja todennusmallia tulee käyttää. Jos haluat määrittää nimenomaisen välityspalvelimen, sinun on annettava seuraavat tiedot jokaiseen solmuun:
Välityspalvelimen IP/FQDN— Osoite, jota voidaan käyttää välityspalvelimen tavoittamiseen.
Välityspalvelimen portti— Portin numero, jota välityspalvelin käyttää välityspalvelimen liikenteen kuuntelemiseen.
Välityspalvelinprotokolla— Valitse seuraavista protokollista riippuen siitä, mitä välityspalvelimesi tukee:
HTTP – Tarkastelee ja hallitsee kaikkia asiakkaan lähettämiä pyyntöjä.
HTTPS – Tarjoaa kanavan palvelimelle. Asiakas vastaanottaa ja vahvistaa palvelimen varmenteen.
Tunnistautumistapa-Valitse seuraavista todennustyypeistä:
Ei mitään-Lisätunnistusta ei tarvita.
Käytettävissä, jos valitset välityspalvelimeksi HTTP- tai HTTPS-protokollaksi.
Perus—Käytetään HTTP-käyttäjäagentille antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.
Käytettävissä, jos valitset välityspalvelimeksi HTTP- tai HTTPS-protokollaksi.
Edellyttää käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.
Sulattaa-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Käyttää hajautustoimintoa käyttäjänimeen ja salasanaan ennen lähettämistä verkon kautta.
Saatavilla vain, jos valitset HTTPS-protokollaksi välityspalvelimeksi.
Edellyttää käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.
Esimerkki hybriditietoturvasolmuista ja välityspalvelimesta
Tämä kaavio näyttää esimerkkiyhteyden Hybrid Data Securityn, verkon ja välityspalvelimen välillä. Läpinäkyvän tarkastuksen ja HTTPS:n eksplisiittisen tarkastuksen välityspalvelimen valintoja varten sama juurivarmenne on asennettava välityspalvelimeen ja Hybrid Data Security -solmuihin.
Estetty ulkoinen DNS-resoluutiotila (eksplisiittiset välityspalvelimen määritykset)
Kun rekisteröit solmun tai tarkistat solmun välityspalvelimen kokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex-pilveen. Jos solmu ei voi tehdä kyselyä DNS-palvelimille, se siirtyy automaattisesti estetty ulkoinen DNS-selvitys -tilaan käyttöönotoissa, joissa on nimenomaiset välityspalvelinkokoonpanot, jotka eivät salli ulkoista DNS-selvitystä sisäisille asiakkaille. Tässä tilassa solmun rekisteröinti ja muut välityspalvelimen yhteystestit voivat jatkua.
Hybriditietoturvan vaatimukset
Cisco Webex -lisenssivaatimukset
Hybriditietoturvan käyttöönotto:
Sinulla on oltava Pro Pack Cisco Webex Control Hubille. (Katso https://www.cisco.com/go/pro-pack.)
Docker Desktop -vaatimukset
Ennen kuin asennat HDS-solmut, tarvitset Docker Desktopin asennusohjelman suorittamiseen. Docker päivitti äskettäin lisenssimallinsa. Organisaatiosi saattaa vaatia maksullisen Docker Desktopin tilauksen. Katso lisätietoja Dockerin blogiviestistä " Docker päivittää ja laajentaa tuotetilauksiamme".
X.509 Varmennevaatimukset
Varmenneketjun tulee täyttää seuraavat vaatimukset:
Vaatimus | Tiedot |
---|---|
| Oletuksena luotamme Mozilla-luettelon CA:ihin (poikkeuksena WoSign ja StartCom) https://wiki.mozilla.org/CA:IncludedCAs. |
| CN:n ei tarvitse olla tavoitettavissa tai olla elävä isäntä. Suosittelemme, että käytät nimeä, joka kuvastaa organisaatiotasi, esim. CN ei saa sisältää *-merkkiä (jokerimerkki). CN:ää käytetään Webex App -asiakkaiden Hybrid Data Security -solmujen vahvistamiseen. Kaikki klusterin Hybrid Data Security -solmut käyttävät samaa varmennetta. KMS tunnistaa itsensä käyttämällä CN-toimialuetta, ei mitään toimialuetta, joka on määritetty x.509v3 SAN -kentissä. Kun olet rekisteröinyt solmun tällä varmenteella, emme tue CN-verkkotunnuksen vaihtamista. Valitse toimialue, jota voidaan soveltaa sekä kokeilu- että tuotantokäyttöön. |
| KMS-ohjelmisto ei tue SHA1-allekirjoituksia muiden organisaatioiden KMS:ien välisten yhteyksien vahvistamiseksi. |
| Voit muuttaa varmenteen muotoa muuntimen, kuten OpenSSL:n, avulla. Sinun on syötettävä salasana, kun suoritat HDS Setup Tool -työkalun. |
KMS-ohjelmisto ei pakota avainten käyttöä tai laajennettuja avainten käyttöä koskevia rajoituksia. Jotkut varmenneviranomaiset vaativat, että jokaiseen varmenteeseen sovelletaan laajennettuja avainten käyttörajoituksia, kuten palvelimen todennus. Palvelimen todennusta tai muita asetuksia saa käyttää.
Virtuaalipalvelimen vaatimukset
Virtuaalisilla isännillä, jotka määrität klusterin hybriditietoturvasolmuiksi, on seuraavat vaatimukset:
Vähintään kaksi erillistä isäntäkonetta (3 suositeltavaa), jotka sijaitsevat samassa suojatussa datakeskuksessa
VMware ESXi 6.5 (tai uudempi) asennettu ja käynnissä.
Sinun on päivitettävä, jos sinulla on aiempi versio ESXi:stä.
Vähintään 4 vCPU:ta, 8 Gt keskusmuistia, 30 Gt paikallista kiintolevytilaa palvelinta kohden
Tietokantapalvelimen vaatimukset
Luo uusi tietokanta avainten säilytystä varten. Älä käytä oletustietokantaa. Kun HDS-sovellukset on asennettu, ne luovat tietokantaskeeman. |
Tietokantapalvelimelle on kaksi vaihtoehtoa. Vaatimukset kullekin ovat seuraavat:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Vähintään 8 vCPU:ta, 16 Gt:n keskusmuisti, riittävä kiintolevytila ja valvonta sen varmistamiseksi, että sitä ei ylitetä (2 TB suositellaan, jos haluat käyttää tietokantaa pitkään ilman tarvetta lisätä tallennustilaa) | Vähintään 8 vCPU:ta, 16 Gt:n keskusmuisti, riittävä kiintolevytila ja valvonta sen varmistamiseksi, että sitä ei ylitetä (2 TB suositellaan, jos haluat käyttää tietokantaa pitkään ilman tarvetta lisätä tallennustilaa) |
HDS-ohjelmisto asentaa tällä hetkellä seuraavat ajuriversiot tietokantapalvelimen kanssa kommunikointia varten:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC -ohjain 42.2.5 | SQL Server JDBC -ohjain 4.6 Tämä ohjainversio tukee SQL Server Always On ( Aina Failover Cluster -esiintymissä ja Aina käytettävissä ryhmät). |
Lisävaatimukset Windows-todennusta vastaan Microsoft SQL Serveriä vastaan
Jos haluat, että HDS-solmut käyttävät Windows-todennusta päästäkseen Microsoft SQL Serverin avainsäilötietokantaasi, tarvitset seuraavan kokoonpanon ympäristössäsi:
HDS-solmut, Active Directory -infrastruktuuri ja MS SQL Server on kaikki synkronoitava NTP:n kanssa.
HDS-solmuille antamallasi Windows-tilillä on oltava luku-/kirjoitusoikeus tietokantaan.
HDS-solmuille toimittamiesi DNS-palvelimien on kyettävä ratkaisemaan Key Distribution Center (KDC).
Voit rekisteröidä HDS-tietokannan ilmentymän Microsoft SQL Serverissäsi palvelun päänimeksi (SPN) Active Directoryssa. Katso Rekisteröi palvelun päänimi Kerberos-yhteyksille.
HDS-asennustyökalun, HDS-käynnistimen ja paikallisen KMS:n on käytettävä Windows-todennusta päästäkseen avainsäilötietokantaan. He käyttävät ISO-kokoonpanosi tietoja SPN:n muodostamiseen pyytäessään pääsyä Kerberos-todennusta käyttämällä.
Ulkoisen yhteyden vaatimukset
Määritä palomuurisi sallimaan seuraavat liitännät HDS-sovelluksille:
Sovellus | pöytäkirja | Portti | Ohje sovelluksesta | Kohde |
---|---|---|---|---|
Hybriditietoturvasolmut | TCP | 443 | Lähtevä HTTPS ja WSS |
|
HDS-asetustyökalu | TCP | 443 | Lähtevä HTTPS |
|
Hybriditietoturvasolmut toimivat verkkokäyttömuunnoksen (NAT) kanssa tai palomuurin takana, kunhan NAT tai palomuuri sallii vaaditut lähtevät yhteydet edellisen taulukon toimialueen kohteisiin. Hybrid Data Security -solmuihin tulevissa yhteyksissä ei saa näkyä portteja Internetistä. Palvelinkeskuksessasi asiakkailla on oltava pääsy Hybrid Data Security -solmuihin TCP-porteissa 443 ja 22 hallinnollisia tarkoituksia varten. |
Common Identity (CI) -isäntien URL-osoitteet ovat aluekohtaisia. Nämä ovat nykyiset CI-isännät:
Alue | Yhteisen identiteetin isäntä-URL-osoitteet |
---|---|
Amerikka |
|
Euroopan unioni |
|
Kanada |
|
Välityspalvelinvaatimukset
Tuemme virallisesti seuraavia välityspalvelinratkaisuja, jotka voidaan integroida Hybrid Data Security -solmuisi.
Läpinäkyvä välityspalvelin — Cisco Web Security Appliance (WSA).
Eksplisiittinen välityspalvelin – Squid.
Squid-välityspalvelimet, jotka tarkastavat HTTPS-liikennettä, voivat häiritä verkkopistorasian (wss:) yhteyksiä. Jos haluat kiertää tämän ongelman, katso Määritä Squid-välityspalvelimet hybriditietoturvaa varten.
Tuemme seuraavia todennustyyppiyhdistelmiä eksplisiittisille välityspalvelimille:
Ei todennusta HTTP:llä tai HTTPS:llä
Perustodennus HTTP- tai HTTPS-protokollalla
Tiivistetodennus vain HTTPS:llä
Jos haluat läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-välityspalvelimen, sinulla on oltava kopio välityspalvelimen juurivarmenteesta. Tämän oppaan käyttöönotto-ohjeet kertovat, kuinka kopio ladataan Hybrid Data Security -solmujen luotettaviin varastoihin.
HDS-solmuja isännöivä verkko on määritettävä pakottamaan lähtevä TCP-liikenne portissa 443 reitittämään välityspalvelimen kautta.
Verkkoliikennettä tarkastavat välityspalvelimet voivat häiritä verkkoliitäntäyhteyksiä. Jos tämä ongelma ilmenee, ohita (ei tarkasta) liikenne kohteeseen
wbx2.com
jaciscospark.com
ratkaisee ongelman.
Täytä hybriditietoturvan edellytykset
1 | Varmista, että Webex-organisaatiossasi on käytössä Pro Pack for Cisco Webex Control Hub, ja hanki tilin kirjautumistiedot, jolla on täydet organisaation järjestelmänvalvojan oikeudet. Ota yhteyttä Cisco-kumppaniisi tai asiakasvastaavaan saadaksesi apua tässä prosessissa. | ||
2 | Valitse HDS-asennuksellesi verkkotunnus (esim. | ||
3 | Valmistele identtiset virtuaaliset isännät, jotka määrität klusterin hybriditietoturvasolmuiksi. Tarvitset vähintään kaksi erillistä isäntäkonetta (3 suositeltua), jotka sijaitsevat samassa suojatussa datakeskuksessa ja jotka täyttävät vaatimukset Virtuaalipalvelimen vaatimukset. | ||
4 | Valmistele tietokantapalvelin, joka toimii klusterin avaintietovarastona Tietokantapalvelimen vaatimukset. Tietokantapalvelin on sijoitettava suojattuun tietokeskukseen virtuaalisten isäntien kanssa. | ||
5 | Nopeaa katastrofipalautusta varten määritä varmuuskopioympäristö eri tietokeskukseen. Varmuuskopiointiympäristö peilaa virtuaalikoneiden ja varmuuskopiotietokantapalvelimen tuotantoympäristöä. Jos tuotannossa on esimerkiksi 3 virtuaalikonetta, jotka käyttävät HDS-solmuja, varmuuskopiointiympäristössä tulisi olla 3 virtuaalikonetta. | ||
6 | Määritä syslog-isäntä keräämään lokit klusterin solmuista. Kerää sen verkko-osoite ja syslog-portti (oletus on UDP 514). | ||
7 | Luo suojattu varmuuskopiointikäytäntö Hybrid Data Security -solmuille, tietokantapalvelimelle ja loki-isännälle. Vähintään peruuttamattoman tietojen häviämisen estämiseksi sinun on varmuuskopioitava tietokanta ja konfiguraatio-ISO-tiedosto, joka on luotu Hybrid Data Security -solmuille.
Webex App -asiakkaat tallentavat avaimensa välimuistiin, joten käyttökatkos ei välttämättä ole heti havaittavissa, mutta se tulee ilmeiseksi ajan myötä. Vaikka tilapäisiä katkoksia on mahdotonta estää, ne ovat korjattavissa. Tietokannan tai määritysten ISO-tiedoston täydellinen menetys (ei varmuuskopioita saatavilla) johtaa kuitenkin asiakastietojen palauttamiseen. Hybrid Data Security -solmujen operaattoreiden odotetaan varmuuskopioivan säännöllisesti tietokantaa ja konfigurointi-ISO-tiedostoa ja olevan valmiita rakentamaan Hybrid Data Security -palvelinkeskus uudelleen, jos katastrofi tapahtuu. | ||
8 | Varmista, että palomuurikokoonpanosi mahdollistaa liitettävyyden hybriditietoturvasolmuille, kuten kohdassa on kuvattu Ulkoisen yhteyden vaatimukset. | ||
9 | Asenna Docker ( https://www.docker.com) missä tahansa paikallisessa koneessa, jossa on tuettu käyttöjärjestelmä (Microsoft Windows 10 Professional tai Enterprise 64-bittinen tai Mac OSX Yosemite 10.10.3 tai uudempi), jossa on verkkoselain, joka voi käyttää sitä osoitteessa http://127.0.0.1:8080. Käytät Docker-instanssia HDS-asennustyökalun lataamiseen ja suorittamiseen, joka muodostaa paikalliset määritystiedot kaikille Hybrid Data Security -solmuille. Organisaatiosi saattaa tarvita Docker Desktop -lisenssin. Katso Docker Desktop -vaatimukset Lisätietoja. HDS-asennustyökalun asentaminen ja käyttäminen edellyttää, että paikallisessa koneessa on kuvattu yhteys Ulkoisen yhteyden vaatimukset. | ||
10 | Jos yhdistät välityspalvelimen Hybrid Data Securityn kanssa, varmista, että se täyttää Välityspalvelinvaatimukset. | ||
11 | Jos organisaatiosi käyttää hakemistosynkronointia, luo Active Directoryyn ryhmä nimeltä
|
Hybridin tietoturvan käyttöönottotehtäväkulku
Ennen kuin aloitat
1 |
Lataa OVA-tiedosto paikalliselle koneellesi myöhempää käyttöä varten. | ||
2 | Luo konfigurointi-ISO HDS-isäntäkoneille Luo ISO-määritystiedosto Hybrid Data Security -solmuille HDS-asetustyökalulla. | ||
3 |
Luo virtuaalikone OVA-tiedostosta ja suorita alkuasetukset, kuten verkkoasetukset.
| ||
4 | Määritä Hybrid Data Security VM Kirjaudu sisään VM-konsoliin ja määritä kirjautumistiedot. Määritä solmun verkkoasetukset, jos et määrittänyt niitä OVA:n käyttöönoton yhteydessä. | ||
5 | Lataa ja asenna HDS Configuration ISO Määritä virtuaalinen kone ISO-määritystiedostosta, jonka loit HDS-asetustyökalulla. | ||
6 | Määritä HDS-solmu välityspalvelinintegraatiota varten Jos verkkoympäristö edellyttää välityspalvelimen määrittämistä, määritä solmussa käytettävä välityspalvelimen tyyppi ja lisää välityspalvelinvarmenne tarvittaessa luottamussäilöön. | ||
7 | Rekisteröi klusterin ensimmäinen solmu Rekisteröi VM Cisco Webex -pilveen hybriditietoturvasolmuksi. | ||
8 | Luo ja rekisteröi lisää solmuja Viimeistele klusterin asennus. | ||
9 | Suorita kokeilu ja siirry tuotantoon (seuraava kappale) Ennen kuin aloitat kokeilun, solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu. |
Lataa asennustiedostot
1 | Kirjaudu sisään https://admin.webex.comja napsauta sitten Palvelut. | ||||
2 | Etsi Hybridipalvelut-osiosta Hybriditietojen suojauskortti ja napsauta sitten Perustaa. Jos kortti on poistettu käytöstä tai et näe sitä, ota yhteyttä tilitiimiisi tai kumppaniorganisaatioosi. Anna heille tilinumerosi ja pyydä ottamaan organisaatiollesi käyttöön hybriditietoturva. Löydät tilinumeron napsauttamalla rataskuvaketta oikeassa yläkulmassa organisaatiosi nimen vieressä.
| ||||
3 | Valitse Ei osoittaaksesi, että et ole vielä määrittänyt solmua, ja napsauta sitten Seuraava. OVA-tiedoston lataus alkaa automaattisesti. Tallenna tiedosto johonkin paikkaan koneellasi.
| ||||
4 | Valinnaisesti napsauta Avaa Käyttöönottoopas tarkistaaksesi, onko tästä oppaasta saatavilla uudempi versio. |
Luo konfigurointi-ISO HDS-isäntäkoneille
Hybrid Data Security -asetusprosessi luo ISO-tiedoston. Määritä sitten hybriditietoturva-isäntäsi ISO:n avulla.
Ennen kuin aloitat
HDS-asennustyökalu toimii Docker-säiliönä paikallisessa koneessa. Voit käyttää sitä suorittamalla Dockerin kyseisessä koneessa. Asennusprosessi vaatii Control Hub -tilin kirjautumistiedot, jolla on täydet järjestelmänvalvojan oikeudet organisaatiollesi.
Jos HDS-asennustyökalu toimii välityspalvelimen takana ympäristössäsi, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien kautta, kun tuot Docker-säilön esiin vaiheessa. 5. Tässä taulukossa on joitain mahdollisia ympäristömuuttujia:
Kuvaus
Muuttuja
HTTP-välityspalvelin ilman todennusta
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-välityspalvelin ilman todennusta
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-välityspalvelin todennuksella
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-välityspalvelin todennuksella
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Luomasi ISO-määritystiedosto sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset tämän tiedoston viimeisimmän kopion aina, kun teet muutoksia, kuten seuraavat:
Tietokannan tunnistetiedot
Varmenteiden päivitykset
Muutoksia valtuutuskäytäntöön
Jos aiot salata tietokantayhteydet, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:lle.
1 | Kirjoita koneesi komentoriville ympäristöllesi sopiva komento: Tavallisissa ympäristöissä:
FedRAMP-ympäristöissä:
| ||||||||||||
2 | Kirjaudu Docker-kuvarekisteriin kirjoittamalla seuraava:
| ||||||||||||
3 | Kirjoita salasanakehotteeseen tämä hash:
| ||||||||||||
4 | Lataa uusin vakaa kuva ympäristöösi: Tavallisissa ympäristöissä:
FedRAMP-ympäristöissä:
| ||||||||||||
5 | Kun veto on valmis, anna ympäristöllesi sopiva komento:
Kun säilö on käynnissä, näet "Express-palvelin kuuntelee portissa 8080". | ||||||||||||
6 |
Siirry paikallispalvelimeen verkkoselaimella, Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää oikean ympäristön määrittämiseen kyseiselle tilille. Työkalu näyttää sitten tavallisen kirjautumiskehotteen. | ||||||||||||
7 | Anna pyydettäessä Control Hub -asiakasjärjestelmänvalvojan kirjautumistietosi ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn Hybrid Data Securityn tarvittaviin palveluihin. | ||||||||||||
8 | Napsauta Setup Toolin yleiskatsaussivulla Aloittaa. | ||||||||||||
9 | Käytössä ISO tuonti sivulla, sinulla on seuraavat vaihtoehdot:
| ||||||||||||
10 | Tarkista, että X.509-sertifikaattisi täyttää vaatimukset X.509 Varmennevaatimukset.
| ||||||||||||
11 | Anna tietokannan osoite ja tili HDS:lle päästäksesi avaintietosäilöön: | ||||||||||||
12 | Valitse TLS-tietokantayhteystila:
Kun lataat juurivarmenteen (tarvittaessa) ja napsautat Jatkaa, HDS Setup Tool testaa TLS-yhteyden tietokantapalvelimeen. Työkalu tarkistaa myös varmenteen allekirjoittajan ja isäntänimen, jos mahdollista. Jos testi epäonnistuu, työkalu näyttää ongelmaa kuvaavan virhesanoman. Voit valita, jätetäänkö virhe huomioimatta ja jatketaanko asennusta. (Yhteyseroista johtuen HDS-solmut saattavat pystyä muodostamaan TLS-yhteyden, vaikka HDS-asetustyökalu ei pystyisi testaamaan sitä.) | ||||||||||||
13 | Määritä Syslogd-palvelimesi Järjestelmälokit-sivulla: | ||||||||||||
14 | (Valinnainen) Voit muuttaa joidenkin tietokantayhteysparametrien oletusarvoja Lisäasetukset. Yleensä tämä parametri on ainoa, jota saatat haluta muuttaa:
| ||||||||||||
15 | Klikkaus Jatkaa päällä Palauta palvelutilien salasana näyttö. Palvelutilin salasanojen käyttöikä on yhdeksän kuukautta. Käytä tätä näyttöä, kun salasanasi ovat vanhenemassa tai haluat nollata ne mitätöimään aiemmat ISO-tiedostot. | ||||||||||||
16 | Klikkaus Lataa ISO-tiedosto. Tallenna tiedosto paikkaan, joka on helppo löytää. | ||||||||||||
17 | Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmääsi. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää pääsalausavaimen tietokannan sisällölle. Rajoita pääsy vain niille Hybrid Data Security -järjestelmänvalvojille, joiden tulee tehdä kokoonpanomuutoksia. | ||||||||||||
18 | Sulje Setup-työkalu kirjoittamalla |
Mitä tehdä seuraavaksi
Varmuuskopioi asetusten ISO-tiedosto. Tarvitset sitä luodaksesi lisää solmuja palautusta varten tai tehdäksesi kokoonpanomuutoksia. Jos menetät kaikki ISO-tiedoston kopiot, olet myös menettänyt pääavaimen. Avaimien palauttaminen PostgreSQL- tai Microsoft SQL Server -tietokannasta ei ole mahdollista.
Meillä ei ole koskaan kopiota tästä avaimesta, emmekä voi auttaa, jos kadotat sen. |
Asenna HDS Host OVA
1 | Käytä tietokoneesi VMware vSphere -asiakasohjelmaa kirjautuaksesi ESXi-virtuaaliisäntään. | ||||||
2 | Valitse Tiedosto > Ota käyttöön OVF-malli. | ||||||
3 | Määritä ohjatussa toiminnossa aiemmin lataamasi OVA-tiedoston sijainti ja napsauta sitten Seuraava . | ||||||
4 | Käytössä Valitse nimi ja kansio sivu, kirjoita a Virtuaalikoneen nimi solmulle (esimerkiksi "HDS_Node_1"), valitse sijainti, jossa virtuaalikoneen solmun käyttöönotto voi sijaita, ja napsauta sitten Seuraava . | ||||||
5 | Käytössä Valitse laskentaresurssi -sivulla, valitse kohdelaskentaresurssi ja napsauta sitten Seuraava . Vahvistustarkistus suoritetaan. Kun se on valmis, mallin tiedot tulevat näkyviin. | ||||||
6 | Tarkista mallin tiedot ja napsauta sitten Seuraava. | ||||||
7 | Jos sinua pyydetään valitsemaan resurssikokoonpano Kokoonpano sivu, napsauta 4 CPU ja napsauta sitten Seuraava . | ||||||
8 | Käytössä Valitse tallennustila sivu, napsauta Seuraava hyväksyä oletuslevymuoto ja VM-tallennuskäytäntö. | ||||||
9 | Käytössä Valitse verkot -sivulla, valitse verkkovaihtoehto merkintäluettelosta tarjotaksesi halutun yhteyden virtuaalikoneeseen. | ||||||
10 | Käytössä Mukauta mallia sivulla, määritä seuraavat verkkoasetukset:
Halutessasi voit ohittaa verkkoasetusten määrityksen ja noudattaa ohjeita Määritä Hybrid Data Security VM määrittääksesi asetukset solmukonsolista.
| ||||||
11 | Napsauta hiiren kakkospainikkeella solmun VM:tä ja valitse sitten .Hybrid Data Security -ohjelmisto asennetaan vieraana VM-isäntään. Olet nyt valmis kirjautumaan sisään konsoliin ja määrittämään solmun. Vianetsintävinkkejä Saatat kokea muutaman minuutin viiveen ennen kuin solmusäiliöt tulevat näkyviin. Siltapalomuuriviesti tulee näkyviin konsoliin ensimmäisen käynnistyksen aikana, jolloin et voi kirjautua sisään. |
Määritä Hybrid Data Security VM
Käytä tätä menettelyä kirjautuaksesi sisään Hybrid Data Security -solmun VM-konsoliin ensimmäistä kertaa ja määrittääksesi kirjautumistunnukset. Voit myös käyttää konsolia solmun verkkoasetusten määrittämiseen, jos et määrittänyt niitä OVA-asennuksen yhteydessä.
1 | Valitse VMware vSphere -asiakkaassa Hybrid Data Security -solmun VM ja valitse Konsoli -välilehti. Virtuaalinen kone käynnistyy ja näkyviin tulee kirjautumiskehote. Jos kirjautumiskehote ei tule näkyviin, paina Tulla sisään.
|
2 | Käytä seuraavaa oletusarvoista kirjautumistunnusta ja salasanaa kirjautuaksesi sisään ja muuttaaksesi tunnistetietoja: Koska kirjaudut sisään virtuaalikoneeseen ensimmäistä kertaa, sinun on vaihdettava järjestelmänvalvojan salasana. |
3 | Jos olet jo määrittänyt verkkoasetukset Asenna HDS Host OVA, ohita loput tästä toimenpiteestä. Muussa tapauksessa valitse päävalikosta Muokkaa kokoonpanoa vaihtoehto. |
4 | Aseta staattinen kokoonpano IP-osoitteen, peitteen, yhdyskäytävän ja DNS-tietojen kanssa. Solmullasi tulee olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta. |
5 | (Valinnainen) Muuta tarvittaessa isäntänimeä, toimialuetta tai NTP-palvelimia vastaamaan verkkokäytäntöäsi. Sinun ei tarvitse asettaa toimialuetta vastaamaan toimialuetta, jota käytit X.509-varmenteen hankkimiseen. |
6 | Tallenna verkkoasetukset ja käynnistä virtuaalikone uudelleen, jotta muutokset tulevat voimaan. |
Lataa ja asenna HDS Configuration ISO
Ennen kuin aloitat
Koska ISO-tiedosto sisältää pääavaimen, se tulisi paljastaa vain "tarve tietää" -periaatteella, jotta Hybrid Data Security -virtuaalikoneet ja muut järjestelmänvalvojat voivat käyttää sitä. Varmista, että vain kyseiset järjestelmänvalvojat pääsevät tietosäilöön.
1 | Lataa ISO-tiedosto tietokoneeltasi: |
2 | Asenna ISO-tiedosto: |
Mitä tehdä seuraavaksi
Jos IT-käytäntösi vaatii, voit halutessasi irrottaa ISO-tiedoston sen jälkeen, kun kaikki solmut ovat huomanneet kokoonpanomuutokset. Katso (Valinnainen) Irrota ISO HDS-määrityksen jälkeen yksityiskohtia varten.
Määritä HDS-solmu välityspalvelinintegraatiota varten
Jos verkkoympäristö vaatii välityspalvelimen, määritä tämän toimenpiteen avulla, minkä tyyppiseen välityspalvelimeen haluat integroida Hybriditietoturva. Jos valitset läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-välityspalvelimen, voit käyttää solmun käyttöliittymää juurivarmenteen lataamiseen ja asentamiseen. Voit myös tarkistaa välityspalvelinyhteyden käyttöliittymästä ja tehdä mahdollisten ongelmien vianmäärityksen.
Ennen kuin aloitat
Katso Välityspalvelimen tuki saadaksesi yleiskatsauksen tuetuista välityspalvelinvaihtoehdoista.
1 | Anna HDS-solmun asetusten URL-osoite |
2 | Mene Trust Store ja välityspalvelinja valitse sitten vaihtoehto:
Noudata seuraavia ohjeita läpinäkyvän tarkastavan välityspalvelimen, HTTP-sellaisen välityspalvelimen, jossa on perustodennus, tai HTTPS-eksplisiittisen välityspalvelimen kohdalla. |
3 | Klikkaus Lataa juurivarmenne tai loppukokonaisuuden varmenneja valitse sitten välityspalvelimen juurivarmenne. Varmenne on ladattu, mutta sitä ei ole vielä asennettu, koska sinun on käynnistettävä solmu uudelleen varmenteen asentamiseksi. Napsauta varmenteen myöntäjän nimen vieressä olevaa nuolimerkkiä saadaksesi lisätietoja tai napsauta Poistaa jos teit virheen ja haluat ladata tiedoston uudelleen. |
4 | Klikkaus Tarkista välityspalvelinyhteys solmun ja välityspalvelimen välisen verkkoyhteyden testaamiseen. Jos yhteystesti epäonnistuu, näet virheilmoituksen, joka näyttää syyn ja kuinka voit korjata ongelman. Jos näet viestin, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen. Tämä ehto on odotettavissa monissa eksplisiittisissä välityspalvelinkokoonpanoissa. Voit jatkaa asennusta, ja solmu toimii estetty ulkoinen DNS-resoluutio -tilassa. Jos tämä on mielestäsi virhe, suorita nämä vaiheet ja katso sitten Poista Estetty ulkoinen DNS-resoluutiotila käytöstä. |
5 | Kun yhteystesti on läpäissyt, jos eksplisiittiselle välityspalvelimelle on asetettu vain https, käännä kytkin päälle Reititä kaikki portin 443/444 https-pyynnöt tästä solmusta nimenomaisen välityspalvelimen kautta. Tämän asetuksen voimaantulo kestää 15 sekuntia. |
6 | Klikkaus Asenna kaikki sertifikaatit Trust Storeen (näkyy eksplisiittiselle HTTPS-välityspalvelimelle tai läpinäkyvälle tarkastavalle välityspalvelimelle) tai Käynnistä uudelleen (näkyy HTTP-välityspalvelimen kohdalla), lue kehote ja napsauta sitten Asentaa jos olet valmis. Solmu käynnistyy uudelleen muutaman minuutin sisällä. |
7 | Kun solmu on käynnistynyt uudelleen, kirjaudu tarvittaessa uudelleen sisään ja avaa sitten Yleiskatsaus sivu tarkistaaksesi yhteystarkistukset varmistaaksesi, että ne ovat kaikki vihreässä tilassa. Välityspalvelinyhteyden tarkistus testaa vain webex.com-aliverkkotunnuksen. Jos yhteysongelmia ilmenee, yleinen ongelma on, että jotkin asennusohjeissa luetellut pilvialueet estetään välityspalvelimessa. |
Rekisteröi klusterin ensimmäinen solmu
Kun rekisteröit ensimmäisen solmun, luot klusterin, johon solmu on määritetty. Klusteri sisältää yhden tai useamman solmun, joka on otettu käyttöön redundanssin aikaansaamiseksi.
Ennen kuin aloitat
Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.
Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen sivustolle admin.webex.com.
1 | Kirjaudu sisään https://admin.webex.com. |
2 | Valitse näytön vasemman reunan valikosta Palvelut. |
3 | Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta Perustaa. Register Hybrid Data Security Node -sivu tulee näkyviin.
|
4 | Valitse Joo osoittaaksesi, että olet määrittänyt solmun ja olet valmis rekisteröimään sen, ja napsauta sitten Seuraava. |
5 | Kirjoita ensimmäiseen kenttään nimi klusterille, jolle haluat liittää hybriditietoturvasolmun. Suosittelemme, että nimeät klusterin sen mukaan, missä klusterin solmut sijaitsevat maantieteellisesti. Esimerkkejä: "San Francisco" tai "New York" tai "Dallas" |
6 | Kirjoita toiseen kenttään solmusi sisäinen IP-osoite tai täysin hyväksytty verkkotunnuksen nimi (FQDN) ja napsauta Seuraava. Tämän IP-osoitteen tai FQDN:n tulee vastata IP-osoitetta tai isäntänimeä ja verkkotunnusta, jossa käytit Määritä Hybrid Data Security VM. Näkyviin tulee viesti, joka ilmaisee, että voit rekisteröidä solmusi Webexiin.
|
7 | Klikkaus Siirry Nodeen. |
8 | Klikkaus Jatkaa varoitusviestissä. Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, Salli pääsy hybriditietoturvasolmuun -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa Webex-organisaatiollesi luvan käyttää solmuasi.
|
9 | Tarkista Salli pääsy hybriditietoturvasolmuun valintaruutu ja napsauta sitten Jatkaa. Tilisi on vahvistettu ja "Registration Complete" -viesti osoittaa, että solmu on nyt rekisteröity Webex-pilveen.
|
10 | Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle. Käytössä Hybriditietoturva -sivulla uusi klusteri, joka sisältää rekisteröimäsi solmun, tulee näkyviin. Solmu lataa automaattisesti uusimman ohjelmiston pilvestä.
|
Luo ja rekisteröi lisää solmuja
Tällä hetkellä varmuuskopioidut VM:t, joissa loit Täytä hybriditietoturvan edellytykset ovat valmiustilassa olevia isäntiä, joita käytetään vain katastrofipalautuksen yhteydessä; niitä ei ole rekisteröity järjestelmään ennen sitä. Katso lisätietoja Katastrofipalautus valmiustilan tietokeskuksen avulla. |
Ennen kuin aloitat
Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.
Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen sivustolle admin.webex.com.
1 | Luo uusi virtuaalikone OVA:sta toistamalla vaiheet Asenna HDS Host OVA. |
2 | Määritä uuden virtuaalikoneen alkuperäinen määritys toistamalla vaiheet Määritä Hybrid Data Security VM. |
3 | Toista vaiheet uudessa virtuaalikoneessa Lataa ja asenna HDS Configuration ISO. |
4 | Jos olet määrittämässä välityspalvelinta käyttöönotolle, toista vaiheet Määritä HDS-solmu välityspalvelinintegraatiota varten tarpeen mukaan uutta solmua varten. |
5 | Rekisteröi solmu. Solmusi on rekisteröity. Huomaa, että ennen kuin aloitat kokeilun, solmusi luovat hälytyksen, joka ilmoittaa, että palveluasi ei ole vielä aktivoitu.
|
Mitä tehdä seuraavaksi
Kokeilu tuotantotehtäväkulkuun
Kun olet määrittänyt Hybrid Data Security -klusterin, voit aloittaa pilotin, lisätä siihen käyttäjiä ja alkaa käyttää sitä käyttöönoton testaamiseen ja tarkistamiseen valmistautuessasi tuotantoon siirtymiseen.
Ennen kuin aloitat
1 | Synkronoi tarvittaessa Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava |
2 |
Aloita kokeilu. Ennen kuin teet tämän tehtävän, solmusi luovat hälytyksen, joka ilmoittaa, että palvelua ei ole vielä aktivoitu. |
3 |
Tarkista, että avainpyynnöt välitetään Hybrid Data Security -käyttöönottoasi. |
4 | Tarkkaile hybriditietoturvan kuntoa Tarkista tila ja määritä sähköposti-ilmoitukset hälytyksiä varten. |
5 | |
6 | Suorita kokeiluvaihe loppuun jollakin seuraavista toimista: |
Aktivoi kokeiluversio
Ennen kuin aloitat
Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava HdsTrialGroup
ryhmäobjekti synkronoitavaksi pilveen ennen kuin voit aloittaa kokeilun organisaatiossasi. Katso ohjeet kohdasta Käyttöönottoopas Cisco Directory Connectorille.
1 | Kirjaudu sisään https://admin.webex.comja valitse sitten Palvelut. |
2 | Napsauta Hybriditietoturva-kohdassa asetukset. |
3 | Napsauta Palvelun tila -osiossa Aloita kokeilujakso. Palvelun tila vaihtuu kokeilutilaan.
|
4 | Klikkaus Lisää käyttäjiä ja syötä yhden tai useamman käyttäjän sähköpostiosoite, jota haluat pilotoida käyttämällä Hybrid Data Security -solmuja salaus- ja indeksointipalveluissa. (Jos organisaatiosi käyttää hakemistosynkronointia, hallinnoi kokeiluryhmää Active Directoryn avulla, |
Testaa hybriditietoturvaasi
Ennen kuin aloitat
Määritä Hybrid Data Security -käyttöönotto.
Aktivoi kokeilu ja lisää useita kokeilukäyttäjiä.
Varmista, että sinulla on pääsy syslogiin varmistaaksesi, että avainpyynnöt välitetään Hybrid Data Security -asennukseesi.
1 | Tietyn tilan avaimet asettaa tilan luoja. Kirjaudu Webex-sovellukseen yhtenä pilottikäyttäjistä ja luo sitten tila ja kutsu vähintään yksi pilottikäyttäjä ja yksi ei-pilottikäyttäjä.
| ||
2 | Lähetä viestejä uuteen tilaan. | ||
3 | Tarkista syslog-tuloste varmistaaksesi, että avainpyynnöt välitetään Hybrid Data Security -käyttöönottoasi. |
Tarkkaile hybriditietoturvan kuntoa
1 | Sisään Ohjauskeskus, valitse Palvelut näytön vasemmassa reunassa olevasta valikosta. |
2 | Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta asetukset. Hybriditietojen suojausasetukset -sivu tulee näkyviin.
|
3 | Kirjoita Sähköposti-ilmoitukset-osioon yksi tai useampi sähköpostiosoite pilkuilla erotettuna ja paina Tulla sisään. |
Lisää tai poista käyttäjiä kokeiluversiostasi
Jos poistat käyttäjän kokeilujaksosta, käyttäjän asiakasohjelma pyytää avaimia ja avainten luomista pilvi-KMS:stä KMS:n sijaan. Jos asiakas tarvitsee avaimen, joka on tallennettu KMS:ään, pilvi-KMS noutaa sen käyttäjän puolesta.
Jos organisaatiosi käyttää hakemistosynkronointia, käytä Active Directorya (tämän toimenpiteen sijaan) kokeiluryhmän hallintaan, HdsTrialGroup
; voit tarkastella ryhmän jäseniä Control Hubissa, mutta et voi lisätä tai poistaa niitä.
1 | Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut. |
2 | Napsauta Hybriditietoturva-kohdassa asetukset. |
3 | Napsauta Palvelun tila -alueen Kokeilutila-osiossa Lisää käyttäjiätai napsauta katsoa ja muokata poistaaksesi käyttäjät kokeilusta. |
4 | Kirjoita yhden tai useamman lisättävän käyttäjän sähköpostiosoite tai napsauta X käyttäjätunnuksella poistaaksesi käyttäjän kokeilusta. Napsauta sitten Tallentaa. |
Siirry kokeilusta tuotantoon
1 | Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut. |
2 | Napsauta Hybriditietoturva-kohdassa asetukset. |
3 | Napsauta Palvelun tila -osiossa Siirry tuotantoon. |
4 | Vahvista, että haluat siirtää kaikki käyttäjäsi tuotantoon. |
Lopeta kokeilu siirtymättä tuotantoon
1 | Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut. |
2 | Napsauta Hybriditietoturva-kohdassa asetukset. |
3 | Napsauta Poista käytöstä -osiossa Poista käytöstä. |
4 | Vahvista, että haluat poistaa palvelun käytöstä, ja lopeta kokeilu. |
Hallitse HDS-käyttöönottoa
Käytä tässä kuvattuja tehtäviä Hybrid Data Security -asennuksen hallintaan.
Aseta klusterin päivitysaikataulu
Päivitysaikataulun määrittäminen:
1 | Kirjaudu sisään Ohjauskeskus. |
2 | Valitse Yleiskatsaus-sivun Hybridipalvelut-kohdassa Hybriditietoturva. |
3 | Valitse Hybriditietoturvaresurssit-sivulla klusteri. |
4 | Valitse oikealla olevan Yleiskatsaus-paneelin Cluster Settings -kohdassa klusterin nimi. |
5 | Valitse Asetukset-sivun Päivitys-kohdasta aika ja aikavyöhyke päivitysaikataululle. Huomautus: Aikavyöhykkeen alla näytetään seuraavan saatavilla olevan päivityksen päivämäärä ja aika. Voit tarvittaessa siirtää päivityksen seuraavalle päivälle napsauttamalla Lykätä. |
Muuta solmun kokoonpanoa
x.509-varmenteiden muuttaminen vanhenemisen tai muiden syiden vuoksi.
Emme tue varmenteen CN-verkkotunnuksen vaihtamista. Verkkotunnuksen on vastattava klusterin rekisteröintiin käytettyä alkuperäistä verkkotunnusta.
Tietokannan asetusten päivittäminen PostgreSQL- tai Microsoft SQL Server -tietokannan kopioksi muuttamiseksi.
Emme tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin tai päinvastoin. Jos haluat vaihtaa tietokantaympäristöä, aloita uusi Hybrid Data Security -käyttöönotto.
Uuden kokoonpanon luominen uuden datakeskuksen valmistelemiseksi.
Lisäksi Hybrid Data Security käyttää turvallisuussyistä palvelutilin salasanoja, joiden käyttöikä on yhdeksän kuukautta. Kun HDS Setup -työkalu on luonut nämä salasanat, otat ne käyttöön jokaisessa HDS-solmussa ISO-määritystiedostossa. Kun organisaatiosi salasanat ovat vanhenemassa, saat Webex-tiimin ilmoituksen konetilin salasanan nollaamisesta. (Sähköposti sisältää tekstin "Käytä konetilin sovellusliittymää salasanan päivittämiseen.") Jos salasanasi eivät ole vielä vanhentuneet, työkalu tarjoaa kaksi vaihtoehtoa:
Pehmeä nollaus-Vanha ja uusi salasana ovat molemmat voimassa jopa 10 päivää. Käytä tätä ajanjaksoa korvataksesi solmujen ISO-tiedoston asteittain.
Laitekäynnistys-Vanhat salasanat lakkaavat toimimasta välittömästi.
Jos salasanasi vanhenevat ilman nollausta, se vaikuttaa HDS-palveluusi ja vaatii välitöntä hard resetin ja ISO-tiedoston vaihtamisen kaikissa solmuissa.
Käytä tätä menettelyä luodaksesi uuden ISO-määritystiedoston ja käyttääksesi sitä klusteriisi.
Ennen kuin aloitat
HDS-asennustyökalu toimii Docker-säiliönä paikallisessa koneessa. Voit käyttää sitä suorittamalla Dockerin kyseisessä koneessa. Asennusprosessi vaatii Control Hub -tilin kirjautumistiedot, jolla on täydet järjestelmänvalvojan oikeudet organisaatiollesi.
Jos HDS-asennustyökalu toimii välityspalvelimen takana ympäristössäsi, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien kautta, kun avaat Docker-säilön 1.e. Tässä taulukossa on joitain mahdollisia ympäristömuuttujia:
Kuvaus
Muuttuja
HTTP-välityspalvelin ilman todennusta
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-välityspalvelin ilman todennusta
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-välityspalvelin todennuksella
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-välityspalvelin todennuksella
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Tarvitset kopion nykyisestä ISO-määritystiedostosta uuden kokoonpanon luomiseksi. ISO sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset ISO-tunnuksen, kun teet muutoksia kokoonpanoon, mukaan lukien tietokannan tunnistetiedot, sertifikaattien päivitykset tai valtuutuskäytäntöjen muutokset.
1 | Suorita HDS Setup Tool käyttämällä Dockeria paikallisessa koneessa. |
2 | Jos käytössäsi on vain yksi HDS-solmu, luo uusi Hybrid Data Security -solmun VM ja rekisteröi se käyttämällä uutta ISO-määritystiedostoa. Katso tarkemmat ohjeet Luo ja rekisteröi lisää solmuja. |
3 | Asenna ISO-tiedosto olemassa oleville HDS-solmuille, jotka käyttävät vanhempaa määritystiedostoa. Suorita seuraava toimenpide jokaiselle solmulle vuorotellen päivittämällä jokainen solmu ennen kuin sammutat seuraavan solmun: |
4 | Toista vaihe 3 korvataksesi kokoonpanon jokaisessa jäljellä olevassa solmussa, joka käyttää vanhaa kokoonpanoa. |
Poista Estetty ulkoinen DNS-resoluutiotila käytöstä
Kun rekisteröit solmun tai tarkistat solmun välityspalvelimen kokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex-pilveen. Jos solmun DNS-palvelin ei pysty ratkaisemaan julkisia DNS-nimiä, solmu siirtyy automaattisesti Estetty ulkoinen DNS-ratkaisu -tilaan.
Jos solmusi pystyvät ratkaisemaan julkiset DNS-nimet sisäisten DNS-palvelimien kautta, voit poistaa tämän tilan käytöstä suorittamalla välityspalvelinyhteystestin uudelleen jokaisessa solmussa.
Ennen kuin aloitat
1 | Avaa verkkoselaimessa Hybrid Data Security -solmun käyttöliittymä (IP-osoite/asetus esim. https://192.0.2.0/setup), anna solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään. |
2 | Mene Yleiskatsaus (oletussivu). Kun käytössä, Estetty ulkoinen DNS-resoluutio on asetettu Joo. |
3 | Siirry kohtaan Trust Store ja välityspalvelin sivu. |
4 | Klikkaus Tarkista välityspalvelinyhteys. Jos näet viestin, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen ja pysyy tässä tilassa. Muussa tapauksessa käynnistät solmun uudelleen ja palaat takaisin Yleiskatsaus -sivulla Estetty ulkoinen DNS-resoluutio tulee asettaa arvoon ei. |
Mitä tehdä seuraavaksi
Poista solmu
1 | Käytä tietokoneesi VMware vSphere -asiakasta kirjautuaksesi ESXi-virtuaaliisäntään ja sammuttaaksesi virtuaalikoneen. |
2 | Poista solmu: |
3 | Poista VM vSphere-asiakkaassa. (Napsauta VM:tä hiiren kakkospainikkeella vasemmassa navigointiruudussa ja napsauta Poistaa.) Jos et poista virtuaalikonetta, muista irrottaa määritysten ISO-tiedosto. Ilman ISO-tiedostoa et voi käyttää suojaustietojasi virtuaalikoneella. |
Katastrofipalautus valmiustilan tietokeskuksen avulla
Hybrid Data Security -klusterisi kriittisin palvelu on viestien ja muun Webex-pilveen tallennetun sisällön salaamiseen käytettävien avaimien luominen ja tallennus. Jokaiselle organisaation käyttäjälle, joka on määritetty hybriditietoturvaan, uudet avaintenluontipyynnöt reititetään klusteriin. Klusteri on myös vastuussa luomiensa avainten palauttamisesta kaikille käyttäjille, joilla on oikeus noutaa ne, esimerkiksi keskustelutilan jäsenille.
Koska klusteri suorittaa näiden avainten kriittisen toiminnon, on välttämätöntä, että klusteri pysyy käynnissä ja että asianmukaiset varmuuskopiot ylläpidetään. Hybrid Data Security -tietokannan tai skeemaa varten käytetyn konfiguraatio-ISO:n katoaminen johtaa asiakkaan sisällön PALAUTTAMATTOMAN MENETTYMISEEN. Seuraavat käytännöt ovat pakollisia tällaisten menetysten estämiseksi:
Jos katastrofin vuoksi HDS-asennus ei ole käytettävissä ensisijaisessa datakeskuksessa, noudata näitä ohjeita ja siirry manuaalisesti valmiustilan datakeskukseen.
1 | Käynnistä HDS Setup -työkalu ja noudata kohdassa mainittuja vaiheita Luo konfigurointi-ISO HDS-isäntäkoneille. | ||
2 | Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset | ||
3 | Käytössä Lisäasetukset -sivulle, lisää kokoonpano alla tai poista
| ||
4 | Viimeistele määritysprosessi ja tallenna ISO-tiedosto paikkaan, joka on helppo löytää. | ||
5 | Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmääsi. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää pääsalausavaimen tietokannan sisällölle. Rajoita pääsy vain niille Hybrid Data Security -järjestelmänvalvojille, joiden tulee tehdä kokoonpanomuutoksia. | ||
6 | Napsauta VMware vSphere -asiakkaan vasemmassa navigointiruudussa VM:tä hiiren kakkospainikkeella ja napsauta Muokkaa asetuksia.. | ||
7 | Klikkaus Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.
| ||
8 | Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 15 minuuttiin. | ||
9 | Toista prosessi jokaiselle valmiustilan datakeskuksen solmulle.
|
Mitä tehdä seuraavaksi
(Valinnainen) Irrota ISO HDS-määrityksen jälkeen
HDS-standardikokoonpano toimii ISO-asennuksella. Jotkut asiakkaat eivät kuitenkaan halua jättää ISO-tiedostoja jatkuvasti asennettavaksi. Voit irrottaa ISO-tiedoston, kun kaikki HDS-solmut ovat ottaneet uuden kokoonpanon.
Käytät edelleen ISO-tiedostoja konfiguraatiomuutosten tekemiseen. Kun luot uuden ISO:n tai päivität ISO:n Setup Toolin kautta, päivitetty ISO on asennettava kaikkiin HDS-solmuihin. Kun kaikki solmut ovat havainneet konfiguraatiomuutokset, voit irrottaa ISO:n uudelleen tällä menettelyllä.
Ennen kuin aloitat
Päivitä kaikki HDS-solmut versioon 2021.01.22.4720 tai uudempaan.
1 | Sulje yksi HDS-solmuistasi. |
2 | Valitse vCenter Server Appliancessa HDS-solmu. |
3 | Valita Datastore ISO-tiedosto. ja poista valinta |
4 | Kytke HDS-solmu päälle ja varmista, ettei hälytyksiä tule vähintään 20 minuuttiin. |
5 | Toista jokaiselle HDS-solmulle vuorotellen. |
Näytä hälytykset ja vianetsintä
Hybrid Data Security -asennuksen katsotaan olevan käyttökelvoton, jos kaikkiin klusterin solmuihin ei saada yhteyttä tai klusteri toimii niin hitaasti, että se pyytää aikakatkaisua. Jos käyttäjät eivät saa yhteyttä hybriditietoturvaklusteriisi, he kokevat seuraavat oireet:
Uusia tiloja ei voi luoda (ei voi luoda uusia avaimia)
Viestien ja välilyöntien otsikoiden salauksen purkaminen epäonnistuu:
Uusia käyttäjiä lisätty välilyöntiin (avaimia ei voi noutaa)
Olemassa olevat käyttäjät tilassa, jotka käyttävät uutta asiakasohjelmaa (avaimia ei voi noutaa)
Tilassa olevat käyttäjät jatkavat toimintaansa niin kauan kuin heidän asiakkaillaan on salausavainten välimuisti
On tärkeää, että valvot Hybrid Data Security -klusteriasi oikein ja käsittelet kaikki hälytykset välittömästi, jotta vältyt palvelun keskeytymiseltä.
Hälytykset
Jos Hybrid Data Security -asetuksissa on ongelma, Control Hub näyttää hälytyksiä organisaation järjestelmänvalvojalle ja lähettää sähköpostit määritettyyn sähköpostiosoitteeseen. Hälytykset kattavat monia yleisiä skenaarioita.
Varoitus | Toiminta |
---|---|
Paikallisen tietokannan käyttövirhe. |
Tarkista tietokantavirheiden tai paikallisverkko-ongelmien varalta. |
Paikallinen tietokantayhteys epäonnistui. |
Tarkista, että tietokantapalvelin on käytettävissä ja että solmun määrityksessä käytettiin oikeita palvelutilin tunnistetietoja. |
Pilvipalvelun käyttövirhe. |
Tarkista, että solmut voivat käyttää Webex-palvelimia kohdassa määritetyllä tavalla Ulkoisen yhteyden vaatimukset. |
Pilvipalvelurekisteröinnin uusiminen. |
Rekisteröityminen pilvipalveluihin lopetettiin. Rekisteröinnin uusiminen on käynnissä. |
Pilvipalvelun rekisteröinti putosi. |
Rekisteröityminen pilvipalveluihin on lopetettu. Palvelu suljetaan. |
Palvelua ei ole vielä aktivoitu. |
Aktivoi kokeilu tai lopeta kokeilun siirtäminen tuotantoon. |
Määritetty toimialue ei vastaa palvelimen varmennetta. |
Varmista, että palvelinvarmenne vastaa määritettyä palvelun aktivointitoimialuetta. Todennäköisin syy on se, että varmenne CN on äskettäin vaihdettu ja on nyt eri kuin alkuperäisen asennuksen aikana käytetty CN. |
Todennus pilvipalveluihin epäonnistui. |
Tarkista palvelutilin kirjautumistietojen tarkkuus ja mahdollinen vanheneminen. |
Paikallisen avainsäilytystiedoston avaaminen epäonnistui. |
Tarkista paikallisen avainsäilytystiedoston eheys ja salasanan tarkkuus. |
Paikallisen palvelimen varmenne on virheellinen. |
Tarkista palvelinvarmenteen viimeinen voimassaolopäivä ja varmista, että sen on myöntänyt luotettava varmenteen myöntäjä. |
Mittareita ei voi lähettää. |
Tarkista paikallisen verkon pääsy ulkoisiin pilvipalveluihin. |
/media/configdrive/hds-hakemistoa ei ole olemassa. |
Tarkista virtuaalipalvelimen ISO-asennusasetukset. Varmista, että ISO-tiedosto on olemassa, että se on määritetty liitettäväksi uudelleenkäynnistyksen yhteydessä ja että se liitetään onnistuneesti. |
Hybriditietoturvan vianetsintä
1 | Tarkista Control Hub mahdollisten hälytysten varalta ja korjaa sieltä löytämäsi kohteet. |
2 | Tarkista syslog-palvelimen tulos Hybrid Data Security -asennuksen toiminnan varalta. |
3 | Ottaa yhteyttä Ciscon tuki. |
Hybriditietoturvan tunnetut ongelmat
Jos suljet Hybrid Data Security -klusterin (poistamalla sen Control Hubissa tai sulkemalla kaikki solmut), menetät määritysten ISO-tiedostosi tai menetät pääsyn avainsäilötietokantaan, Webex-sovelluksesi käyttäjät eivät voi enää käyttää välilyöntejä ihmisten alla. luettelo, joka on luotu KMS:n avaimilla. Tämä koskee sekä koekäyttöä että tuotantokäyttöä. Meillä ei tällä hetkellä ole ratkaisua tai korjausta tähän ongelmaan, ja kehotamme sinua olemaan sulkematta HDS-palvelujasi, kun ne käsittelevät aktiivisia käyttäjätilejä.
Asiakas, jolla on olemassa ECDH-yhteys KMS-järjestelmään, ylläpitää tätä yhteyttä tietyn ajan (todennäköisesti tunnin). Kun käyttäjästä tulee Hybrid Data Security -kokeiluversion jäsen, käyttäjän asiakas jatkaa olemassa olevan ECDH-yhteyden käyttöä, kunnes se aikakatkaisee. Vaihtoehtoisesti käyttäjä voi kirjautua ulos ja takaisin sisään Webex App -sovellukseen päivittääkseen sijainnin, johon sovellus ottaa yhteyttä salausavaimia varten.
Sama käyttäytyminen tapahtuu, kun siirrät kokeilun organisaation tuotantoon. Kaikki muut kuin kokeilukäyttäjät, joilla on olemassa ECDH-yhteydet aikaisempiin tietoturvapalveluihin, jatkavat näiden palvelujen käyttöä, kunnes ECDH-yhteys neuvotellaan uudelleen (aikakatkaisun kautta tai kirjautumalla ulos ja takaisin sisään).
Luo PKCS12-tiedosto OpenSSL:n avulla
Ennen kuin aloitat
OpenSSL on yksi työkalu, jonka avulla PKCS12-tiedosto voidaan tehdä oikeaan muotoon ladattavaksi HDS-asennustyökaluun. On olemassa muitakin tapoja tehdä tämä, emmekä tue tai mainosta yhtä tapaa toisen edelle.
Jos päätät käyttää OpenSSL:ää, tarjoamme tämän menettelyn ohjeeksi, joka auttaa sinua luomaan tiedoston, joka täyttää X.509-varmennevaatimukset X.509 Varmennevaatimukset. Ymmärrä nämä vaatimukset ennen kuin jatkat.
Asenna OpenSSL tuettuun ympäristöön. Katso https://www.openssl.org ohjelmistoa ja dokumentaatiota varten.
Luo yksityinen avain.
Aloita tämä toimenpide, kun saat palvelinvarmenteen varmenteen myöntäjältä (CA).
1 | Kun saat palvelinvarmenteen CA:lta, tallenna se nimellä |
2 | Näytä varmenne tekstinä ja tarkista tiedot.
|
3 | Luo tekstieditorilla varmennepakettitiedosto nimeltä
|
4 | Luo .p12-tiedosto ystävällisellä nimellä
|
5 | Tarkista palvelimen varmenteen tiedot. |
Mitä tehdä seuraavaksi
Palata Täytä hybriditietoturvan edellytykset. Tulet käyttämään hdsnode.p12
tiedosto ja sille määrittämäsi salasana Luo konfigurointi-ISO HDS-isäntäkoneille.
Voit käyttää näitä tiedostoja uudelleen pyytääksesi uutta varmennetta, kun alkuperäinen varmenne vanhenee. |
Liikenne HDS-solmujen ja pilven välillä
Lähtevän mittaustietojen keräämisen liikenne
Hybrid Data Security -solmut lähettävät tiettyjä mittareita Webex-pilveen. Näitä ovat järjestelmän mittarit keon enimmäismäärälle, käytetylle keolle, suorittimen kuormitukselle ja säikeiden määrälle; synkronisten ja asynkronisten säikeiden metriikka; tiedot hälytyksistä, jotka koskevat salausyhteyksien kynnystä, latenssia tai pyyntöjonon pituutta; tietovaraston mittarit; ja salausyhteystiedot. Solmut lähettävät salattua avainmateriaalia kaistan ulkopuolisen (pyynnöstä erillisen) kanavan kautta.
Sisääntuleva liikenne
Hybriditietoturvasolmut vastaanottavat seuraavan tyyppistä saapuvaa liikennettä Webex-pilvestä:
Asiakkailta tulevat salauspyynnöt, jotka salauspalvelu reitittää
Päivitykset solmuohjelmistoon
Määritä Squid-välityspalvelimet hybriditietoturvaa varten
Websocket ei voi muodostaa yhteyttä Squid-välityspalvelimen kautta
Squid-välityspalvelimet, jotka tarkastavat HTTPS-liikennettä, voivat häiritä verkkopistorasian ( wss:
) yhteyksiä, joita Hybrid Data Security vaatii. Nämä osiot antavat ohjeita Squidin eri versioiden konfiguroinnista ohitettaviksi wss:
liikennettä palvelujen moitteettoman toiminnan varmistamiseksi.
Kalmari 4 ja 5
Lisää on_unsupported_protocol
ohje squid.conf
:
on_unsupported_protocol tunnel all
Kalmari 3.5.27
Testasimme onnistuneesti Hybrid Data Securityn seuraavilla säännöillä lisättynä squid.conf
. Nämä säännöt voivat muuttua, kun kehitämme ominaisuuksia ja päivitämme Webex-pilviä.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Uudet ja muuttuneet tiedot
Päiväys |
Tehdyt muutokset | ||
---|---|---|---|
20. lokakuuta 2023 |
| ||
elokuu 07, 2023 |
| ||
23. toukokuuta 2023 |
| ||
joulukuu 06, 2022 |
| ||
23. marraskuuta 2022 |
| ||
lokakuu 13, 2021 |
Docker Desktopin on suoritettava asennusohjelma, ennen kuin voit asentaa HDS-solmuja. Katso Docker Desktop -vaatimukset. | ||
24. kesäkuuta 2021 |
Huomaa, että voit käyttää yksityisen avaimen tiedostoa ja CSR:ää uudelleen toisen varmenteen pyytämiseen. Katso lisätietoja osoitteesta Käytä OpenSSL:ää PKCS12-tiedoston luomiseen . | ||
huhtikuu 30, 2021 |
Muutettiin VM:n vaatimus paikallisen kiintolevytilan osalta 30 Gt:ksi. Katso lisätietoja osoitteesta Virtual Host Requirements . | ||
helmikuu 24, 2021 |
HDS Setup Tool voi nyt toimia välityspalvelimen takana. Lisätietoja on osoitteessa Create a Configuration ISO for the HDS Hosts . | ||
helmikuu 2, 2021 |
HDS voi nyt toimia ilman asennettua ISO-tiedostoa. Katso lisätietoja osoitteesta (Valinnainen) Unmount ISO After HDS Configuration . | ||
tammikuu 11, 2021 |
Lisätty tietoa HDS Setup -työkalusta ja välityspalvelimista osoitteeseen Create a Configuration ISO for the HDS Hosts. | ||
lokakuu 13, 2020 |
Päivitetty Lataa asennustiedostot. | ||
lokakuu 8, 2020 |
Päivitetty Luo konfiguraatio-ISO HDS-isäntäkoneille ja Muuta solmun konfiguraatiota FedRAMP-ympäristöjen komennoilla. | ||
elokuu 14, 2020 |
Päivitetty Luo konfiguraatio-ISO HDS-isäntäkoneille ja Solmujen konfiguraation muuttaminen kirjautumisprosessiin tehdyillä muutoksilla. | ||
5. elokuuta 2020 |
Päivitetty Test Your Hybrid Data Security Deployment lokiviestien muutosten osalta. Päivitetty Virtual Host Requirements poistamalla isäntien enimmäismäärä. | ||
kesäkuu 16, 2020 |
Päivitetty Poista solmu Control Hub -käyttöliittymän muutosten vuoksi. | ||
kesäkuu 4, 2020 |
Päivitetty Create a Configuration ISO for the HDS Hosts mahdollisten lisäasetusten muutosten vuoksi. | ||
toukokuu 29, 2020 |
Päivitetty Create a Configuration ISO for the HDS Hosts osoittamaan, että voit käyttää TLS:ää myös SQL Server -tietokantojen kanssa, käyttöliittymämuutoksia ja muita selvennyksiä. | ||
toukokuu 5, 2020 |
Päivitetty Virtual Host Requirements näyttämään ESXi 6.5:n uudet vaatimukset. | ||
huhtikuu 21, 2020 |
Päivitetty Ulkoisen yhteyden vaatimukset uusilla Americas CI -isännillä. | ||
huhtikuu 1, 2020 |
Päivitetty Ulkoisen yhteyden vaatimukset alueellisia CI-isäntiä koskevilla tiedoilla. | ||
helmikuu 20, 2020 | Päivitetty Create a Configuration ISO for the HDS Hosts ja lisätty tietoja HDS Setup Toolin uudesta valinnaisesta Advanced Settings -näytöstä. | ||
helmikuu 4, 2020 | Päivitetty Välityspalvelinvaatimukset. | ||
joulukuu 16, 2019 | Selkeytetty vaatimusta, jonka mukaan estetty ulkoinen DNS-resoluutiotila toimii osoitteessa Proxy Server Requirements. | ||
19. marraskuuta 2019 |
Seuraaviin osioihin on lisätty tietoa estetystä ulkoisesta DNS-resoluutiotilasta: | ||
marraskuu 8, 2019 |
Voit nyt määrittää solmun verkkoasetukset OVA:n käyttöönoton aikana eikä vasta sen jälkeen. Päivitetty seuraavat kohdat vastaavasti:
| ||
6. syyskuuta 2019 |
Lisätty SQL Server Standard osoitteeseen Tietokantapalvelinvaatimukset. | ||
elokuu 29, 2019 | Lisätty Configure Squid Proxies for Hybrid Data Security -liite, jossa on ohjeita Squid-välityspalvelimien määrittämisestä niin, että ne eivät huomioi websocket-liikennettä, jotta ne toimisivat oikein. | ||
elokuu 20, 2019 |
Lisätty ja päivitetty osioita, jotka kattavat hybriditietoturvasolmujen välitystuen Webex-pilvipalvelimille. Jos haluat käyttää vain olemassa olevan käyttöönoton välitystuen sisältöä, katso Proxy Support for Hybrid Data Security and Webex Video Mesh -ohjeartikkeli. | ||
kesäkuu 13, 2019 | Päivitetty Trial to Production Task Flow muistutuksella synkronoida HdsTrialGroup -ryhmäobjekti ennen kokeilun aloittamista, jos organisaatiosi käyttää hakemistosynkronointia. | ||
maaliskuu 6, 2019 |
| ||
helmikuu 28, 2019 |
| ||
helmikuu 26, 2019 |
| ||
tammikuu 24, 2019 |
| ||
5. marraskuuta 2018 |
| ||
lokakuu 19, 2018 |
| ||
heinäkuu 31, 2018 |
| ||
toukokuu 21, 2018 |
Muutettu terminologiaa vastaamaan Cisco Sparkin brändinmuutosta:
| ||
huhtikuu 11, 2018 |
| ||
helmikuu 22, 2018 |
| ||
helmikuu 15, 2018 |
| ||
tammikuu 18, 2018 |
| ||
marraskuu 2, 2017 |
| ||
elokuu 18, 2017 |
Julkaistu ensimmäisen kerran |
Yleiskatsaus hybriditietojen tietoturvaan
Webex-sovelluksen suunnittelussa on alusta alkaen keskitytty ensisijaisesti tietoturvaan. Tämän turvallisuuden kulmakivi on päästä päähän -sisällön salaus, jonka Webex App -asiakkaat mahdollistavat avaintenhallintapalvelun (Key Management Service, KMS) kanssa. KMS vastaa niiden salausavainten luomisesta ja hallinnasta, joita asiakkaat käyttävät viestien ja tiedostojen dynaamiseen salaamiseen ja salauksen purkamiseen.
Oletusarvoisesti kaikki Webex App -asiakkaat saavat päästä päähän -salauksen, jonka dynaamiset avaimet on tallennettu pilven KMS-järjestelmään, Ciscon tietoturva-alueelle. Hybrid Data Security siirtää KMS:n ja muut tietoturvaan liittyvät toiminnot yrityksen datakeskukseen, joten salatun sisällön avaimet eivät ole kenelläkään muulla kuin sinulla.
Turvallisuusalueen arkkitehtuuri
Webexin pilviarkkitehtuurissa erityyppiset palvelut on jaettu erillisiin alueisiin eli luottamusalueisiin, kuten alla on kuvattu.
Jotta hybriditietoturvaa voitaisiin ymmärtää paremmin, tarkastellaan ensin tätä puhdasta pilvitapausta, jossa Cisco tarjoaa kaikki toiminnot pilvialueillaan. Identiteettipalvelu, joka on ainoa paikka, jossa käyttäjät voidaan suoraan yhdistää henkilökohtaisiin tietoihinsa, kuten sähköpostiosoitteeseen, on loogisesti ja fyysisesti erillään tietoturva-alueesta datakeskuksessa B. Molemmat ovat puolestaan erillään alueesta, johon salattu sisältö lopulta tallennetaan, datakeskuksessa C.
Tässä kaaviossa asiakas on käyttäjän kannettavassa tietokoneessa oleva Webex-sovellus, joka on todennettu tunnistuspalvelun avulla. Kun käyttäjä laatii viestin lähetettäväksi tilaan, seuraavat vaiheet tapahtuvat:
-
Asiakas luo suojatun yhteyden avaintenhallintapalveluun (KMS) ja pyytää sitten avainta viestin salaamista varten. Suojattu yhteys käyttää ECDH:ta, ja KMS salaa avaimen AES-256-pääavaimella.
-
Viesti salataan ennen kuin se lähtee asiakkaalta. Asiakas lähettää sen indeksointipalveluun, joka luo salattuja hakuindeksejä sisällön myöhempien hakujen tueksi.
-
Salattu viesti lähetetään vaatimustenmukaisuuden tarkistamista varten vaatimustenmukaisuuspalveluun.
-
Salattu viesti tallennetaan tallennuskenttään.
Kun otat käyttöön hybriditietoturvan, siirrät tietoturvatoiminnot (KMS, indeksointi ja vaatimustenmukaisuus) toimitilakeskukseen. Muut Webexin muodostavat pilvipalvelut (kuten identiteetti ja sisällön tallennus) pysyvät Ciscon vastuulla.
Yhteistyö muiden organisaatioiden kanssa
Organisaatiosi käyttäjät saattavat käyttää Webex App -sovellusta säännöllisesti yhteistyöhön muiden organisaatioiden ulkopuolisten osallistujien kanssa. Kun joku käyttäjistäsi pyytää avainta tilaan, joka on organisaatiosi omistuksessa (koska sen on luonut joku käyttäjistäsi), KMS lähettää avaimen asiakkaalle ECDH-suojatun kanavan kautta. Kun tilan avain on kuitenkin toisen organisaation hallussa, KMS-järjestelmäsi reitittää pyynnön Webex-pilveen erillisen ECDH-kanavan kautta saadakseen avaimen asianmukaiselta KMS-järjestelmältä ja palauttaa avaimen sitten käyttäjälle alkuperäistä kanavaa pitkin.
Organisaatiossa A toimiva KMS-palvelu validoi yhteydet muiden organisaatioiden KMS-palveluihin x.509 PKI -varmenteiden avulla. Lisätietoja x.509-varmenteen luomisesta Hybrid Data Security -käyttöönoton yhteydessä on osoitteessa Prepare Your Environment .
Hybriditietoturvan käyttöönottoa koskevat odotukset
Hybriditietoturvan käyttöönotto edellyttää asiakkaan merkittävää sitoutumista ja tietoisuutta riskeistä, joita salausavainten omistamiseen liittyy.
Hybriditietoturvan käyttöönottamiseksi sinun on annettava seuraavat tiedot:
-
Turvallinen datakeskus maassa, joka on tuettu sijainti Cisco Webex Teams -suunnitelmille.
-
Laitteet, ohjelmistot ja verkkoyhteydet, jotka on kuvattu osoitteessa Prepare Your Environment.
Jos Hybrid Data Securityn luomasi konfigurointi-ISO tai toimittamasi tietokanta katoaa kokonaan, avaimet menetetään. Avaimen menetys estää käyttäjiä purkamasta tilan sisältöä ja muita Webex App -sovelluksen salattuja tietoja. Jos näin käy, voit rakentaa uuden käyttöönoton, mutta vain uusi sisältö on näkyvissä. Jotta vältät pääsyn menetyksen tietoihin, sinun on:
-
Hallitse tietokannan ja konfigurointi-ISO:n varmuuskopiointia ja palautusta.
-
Valmistaudu nopeaan palautukseen, jos tapahtuu katastrofi, kuten tietokannan levyn vikaantuminen tai tietokeskuksen katastrofi.
Avaimia ei voi siirtää takaisin pilvipalveluun HDS:n käyttöönoton jälkeen. |
Korkean tason asennusprosessi
Tässä asiakirjassa käsitellään hybriditietoturva-asennuksen käyttöönottoa ja hallintaa:
Hybrid Data Securityn perustaminen- Tähän sisältyy tarvittavan infrastruktuurin valmistelu ja Hybrid Data Security -ohjelmiston asentaminen, käyttöönoton testaaminen koekäyttötilassa osalla käyttäjistä ja, kun testaus on valmis, siirtyminen tuotantoon. Tämä muuttaa koko organisaation käyttämään Hybrid Data Security -klusteriasi tietoturvatoimintoihin.
Käyttöönotto-, kokeilu- ja tuotantovaiheita käsitellään yksityiskohtaisesti kolmessa seuraavassa luvussa.
-
Ylläpidä hybriditietoturvan käyttöönottoa- Webex-pilvi tarjoaa automaattisesti jatkuvia päivityksiä. Tietotekniikkaosastosi voi tarjota tason yksi tukea tälle käyttöönotolle ja ottaa tarvittaessa käyttöön Ciscon tuen. Voit käyttää näytön ilmoituksia ja määrittää sähköpostipohjaisia hälytyksiä Control Hubissa.
-
Ymmärrä yleisiä hälytyksiä, vianmääritysvaiheita ja tunnettuja ongelmia-Jos Hybrid Data Securityn käyttöönotossa tai käytössä ilmenee ongelmia, tämän oppaan viimeinen luku ja Tunnetut ongelmat -liite voivat auttaa sinua ongelman määrittämisessä ja korjaamisessa.
Hybriditietoturvan käyttöönottomalli
Hybrid Data Security otetaan käyttöön yrityksen datakeskuksessa erillisissä virtuaalisissa isännöintiasemissa sijaitsevien solmujen klusterina. Solmut kommunikoivat Webex-pilven kanssa suojattujen websockettien ja suojatun HTTP:n kautta.
Asennusprosessin aikana annamme sinulle OVA-tiedoston, jonka avulla voit asentaa virtuaalilaitteen toimittamillesi VM-tietokoneille. HDS Setup Tool -työkalun avulla luot mukautetun klusterin kokoonpanon ISO-tiedoston, jonka asennat kuhunkin solmuun. Hybrid Data Security -klusteri käyttää toimittamaasi Syslogd-palvelinta ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. (Syslogd- ja tietokantayhteyden tiedot määritetään HDS Setup Tool -työkalussa.)
Klusterissa voi olla vähintään kaksi solmua. Suosittelemme vähintään kolmea, ja niitä voi olla jopa viisi. Useiden solmujen käyttö varmistaa, että palvelu ei keskeydy ohjelmistopäivityksen tai muun huoltotoimen aikana. (Webex-pilvi päivittää vain yhden solmun kerrallaan.)
Kaikki klusterin solmut käyttävät samaa avaintietovarastoa ja kirjaavat toiminnan samaan syslog-palvelimeen. Itse solmut ovat tilattomia, ja ne käsittelevät avainpyyntöjä round-robin -periaatteella pilven ohjeiden mukaisesti.
Solmuista tulee aktiivisia, kun rekisteröit ne Control Hubissa. Voit poistaa yksittäisen solmun käytöstä poistamalla sen rekisteristä ja rekisteröimällä sen myöhemmin uudelleen, jos se on tarpeen.
Tuemme vain yhtä klusteria per organisaatio.
Hybriditietoturvan kokeilutila
Kun olet määrittänyt hybriditietoturvan käyttöönoton, kokeile sitä ensin pilottikäyttäjien kanssa. Kokeilujakson aikana nämä käyttäjät käyttävät tiloissa olevaa Hybrid Data Security -tietoturvatoimialuettasi salausavaimiin ja muihin tietoturva-alueen palveluihin. Muut käyttäjät jatkavat pilviturva-alueen käyttöä.
Jos päätät olla jatkamatta käyttöönottoa kokeilujakson aikana ja poistat palvelun käytöstä, kokeilukäyttäjät ja kaikki käyttäjät, joiden kanssa he ovat olleet vuorovaikutuksessa luomalla uusia tiloja kokeilujakson aikana, menettävät pääsyn viesteihin ja sisältöön. He näkevät Webex-sovelluksessa ilmoituksen "Tätä viestiä ei voida purkaa".
Jos olet tyytyväinen siihen, että käyttöönotto toimii hyvin koekäyttäjien osalta ja olet valmis laajentamaan Hybrid Data Securityn kaikkiin käyttäjiin, siirrät käyttöönoton tuotantoon. Pilottikäyttäjillä on edelleen käytössä avaimet, jotka olivat käytössä kokeilun aikana. Et voi kuitenkaan siirtyä edestakaisin tuotantotilan ja alkuperäisen kokeilun välillä. Jos sinun on poistettava palvelu käytöstä, esimerkiksi katastrofitilanteen palauttamiseksi, sinun on käynnistettävä uusi kokeilu ja määritettävä kokeilukäyttäjien joukko uutta kokeilua varten, ennen kuin siirryt takaisin tuotantotilaan. Se, säilyttävätkö käyttäjät pääsyn tietoihin tässä vaiheessa, riippuu siitä, oletko onnistunut ylläpitämään avaintietovaraston ja ISO-kokoonpanotiedoston varmuuskopioita klusterin hybriditietoturvasolmujen osalta.
Valmiustietokeskus katastrofista toipumista varten
Käyttöönoton aikana perustat suojatun varakeskuspalvelinkeskuksen. Tietokeskuksen katastrofin sattuessa voit siirtää käyttöönoton manuaalisesti varakeskukseen.
Aktiivisen ja varalla olevan tietokeskuksen tietokannat ovat synkronoituina keskenään, mikä minimoi viansiirtoon kuluvan ajan. Varatietokeskuksen ISO-tiedosto päivitetään lisämäärityksillä, joilla varmistetaan, että solmut on rekisteröity organisaatioon, mutta ne eivät käsittele liikennettä. Näin ollen varakeskuksen solmut ovat aina ajan tasalla HDS-ohjelmiston uusimmalla versiolla.
Aktiivisten hybriditietoturvasolmujen on aina oltava samassa tietokeskuksessa kuin aktiivinen tietokantapalvelin. |
Aseta varalla oleva datakeskus katastrofihyötykäyttöä varten
Seuraa alla olevia ohjeita määrittääksesi varalla olevan tietokeskuksen ISO-tiedoston:
Ennen kuin aloitat
-
Varatietokeskuksen tulisi peilata VM:ien tuotantoympäristöä ja PostgreSQL- tai Microsoft SQL Server -tietokannan varmuuskopiota. Jos esimerkiksi tuotannossa on 3 VM:ää, joilla on HDS-solmuja, varmuuskopiointiympäristössä pitäisi olla 3 VM:ää. (Yleiskatsaus tähän vikasietoisuuteen on osoitteessa Standby Data Center for Disaster Recovery .)
-
Varmista, että tietokannan synkronointi on käytössä aktiivisen ja passiivisen klusterin solmujen tietokantojen välillä.
1 |
Käynnistä HDS Setup -työkalu ja noudata kohdassa Create a Configuration ISO for the HDS Hosts mainittuja ohjeita.
| ||
2 |
Kun olet määrittänyt Syslogd-palvelimen, napsauta Advanced Settings (Lisäasetukset). | ||
3 |
Lisää Advanced Settings (Lisäasetukset) -sivulle alla oleva määritys, jotta solmu siirtyy passiiviseen tilaan. Tässä tilassa solmu rekisteröidään organisaatioon ja liitetään pilveen, mutta se ei käsittele mitään liikennettä.
| ||
4 |
Suorita konfigurointiprosessi loppuun ja tallenna ISO-tiedosto paikkaan, josta se on helppo löytää. | ||
5 |
Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmään. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää tietokannan sisällön pääsalausavaimen. Rajoita käyttöoikeus vain niille Hybrid Data Securityn järjestelmänvalvojille, joiden pitäisi tehdä määritysmuutoksia. | ||
6 |
Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia.. | ||
7 |
Napsauta Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.
| ||
8 |
Kytke HDS-solmuun virta ja varmista, ettei hälytyksiä ole kuulunut vähintään 15 minuuttiin. | ||
9 |
Toista prosessi jokaiselle valmiustietokeskuksen solmulle.
|
Mitä tehdä seuraavaksi
Kun olet määrittänyt passiveMode
ISO-tiedostossa ja tallentanut sen, voit luoda toisen kopion ISO-tiedostosta ilman passiveMode
-määritystä ja tallentaa sen turvalliseen paikkaan. Tämä ISO-tiedoston kopio, jossa ei ole määritetty passiveMode
, voi auttaa nopeassa vikasietoisessa vikasietoisessa palautuksessa. Yksityiskohtainen vikasietoinen vikasietoisuusmenettely on osoitteessa Disaster Recovery using Standby Data Center .
Proxy-tuki
Hybrid Data Security tukee nimenomaisia, läpinäkyviä ja ei-tarkistavia välityspalvelimia. Voit liittää nämä välityspalvelimet käyttöönottoasi, jotta voit suojata ja valvoa liikennettä yrityksestä pilvipalveluun. Voit käyttää solmujen alustan hallintakäyttöliittymää varmenteiden hallintaan ja yhteyden yleisen tilan tarkistamiseen sen jälkeen, kun olet määrittänyt välityspalvelimen solmuihin.
Hybriditietoturvasolmut tukevat seuraavia välityspalvelinvaihtoehtoja:
-
Ei välityspalvelinta- Oletusarvo, jos et käytä HDS-solmun Trust Store & Proxy -määritystä välityspalvelimen integroimiseen. Varmenteen päivitystä ei tarvita.
-
Läpinäkyvä ei-tarkastava välityspalvelin-solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen ei-tarkastavan välityspalvelimen kanssa. Varmenteen päivitystä ei tarvita.
-
Läpinäkyvä tunnelointi tai välityspalvelimen tarkastaminen-solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. Solmujen HTTP- tai HTTPS-konfiguraatioita ei tarvitse muuttaa. Solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne voivat luottaa välittäjään. Tietotekniikka käyttää tyypillisesti tarkastavia välityspalvelimia valvomaan käytäntöjä, jotka koskevat sitä, millä verkkosivustoilla voi vierailla ja minkä tyyppistä sisältöä ei saa käyttää. Tämäntyyppinen välityspalvelin purkaa kaiken liikennöintisi (jopa HTTPS).
-
Eksplisiittinen välityspalvelin- Eksplisiittisellä välityspalvelimella kerrot HDS-solmuille, mitä välityspalvelinta ja todennusjärjestelmää käytetään. Jos haluat määrittää nimenomaisen välityspalvelimen, sinun on annettava seuraavat tiedot kussakin solmussa:
-
Välityspalvelimen IP/FQDN-osoite, jota voidaan käyttää välityspalvelimen koneen tavoittamiseen.
-
Välitysportti- Portin numero, jota välityspalvelin käyttää kuunnellakseen välitettyä liikennettä.
-
Välityspalvelinprotokolla-Valikoima seuraavista protokollista riippuu siitä, mitä välityspalvelimesi tukee:
-
HTTP-näkyy ja hallitsee kaikkia asiakkaan lähettämiä pyyntöjä.
-
HTTPS-Varaa kanavan palvelimelle. Asiakas vastaanottaa palvelimen varmenteen ja vahvistaa sen.
-
-
Todennustyyppi-Valitse yksi seuraavista todennustyypeistä:
-
Ei ole- Muita todennuksia ei tarvita.
Käytettävissä, jos valitset välityspalvelinprotokollaksi joko HTTP:n tai HTTPS:n.
-
Basic-Käytetään HTTP-käyttäjäagenttia antamaan käyttäjätunnus ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.
Käytettävissä, jos valitset välityspalvelinprotokollaksi joko HTTP:n tai HTTPS:n.
Vaatii käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.
-
Digest-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Soveltaa hash-funktiota käyttäjänimeen ja salasanaan ennen lähettämistä verkon yli.
Käytettävissä vain, jos valitset välityspalvelinprotokollaksi HTTPS:n.
Vaatii käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.
-
-
Esimerkki hybridi-tietoturvasolmuista ja välityspalvelimesta
Tässä kaaviossa on esimerkki Hybrid Data Securityn, verkon ja välityspalvelimen välisestä yhteydestä. Läpinäkyvän tarkastuksen ja HTTPS:n nimenomaisen tarkastuksen välityspalvelinvaihtoehdoissa sama juurivarmenne on asennettava välityspalvelimeen ja Hybrid Data Security -solmuun.
Estetty ulkoinen DNS-resoluutiotila (eksplisiittiset välityspalvelinkonfiguraatiot)
Kun rekisteröit solmun tai tarkistat solmun välityspalvelinkokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex -pilveen. Käyttöönotoissa, joissa on nimenomaiset välityspalvelinmääritykset, jotka eivät salli ulkoista DNS-resoluutiota sisäisille asiakkaille, jos solmu ei voi kysyä DNS-palvelimilta, se siirtyy automaattisesti estetty ulkoinen DNS-resoluutio -tilaan. Tässä tilassa solmun rekisteröinti ja muut välityspalvelimen yhteystestit voivat jatkua.
Hybriditietoturvaa koskevat vaatimukset
Cisco Webexin lisenssivaatimukset
Hybriditietoturvan käyttöönotto:
-
Sinulla on oltava Pro Pack for Cisco Webex Control Hub. (Katso https://www.cisco.com/go/pro-pack.)
Docker Desktop -vaatimukset
Ennen kuin asennat HDS-solmut, tarvitset Docker Desktopin asennusohjelman suorittamista varten. Docker päivitti hiljattain lisensointimalliaan. Organisaatiosi saattaa vaatia maksullisen Docker Desktop -tilauksen. Lisätietoja on Dockerin blogikirjoituksessa " Docker päivittää ja laajentaa tuotetilauksia".
X.509-varmenteen vaatimukset
Varmenteketjun on täytettävä seuraavat vaatimukset:
Vaatimus |
Tiedot |
---|---|
|
Oletusarvoisesti luotamme Mozillan luettelossa oleviin varmentajiin (lukuun ottamatta WoSignia ja StartComia) osoitteessa https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN:n ei tarvitse olla tavoitettavissa eikä sen tarvitse olla elävä isäntä. Suosittelemme, että käytät organisaatiotasi kuvaavaa nimeä, esimerkiksi CN ei saa sisältää *-merkkiä (jokerimerkki). CN:ää käytetään Hybrid Data Security -solmujen varmentamiseen Webex App -asiakkaille. Kaikki klusterin Hybrid Data Security -solmut käyttävät samaa varmentetta. KMS tunnistaa itsensä CN-toimialueen avulla, ei minkään x.509v3 SAN-kenttiin määritellyn toimialueen avulla. Kun olet rekisteröinyt solmun tällä varmenteella, emme tue CN-verkkotunnuksen nimen muuttamista. Valitse toimialue, jota voidaan käyttää sekä kokeilu- että tuotantokäytössä. |
|
KMS-ohjelmisto ei tue SHA1-allekirjoituksia yhteyksien vahvistamiseksi muiden organisaatioiden KMS-järjestelmiin. |
|
Voit käyttää OpenSSL:n kaltaista muunninta varmenteen muodon muuttamiseen. Sinun on annettava salasana, kun käynnistät HDS-asennustyökalun. |
KMS-ohjelmisto ei noudata avaimen käyttöä tai laajennettua avaimen käyttöä koskevia rajoituksia. Jotkin varmentajat vaativat, että kuhunkin varmenteeseen sovelletaan laajennettuja avainkäyttörajoituksia, kuten palvelimen todennusta. Voit käyttää palvelimen todennusta tai muita asetuksia.
Virtuaalisen isännän vaatimukset
Virtuaalisilla isännöintiasemilla, jotka perustat hybridi-tietoturvasolmuiksi klusteriin, on seuraavat vaatimukset:
-
Vähintään kaksi erillistä isäntäkonetta (suositellaan kolmea), jotka sijaitsevat samassa suojatussa tietokeskuksessa.
-
VMware ESXi 6.5 (tai uudempi) asennettuna ja käynnissä.
Sinun on päivitettävä, jos käytössäsi on aikaisempi ESXi-versio.
-
Vähintään 4 vCPU:ta, 8 Gt keskusmuistia, 30 Gt paikallista kiintolevytilaa palvelinta kohden.
Tietokantapalvelimen vaatimukset
Luo uusi tietokanta avainten tallennusta varten. Älä käytä oletustietokantaa. Kun HDS-sovellukset asennetaan, ne luovat tietokantakaavion. |
Tietokantapalvelimessa on kaksi vaihtoehtoa. Vaatimukset ovat seuraavat:
PostgreSQL |
Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Vähintään 8 vCPU:ta, 16 Gt keskusmuistia, riittävästi kiintolevytilaa ja valvonta sen varmistamiseksi, että sitä ei ylitetä (suositellaan 2 Tt, jos haluat käyttää tietokantaa pitkään ilman, että tallennustilaa tarvitsee lisätä). |
Vähintään 8 vCPU:ta, 16 Gt keskusmuistia, riittävästi kiintolevytilaa ja valvonta sen varmistamiseksi, että sitä ei ylitetä (suositellaan 2 Tt, jos haluat käyttää tietokantaa pitkään ilman, että tallennustilaa tarvitsee lisätä). |
HDS-ohjelmisto asentaa tällä hetkellä seuraavat ajuriversiot yhteydenpitoa varten tietokantapalvelimen kanssa:
PostgreSQL |
Microsoft SQL Server |
---|---|
Postgres JDBC -ajuri 42.2.5 |
SQL Server JDBC -ajuri 4.6 Tämä ajuriversio tukee SQL Server Always On -palvelinta ( Always On Failover Cluster Instances ja Always On -saatavuusryhmät). |
Lisävaatimukset Windows-todennusta varten Microsoft SQL Serveriä vastaan
Jos haluat, että HDS-solmut käyttävät Windows-todennusta Microsoft SQL Serverin avainsäilytystietokantaan pääsemiseksi, tarvitset ympäristössäsi seuraavat asetukset:
-
HDS-solmut, Active Directory -infrastruktuuri ja MS SQL Server on synkronoitava NTP:n avulla.
-
HDS-solmujen käyttöön annetulla Windows-tilillä on oltava tietokannan luku/kirjoitusoikeus.
-
HDS-solmujen käyttöön antamiesi DNS-palvelimien on kyettävä ratkaisemaan KDC-keskuksesi (Key Distribution Center).
-
Voit rekisteröidä Microsoft SQL Serverin HDS-tietokantainstanssin palvelupääkäyttäjänimeksi (Service Principal Name, SPN) Active Directoryyn. Katso Rekisteröi palvelupääkäyttäjän nimi Kerberos-yhteyksiä varten.
HDS-asennustyökalun, HDS-launcherin ja paikallisen KMS:n on käytettävä Windows-todennusta avainsäilytystietokannan käyttämiseen. Ne käyttävät ISO-konfiguraation tietoja SPN:n muodostamiseen, kun ne pyytävät pääsyä Kerberos-todennuksen avulla.
Ulkoiset liitäntävaatimukset
Määritä palomuuri sallimaan seuraavat HDS-sovellusten yhteydet:
Sovellus |
Protokolla |
Portti |
Suunta sovelluksesta |
Kohde |
---|---|---|---|---|
Hybriditietoturvasolmut |
TCP |
443 |
Lähtevä HTTPS ja WSS |
|
HDS-asennustyökalu |
TCP |
443 |
Lähtevä HTTPS |
|
Hybriditietoturvasolmut toimivat NAT:n (Network Access Translation) kanssa tai palomuurin takana, kunhan NAT tai palomuuri sallii vaaditut lähtevät yhteydet edellisessä taulukossa esitettyihin toimialueen kohteisiin. Hybriditietoturvasolmuihin saapuvien yhteyksien porttien ei pitäisi näkyä internetistä. Tietokeskuksessasi asiakkaat tarvitsevat hallinnollisia tarkoituksia varten pääsyn Hybrid Data Security -solmujen TCP-portteihin 443 ja 22. |
Yhteisen identiteetin (CI) isäntien URL-osoitteet ovat aluekohtaisia. Nämä ovat nykyiset CI-isännät:
Alue |
Yleiset identiteetin isäntä-URL-osoitteet |
---|---|
Americas |
|
Euroopan unioni |
|
Kanada |
|
Välityspalvelimen vaatimukset
-
Tuemme virallisesti seuraavia välityspalvelinratkaisuja, jotka voidaan integroida hybriditietoturvasolmujen kanssa.
-
Läpinäkyvä välityspalvelin-Cisco Web Security Appliance (WSA).
-
Eksplisiittinen proxy-Squid.
HTTPS-liikennettä tarkastavat Squid-välityspalvelimet voivat häiritä websocket (wss:) -yhteyksien muodostamista. Voit kiertää tämän ongelman osoitteessa Configure Squid Proxies for Hybrid Data Security.
-
-
Tuemme seuraavia todennustyyppiyhdistelmiä nimenomaisille välityspalvelimille:
-
Ei todennusta HTTP:llä tai HTTPS:llä
-
Perustodennus HTTP:llä tai HTTPS:llä
-
Digest-todennus vain HTTPS:n kanssa
-
-
Läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-yksiselitteisen välityspalvelimen osalta sinulla on oltava kopio välityspalvelimen juurivarmenteesta. Tämän oppaan käyttöönotto-ohjeissa kerrotaan, miten kopio ladataan hybriditietoturvasolmujen luotettavuusvarastoihin.
-
HDS-solmuja isännöivä verkko on määritettävä siten, että portista 443 lähtevä TCP-liikenne reititetään välityspalvelimen kautta.
-
Verkkoliikennettä tarkastavat välityspalvelimet voivat häiritä verkkoliikenneyhteyksiä. Jos tämä ongelma ilmenee, ongelman voi ratkaista ohittamalla (tarkastamatta) liikenteen osoitteisiin
wbx2.com
jaciscospark.com
.
Täytä hybridi-tietoturvan edellytykset.
1 |
Varmista, että Webex-organisaatiossasi on käytössä Pro Pack for Cisco Webex Control Hub -palvelu, ja hanki tilitiedot tililtä, jolla on täydet organisaation järjestelmänvalvojan oikeudet. Ota yhteyttä Cisco-kumppaniin tai asiakaspäällikköön saadaksesi apua tässä prosessissa. | ||
2 |
Valitse toimialueen nimi HDS-käyttöönotollesi (esimerkiksi | ||
3 |
Valmistele identtiset virtuaaliset isännät, jotka perustat hybridi-tietoturvasolmuiksi klusteriin. Tarvitset vähintään kaksi erillistä isäntäkonetta (suositellaan kolmea), jotka sijaitsevat samassa suojatussa datakeskuksessa ja jotka täyttävät vaatimukset, jotka on esitetty osoitteessa Virtual Host Requirements. | ||
4 |
Valmistele tietokantapalvelin, joka toimii klusterin keskeisenä tietovarastona, Tietokantapalvelimen vaatimukset mukaisesti. Tietokantapalvelin on sijoitettava samaan turvalliseen datakeskukseen virtuaalisten isäntien kanssa. | ||
5 |
Jos haluat nopean palautumisen katastrofista, voit perustaa varmuuskopioympäristön toiseen datakeskukseen. Varmuuskopiointiympäristö peilaa tuotantoympäristöä, joka koostuu VM:istä ja varmuuskopioidusta tietokantapalvelimesta. Jos esimerkiksi tuotannossa on 3 VM:ää, joilla on HDS-solmuja, varmuuskopiointiympäristössä pitäisi olla 3 VM:ää. | ||
6 |
Määritä syslog-isäntä keräämään lokit klusterin solmuista. Kerää sen verkko-osoite ja syslog-portti (oletusarvo on UDP 514). | ||
7 |
Luo turvallinen varmuuskopiointikäytäntö hybriditietoturvasolmuja, tietokantapalvelinta ja syslog-isäntää varten. Jos haluat estää tietojen menetyksen, jota ei voida palauttaa, sinun on varmuuskopioitava tietokanta ja hybridi-dataturvallisuussolmuja varten luotu määritys-ISO-tiedosto.
Webex App -asiakkaat tallentavat avaimet välimuistiin, joten katkos ei välttämättä näy heti, mutta se näkyy ajan myötä. Tilapäisiä katkoksia on mahdotonta estää, mutta ne ovat palautettavissa. Jos tietokanta tai konfigurointi-ISO-tiedosto kuitenkin menetetään kokonaan (varmuuskopioita ei ole saatavilla), asiakastietoja ei voida palauttaa. Hybriditietoturvasolmujen ylläpitäjien odotetaan ylläpitävän usein varmuuskopioita tietokannasta ja konfigurointi-ISO-tiedostosta ja olevan valmiita rakentamaan hybriditietoturvatietokeskuksen uudelleen, jos tapahtuu katastrofaalinen vika. | ||
8 |
Varmista, että palomuurin kokoonpano sallii Hybrid Data Security -solmujen yhteyden Ulkoisen yhteyden vaatimukset mukaisesti. | ||
9 |
Asenna Docker ( https://www.docker.com) mihin tahansa paikalliseen koneeseen, jossa on tuettu käyttöjärjestelmä (Microsoft Windows 10 Professional tai Enterprise 64-bittinen tai Mac OSX Yosemite 10.10.3 tai uudempi), jossa on verkkoselain, joka voi käyttää sitä osoitteessa http://127.0.0.1:8080. Docker-instanssin avulla lataat ja suoritat HDS Setup Tool -työkalun, joka luo paikalliset määritystiedot kaikille Hybrid Data Security -solmuille. Organisaatiosi saattaa tarvita Docker Desktop -lisenssin. Katso lisätietoja osoitteesta Docker Desktop -vaatimukset . Jotta HDS Setup Tool voidaan asentaa ja käyttää, paikallisella koneella on oltava osoitteessa External connectivity requirements esitetyt liitettävyysvaatimukset. | ||
10 |
Jos integroit välityspalvelimen Hybrid Data Securityyn, varmista, että se täyttää Proxy Server Requirements-vaatimukset. | ||
11 |
Jos organisaatiossasi käytetään hakemistosynkronointia, luo Active Directoryyn ryhmä nimeltä
|
Hybriditietoturvan käyttöönoton tehtävävirta
Ennen kuin aloitat
1 |
Lataa OVA-tiedosto paikalliselle koneellesi myöhempää käyttöä varten. | ||
2 |
Luo konfigurointi-ISO HDS-isäntäkoneille. Käytä HDS Setup Tool -työkalua luodaksesi ISO-kokoonpanotiedoston Hybrid Data Security -solmuja varten. | ||
3 |
Luo virtuaalikone OVA-tiedostosta ja suorita alkumääritykset, kuten verkkoasetukset.
| ||
4 |
Hybriditietoturva VM:n määrittäminen Kirjaudu VM-konsoliin ja määritä kirjautumistiedot. Määritä solmun verkkoasetukset, jos et määrittänyt niitä OVA-käyttöönoton yhteydessä. | ||
5 |
Lataa ja asenna HDS-konfiguraatio-ISO-tiedosto. Määritä VM HDS Setup Tool -työkalulla luomastasi ISO-kokoonpanotiedostosta. | ||
6 |
HDS-solmun määrittäminen välityspalvelimen integrointia varten Jos verkkoympäristö edellyttää välityspalvelinkonfiguraatiota, määritä solmun käyttämä välityspalvelintyyppi ja lisää tarvittaessa välityspalvelinvarmenne luottamussäilöön. | ||
7 |
Rekisteröi klusterin ensimmäinen solmu Rekisteröi VM Cisco Webex -pilvipalveluun Hybrid Data Security -solmuksi. | ||
8 |
Luo ja rekisteröi lisää solmuja Viimeistele klusterin asennus. | ||
9 |
Suorita kokeilu ja siirry tuotantoon (seuraava luku). Kunnes aloitat kokeilun, solmupisteesi tuottavat hälytyksen, joka osoittaa, että palvelua ei ole vielä aktivoitu. |
Lataa asennustiedostot
1 |
Kirjaudu sisään osoitteessa https://admin.webex.com ja valitse sitten Palvelut. | ||||
2 |
Etsi Hybridipalvelut-osiosta Hybrid Data Security -kortti ja valitse sitten Set up. Jos kortti on poistettu käytöstä tai et näe sitä, ota yhteyttä tilitiimiisi tai kumppaniorganisaatioon. Anna heille tilinumerosi ja pyydä ottamaan organisaatiosi käyttöön Hybrid Data Security. Löydät tilinumeron napsauttamalla organisaatiosi nimen vieressä oikeassa yläkulmassa olevaa hammaspyörää.
| ||||
3 |
Valitse Ei osoittaaksesi, että et ole vielä määrittänyt solmua, ja valitse sitten Seuraava. OVA-tiedoston lataaminen alkaa automaattisesti. Tallenna tiedosto johonkin paikkaan koneellasi.
| ||||
4 |
Voit myös valita Avaa käyttöönotto-opas tarkistaaksesi, onko tästä oppaasta saatavilla uudempi versio. |
Luo konfigurointi-ISO HDS-isäntäkoneille.
Hybrid Data Security -asennusprosessi luo ISO-tiedoston. Tämän jälkeen voit määrittää Hybrid Data Security -isäntäsovelluksen ISO-version avulla.
Ennen kuin aloitat
-
HDS Setup -työkalu toimii Docker-säiliönä paikallisella koneella. Voit käyttää sitä suorittamalla Dockerin kyseisellä koneella. Asennusprosessi edellyttää Control Hub -tilin tunnistetietoja, joilla on organisaatiosi täydet järjestelmänvalvojan oikeudet.
Jos HDS Setup -työkalu toimii ympäristössäsi välityspalvelimen takana, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien avulla, kun käynnistät Docker-säiliön vaiheessa 5. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:
Kuvaus
Muuttuja
HTTP-välityspalvelin ilman todennusta
GLOBAL_AGENTTI_HTTP_PROXY=http://SERVER_IP:PORTTI IP:PORTTI
HTTPS-välityspalvelin ilman todennusta
GLOBAL_AGENTTI_HTTPS_PROXY=http://SERVER_IP:PORTTI
HTTP-välityspalvelin todennuksen kanssa
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI
HTTPS-välityspalvelin todennuksella
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI
-
Luomasi konfigurointi-ISO-tiedosto sisältää pääavaimen, jolla PostgreSQL- tai Microsoft SQL Server -tietokanta salataan. Tarvitset uusimman kopion tästä tiedostosta aina, kun teet määritysmuutoksia, kuten näitä:
-
Tietokannan tunnistetiedot
-
Todistuksen päivitykset
-
Muutokset valtuutuskäytäntöön
-
-
Jos aiot salata tietokantayhteyksiä, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:ää varten.
1 |
Kirjoita koneesi komentoriville ympäristöllesi sopiva komento: Tavallisissa ympäristöissä: FedRAMP-ympäristöissä:
| ||||||||||||
2 |
Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti: | ||||||||||||
3 |
Kirjoita salasanakehotteeseen tämä hash: | ||||||||||||
4 |
Lataa uusin vakaa imago ympäristöllesi: Tavallisissa ympäristöissä: FedRAMP-ympäristöissä: | ||||||||||||
5 |
Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:
Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080". | ||||||||||||
6 |
Siirry verkkoselaimella osoitteeseen localhost, Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää asettaakseen oikean ympäristön kyseiselle tilille. Tämän jälkeen työkalu näyttää tavallisen kirjautumiskehotteen. | ||||||||||||
7 |
Anna pyydettäessä Control Hub -asiakkaan järjestelmänvalvojan kirjautumistiedot ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn hybriditietoturvan edellyttämiin palveluihin. | ||||||||||||
8 |
Napsauta Setup Tool -katsaussivulla Get Started. | ||||||||||||
9 |
ISO Import -sivulla on seuraavat vaihtoehdot:
| ||||||||||||
10 |
Tarkista, että X.509-varmenne täyttää osoitteessa X.509-varmenteen vaatimukset esitetyt vaatimukset.
| ||||||||||||
11 |
Anna tietokantaosoite ja tili, jonka avulla HDS voi käyttää avaintietovarastoa: | ||||||||||||
12 |
Valitse TLS-tietokantayhteystapa:
Kun lataat juurivarmenteen (tarvittaessa) ja napsautat Jatka, HDS Setup Tool testaa TLS-yhteyden tietokantapalvelimeen. Työkalu tarkistaa tarvittaessa myös varmenteen allekirjoittajan ja isäntänimen. Jos testi epäonnistuu, työkalu näyttää virheilmoituksen, jossa kuvataan ongelma. Voit valita, jätätkö virheen huomiotta ja jatkatko asennusta. (Yhteyseroista johtuen HDS-solmut saattavat pystyä muodostamaan TLS-yhteyden, vaikka HDS Setup Tool -kone ei pystyisi onnistuneesti testaamaan sitä.) | ||||||||||||
13 |
Määritä Syslogd-palvelin Järjestelmälokit-sivulla: | ||||||||||||
14 |
(Valinnainen) Voit muuttaa joidenkin tietokantayhteysparametrien oletusarvoa osoitteessa Lisäasetukset. Yleensä tämä parametri on ainoa, jota kannattaa muuttaa: | ||||||||||||
15 |
Napsauta Jatka Reset Service Accounts Password -näytössä. Palvelutilien salasanojen käyttöikä on yhdeksän kuukautta. Käytä tätä näyttöä, kun salasanasi ovat umpeutumassa tai haluat nollata ne aiempien ISO-tiedostojen mitätöimiseksi. | ||||||||||||
16 |
Napsauta Lataa ISO-tiedosto. Tallenna tiedosto paikkaan, josta se on helppo löytää. | ||||||||||||
17 |
Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmään. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää tietokannan sisällön pääsalausavaimen. Rajoita käyttöoikeus vain niille Hybrid Data Securityn järjestelmänvalvojille, joiden pitäisi tehdä määritysmuutoksia. | ||||||||||||
18 |
Voit sammuttaa Setup-työkalun kirjoittamalla |
Mitä tehdä seuraavaksi
Varmuuskopioi konfigurointi-ISO-tiedosto. Tarvitset sitä luodaksesi lisää solmuja toipumista varten tai tehdessäsi kokoonpanomuutoksia. Jos menetät kaikki ISO-tiedoston kopiot, menetät myös pääavaimen. Avainten palauttaminen PostgreSQL- tai Microsoft SQL Server -tietokannasta ei ole mahdollista.
Meillä ei ole koskaan kopiota tästä avaimesta, emmekä voi auttaa, jos kadotat sen. |
Asenna HDS Host OVA
1 |
Kirjaudu ESXi-virtuaali-isäntäkoneeseen VMware vSphere -asiakasohjelman avulla. | ||||||
2 |
Valitse File > Deploy OVF Template. | ||||||
3 |
Määritä ohjatussa toiminnossa aiemmin lataamasi OVA-tiedoston sijainti ja napsauta sitten Next. | ||||||
4 |
Kirjoita Valitse nimi ja kansio -sivulla Virtuaalikoneen nimi solmulle (esimerkiksi "HDS_Node_1"), valitse sijainti, jossa virtuaalikoneen solmun käyttöönotto voi sijaita, ja napsauta sitten Seuraava. | ||||||
5 |
Valitse Valitse laskentaresurssi -sivulla kohdelaskentaresurssi ja napsauta sitten Seuraava. Validointitarkistus suoritetaan. Kun se on valmis, mallin tiedot tulevat näkyviin. | ||||||
6 |
Tarkista mallin tiedot ja napsauta sitten Next. | ||||||
7 |
Jos sinua pyydetään valitsemaan resurssikokoonpano sivulla Configuration , valitse 4 CPU ja valitse sitten Next. | ||||||
8 |
Valitse Valitse tallennustila -sivulla Seuraava hyväksyäksesi oletusarvoisen levymuodon ja VM-tallennuskäytännön. | ||||||
9 |
Valitse Valitse verkot -sivulla verkkovaihtoehto luettelosta, joka tarjoaa VM:lle halutun yhteyden. | ||||||
10 |
Määritä seuraavat verkkoasetukset sivulla Mukauta mallia :
Voit halutessasi ohittaa verkkoasetusten määrityksen ja määrittää asetukset solmun konsolissa kohdan Hybriditietoturvan VM:n määrittäminen ohjeiden mukaisesti.
| ||||||
11 |
Napsauta hiiren kakkospainikkeella solmun VM:ää ja valitse sitten .Hybrid Data Security -ohjelmisto asennetaan vieraana VM-isäntään. Olet nyt valmis kirjautumaan konsoliin ja määrittämään solmun. Vianmääritysvinkkejä Saattaa esiintyä muutaman minuutin viive, ennen kuin solmupisteiden säiliöt tulevat esiin. Konsolissa näkyy siltapalomuuriviesti ensimmäisen käynnistyksen aikana, jolloin et voi kirjautua sisään. |
Hybriditietoturva VM:n määrittäminen
Tällä menettelyllä voit kirjautua Hybrid Data Security -solmun VM-konsoliin ensimmäistä kertaa ja määrittää kirjautumistiedot. Voit myös määrittää solmun verkkoasetukset konsolin avulla, jos et määrittänyt niitä OVA-käyttöönoton yhteydessä.
1 |
Valitse VMware vSphere -asiakasohjelmassa Hybrid Data Security -solmun VM ja valitse Console -välilehti. VM käynnistyy ja näyttöön tulee kirjautumiskehote. Jos kirjautumiskehote ei tule näkyviin, paina Enter.
|
2 |
Kirjaudu sisään ja vaihda tunnistetiedot seuraavilla oletustunnuksilla: käyttäjätunnus ja salasana: Koska kirjaudut VM:ään ensimmäistä kertaa, sinun on vaihdettava järjestelmänvalvojan salasana. |
3 |
Jos olet jo määrittänyt verkkoasetukset kohdassa Install the HDS Host OVA, ohita tämän ohjeen loppuosa. Muussa tapauksessa valitse päävalikosta Edit Configuration . |
4 |
Määritä staattinen konfiguraatio, jossa on IP-osoite, maski, yhdyskäytävä ja DNS-tiedot. Solmulla pitäisi olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta. |
5 |
(Valinnainen) Muuta isäntänimeä, toimialuetta tai NTP-palvelinta (-palvelimia) tarvittaessa verkkokäytäntösi mukaiseksi. Verkkotunnuksen ei tarvitse vastata verkkotunnusta, jota käytit X.509-varmenteen hankkimiseen. |
6 |
Tallenna verkkokokoonpano ja käynnistä VM uudelleen, jotta muutokset tulevat voimaan. |
Lataa ja asenna HDS-konfiguraatio-ISO-tiedosto.
Ennen kuin aloitat
Koska ISO-tiedostossa on pääavain, se tulisi asettaa näkyville vain "tarvitsee tietää" -periaatteella, jotta hybriditietoturva-VM:t ja mahdolliset järjestelmänvalvojat, jotka saattavat joutua tekemään muutoksia, pääsevät siihen käsiksi. Varmista, että vain kyseiset järjestelmänvalvojat voivat käyttää tietovarastoa.
1 |
Lataa ISO-tiedosto tietokoneeltasi: |
2 |
Kiinnitä ISO-tiedosto: |
Mitä tehdä seuraavaksi
Jos tietotekniikkakäytäntösi edellyttää, voit vaihtoehtoisesti poistaa ISO-tiedoston liittämisen sen jälkeen, kun kaikki solmut ovat ottaneet käyttöön määritysmuutokset. Katso lisätietoja osoitteesta (Valinnainen) Unmount ISO After HDS Configuration .
HDS-solmun määrittäminen välityspalvelimen integrointia varten
Jos verkkoympäristö edellyttää välityspalvelinta, määritä tällä tavalla, minkä tyyppinen välityspalvelin haluat integroida Hybrid Data Securityyn. Jos valitset läpinäkyvän tarkastavan välityspalvelimen tai nimenomaisen HTTPS-välityspalvelimen, voit ladata ja asentaa juurivarmenteen solmun käyttöliittymän avulla. Voit myös tarkistaa välityspalvelinyhteyden käyttöliittymästä ja korjata mahdollisia ongelmia.
Ennen kuin aloitat
-
Katso yleiskatsaus tuetuista välityspalvelinvaihtoehdoista osoitteesta Proxy Support .
1 |
Kirjoita HDS-solmun asetusten URL-osoite |
2 |
Siirry osoitteeseen Trust Store & Proxy ja valitse sitten vaihtoehto:
Noudata seuraavia vaiheita, kun kyseessä on läpinäkyvä tarkastava välityspalvelin, HTTP-selkeä välityspalvelin, jossa on perustodennus, tai HTTPS-selkeä välityspalvelin. |
3 |
Napsauta Upload a Root Certificate or End Entity Certificate ja siirry sitten valitsemaan välityspalvelimen juurivarmenne. Varmenne on ladattu, mutta sitä ei ole vielä asennettu, koska solmun on käynnistettävä uudelleen varmenteen asentamiseksi. Saat lisätietoja napsauttamalla varmenteen myöntäjän nimen vieressä olevaa nuolta tai napsauttamalla Poista , jos teit virheen ja haluat ladata tiedoston uudelleen. |
4 |
Testaa solmun ja välityspalvelimen välinen verkkoyhteys napsauttamalla Check Proxy Connection . Jos yhteystesti epäonnistuu, näyttöön tulee virheilmoitus, jossa kerrotaan syy ja miten voit korjata ongelman. Jos näet viestin, jonka mukaan ulkoinen DNS-resoluutio ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen. Tämä ehto on odotettavissa monissa eksplisiittisissä välityspalvelinkokoonpanoissa. Voit jatkaa asetusten määrittämistä, ja solmu toimii Estetty ulkoinen DNS-resoluutio -tilassa. Jos luulet, että kyseessä on virhe, suorita nämä vaiheet ja katso sitten Ota estetty ulkoinen DNS-resoluutiotila pois käytöstä. |
5 |
Kun yhteystesti on läpäissyt, kytke vain https:n välityspalvelimeksi asetetun eksplisiittisen välityspalvelimen kytkin päälle, jotta reitittää kaikki porttien 443/444 https-pyynnöt tästä solmusta eksplisiittisen välityspalvelimen kautta. Tämä asetus vaatii 15 sekuntia tullakseen voimaan. |
6 |
Napsauta Asenna kaikki varmenteet luottamussäilöön (tulee näkyviin, jos kyseessä on HTTPS-selkeän välityspalvelimen tai läpinäkyvän tarkastavan välityspalvelimen asennus) tai Käynnistä uudelleen (tulee näkyviin, jos kyseessä on HTTP-selkeän välityspalvelimen asennus), lue kehote ja napsauta sitten Asenna , jos olet valmis. Solmu käynnistyy uudelleen muutamassa minuutissa. |
7 |
Kun solmu on käynnistetty uudelleen, kirjaudu tarvittaessa uudelleen sisään ja avaa sitten Overview -sivu tarkistaaksesi yhteystarkastukset ja varmistaaksesi, että ne ovat kaikki vihreässä tilassa. Välityspalvelinyhteyden tarkistus testaa vain webex.com-sivuston aliverkkotunnuksen. Jos yhteysongelmia ilmenee, yleinen ongelma on, että jotkin asennusohjeissa luetelluista pilvitoimialueista on estetty välityspalvelimessa. |
Rekisteröi klusterin ensimmäinen solmu
Kun rekisteröit ensimmäisen solmun, luot klusterin, johon solmu liitetään. Klusteri sisältää yhden tai useamman solmun, jotka on sijoitettu tarjoamaan redundanssia.
Ennen kuin aloitat
-
Kun aloitat solmun rekisteröinnin, sinun on saatettava se päätökseen 60 minuutin kuluessa tai sinun on aloitettava alusta.
-
Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen admin.webex.com-sivustolle.
1 |
Kirjaudu sisään osoitteessa https://admin.webex.com. |
2 |
Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut. |
3 |
Etsi Hybridipalvelut-osiosta Hybrid Data Security ja napsauta Set up. Näyttöön tulee Register Hybrid Data Security Node -sivu.
|
4 |
Valitse Kyllä osoittaaksesi, että olet määrittänyt solmun ja olet valmis rekisteröimään sen, ja valitse sitten Seuraava. |
5 |
Kirjoita ensimmäiseen kenttään sen klusterin nimi, johon haluat määrittää hybriditietoturvasolmun. Suosittelemme, että nimeät klusterin sen mukaan, missä klusterin solmut sijaitsevat maantieteellisesti. Esimerkkejä: "San Francisco" tai "New York" tai "Dallas". |
6 |
Kirjoita toiseen kenttään solmun sisäinen IP-osoite tai FQDN (fully qualified domain name) ja napsauta Next. Tämän IP-osoitteen tai FQDN:n tulee vastata IP-osoitetta tai isäntänimeä ja toimialuetta, joita käytit kohdassa Hybrid Data Security VM:n määrittäminen. Näyttöön tulee viesti, jossa ilmoitetaan, että voit rekisteröidä solmun Webexiin.
|
7 |
Napsauta Go to Node. |
8 |
Napsauta varoitusviestissä Jatka . Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmujen yhteystesteihin. Jos kaikki testit ovat onnistuneet, näkyviin tulee Salli pääsy hybriditietoturvasolmulle -sivu. Siellä vahvistat, että haluat antaa Webex-organisaatiollesi oikeudet käyttää solmua.
|
9 |
Tarkista Allow Access to Your Hybrid Data Security Node -valintaruutu ja napsauta sitten Continue. Tilisi on vahvistettu ja "Rekisteröinti valmis" -viesti osoittaa, että solmusi on nyt rekisteröity Webex-pilveen.
|
10 |
Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle. Hybrid Data Security -sivulla näkyy uusi klusteri, joka sisältää rekisteröimäsi solmun. Solmu lataa automaattisesti uusimman ohjelmiston pilvestä.
|
Luo ja rekisteröi lisää solmuja
Tällä hetkellä varmuuskopio-VM:t, jotka luot osoitteessa Complete the Prerequisites for Hybrid Data Security , ovat valmiusisäntiä, joita käytetään vain katastrofista toipumisen yhteydessä; niitä ei rekisteröidä järjestelmään ennen sitä. Lisätietoja on osoitteessa Disaster Recovery using Standby Data Center. |
Ennen kuin aloitat
-
Kun aloitat solmun rekisteröinnin, sinun on saatettava se päätökseen 60 minuutin kuluessa tai sinun on aloitettava alusta.
-
Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen admin.webex.com-sivustolle.
1 |
Luo uusi virtuaalikone OVA:sta toistamalla vaiheet osoitteessa Install the HDS Host OVA. |
2 |
Määritä uuden VM:n alkukokoonpano toistamalla kohdasta Set up the Hybrid Data Security VM löytyvät vaiheet. |
3 |
Toista uudessa VM:ssä vaiheet osoitteessa Lataa ja asenna HDS-kokoonpanon ISO. |
4 |
Jos otat käyttöön välityspalvelimen, toista kohdan Configure the HDS Node for Proxy Integration vaiheet tarpeen mukaan uutta solmua varten. |
5 |
Rekisteröi solmu. Solmusi on rekisteröity. Huomaa, että ennen kuin aloitat kokeilun, solmut antavat hälytyksen, joka osoittaa, että palvelua ei ole vielä aktivoitu.
|
Mitä tehdä seuraavaksi
Kokeilusta tuotantoon tehtävänkulku
Kun olet perustanut Hybrid Data Security -klusterin, voit aloittaa pilottihankkeen, lisätä siihen käyttäjiä ja alkaa käyttää sitä käyttöönoton testaamiseen ja tarkistamiseen tuotantoon siirtymistä varten.
Ennen kuin aloitat
1 |
Synkronoi tarvittaessa Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava |
2 |
Aloita kokeilu. Ennen kuin teet tämän tehtävän, solmut antavat hälytyksen, joka osoittaa, että palvelua ei ole vielä aktivoitu. |
3 |
Testaa hybriditietoturvan käyttöönottoa Tarkista, että keskeiset pyynnöt kulkevat Hybrid Data Security -käyttöönottoon. |
4 |
Hybriditietojen tietoturvan tilan seuranta Tarkista tila ja määritä sähköposti-ilmoitukset hälytyksiä varten. |
5 | |
6 |
Suorita kokeiluvaihe loppuun jollakin seuraavista toimista: |
Aktivoi Trial
Ennen kuin aloitat
Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava HdsTrialGroup
-ryhmäobjekti synkronoitavaksi pilveen, ennen kuin voit aloittaa organisaatiosi kokeilun. Ohjeet löytyvät osoitteesta Deployment Guide for Cisco Directory Connector.
1 |
Kirjaudu sisään osoitteessa https://admin.webex.com ja valitse sitten Palvelut. |
2 |
Napsauta Hybriditietoturva-kohdassa Asetukset. |
3 |
Valitse Palvelun tila -osiossa Käynnistä kokeilu. Palvelun tila muuttuu kokeilutilaan.
|
4 |
Napsauta Add Users ja syötä yhden tai useamman käyttäjän sähköpostiosoite, jotta voit kokeilla Hybrid Data Security -solmujen käyttöä salaus- ja indeksointipalveluihin. (Jos organisaatiossasi käytetään hakemistosynkronointia, käytä Active Directoryta kokeiluryhmän hallintaan, |
Testaa hybriditietoturvan käyttöönottoa
Ennen kuin aloitat
-
Määritä hybriditietoturvan käyttöönotto.
-
Aktivoi kokeiluversio ja lisää useita kokeilukäyttäjiä.
-
Varmista, että sinulla on pääsy syslogiin, jotta voit tarkistaa, että avainpyynnöt kulkevat Hybrid Data Security -käyttöönottoon.
1 |
Avaimet tietylle tilalle asettaa tilan luoja. Kirjaudu Webex-sovellukseen yhtenä pilottikäyttäjistä, luo tila ja kutsu vähintään yksi pilottikäyttäjä ja yksi ei-pilottikäyttäjä.
| ||
2 |
Lähetä viestejä uuteen tilaan. | ||
3 |
Tarkista syslog-tulosteesta, että avainpyynnöt kulkevat Hybrid Data Security -käyttöönottoon. |
Hybriditietojen tietoturvan tilan seuranta
1 |
Valitse Control Hubissa näytön vasemmassa reunassa olevasta valikosta Palvelut . |
2 |
Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta Asetukset. Hybriditietojen suojausasetukset -sivu tulee näkyviin.
|
3 |
Kirjoita Sähköposti-ilmoitukset-osioon yksi tai useampi sähköpostiosoite pilkuilla erotettuna ja paina Enter. |
Lisää tai poista käyttäjiä kokeilusta
Jos poistat käyttäjän kokeilusta, käyttäjän asiakas pyytää avaimia ja avainten luomista pilvipalvelun KMS:stä oman KMS:n sijasta. Jos asiakas tarvitsee avaimen, joka on tallennettu KMS-järjestelmään, pilvi-KMS hakee sen käyttäjän puolesta.
Jos organisaatiossasi käytetään hakemistosynkronointia, käytä Active Directorya (tämän menettelyn sijasta) kokeiluryhmän hallintaan, HdsTrialGroup
; voit tarkastella ryhmän jäseniä Control Hubissa, mutta et voi lisätä tai poistaa heitä.
1 |
Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut. |
2 |
Napsauta Hybriditietoturva-kohdassa Asetukset. |
3 |
Napsauta Palvelun tila -alueen Kokeilutila-osiossa Lisää käyttäjiä tai poista käyttäjät kokeilusta napsauttamalla Näytä ja muokkaa . |
4 |
Kirjoita yhden tai useamman lisättävän käyttäjän sähköpostiosoite tai poista käyttäjä kokeilusta napsauttamalla käyttäjätunnuksen vieressä olevaa X . Napsauta sitten Tallenna. |
Siirtyminen kokeilusta tuotantoon
1 |
Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut. |
2 |
Napsauta Hybriditietoturva-kohdassa Asetukset. |
3 |
Valitse Palvelun tila -osiossa Siirry tuotantoon. |
4 |
Vahvista, että haluat siirtää kaikki käyttäjät tuotantoon. |
Lopeta kokeilu siirtymättä tuotantoon
1 |
Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut. |
2 |
Napsauta Hybriditietoturva-kohdassa Asetukset. |
3 |
Napsauta Deaktivoi-osiossa Deaktivoi. |
4 |
Vahvista, että haluat poistaa palvelun käytöstä ja lopettaa kokeilujakson. |
Hallitse HDS:n käyttöönottoa
Käytä tässä kuvattuja tehtäviä Hybrid Data Security -käyttöönoton hallintaan.
Aseta klusterin päivitysaikataulu
Päivityksen aikataulun asettaminen:
1 |
Kirjaudu sisään Control Hubiin. |
2 |
Valitse Yleiskatsaus-sivun Hybridipalvelut-kohdasta Hybrid Data Security. |
3 |
Valitse klusteri Hybriditietoturvaresurssit-sivulla. |
4 |
Valitse klusterin nimi oikeanpuoleisen Yleiskatsaus-paneelin Klusterin asetukset -kohdasta. |
5 |
Valitse Asetukset-sivun Päivitys-kohdassa päivitysaikataulun aika ja aikavyöhyke. Huomautus: Aikavyöhykkeen alla näkyy seuraava saatavilla oleva päivityspäivämäärä ja -aika. Voit tarvittaessa siirtää päivityksen seuraavalle päivälle napsauttamalla Postpone. |
Solmun kokoonpanon muuttaminen
-
x.509-varmenteiden muuttaminen vanhentumisen tai muiden syiden vuoksi.
Emme tue varmenteen CN-verkkotunnuksen nimen muuttamista. Verkkotunnuksen on vastattava klusterin rekisteröinnissä käytettyä alkuperäistä verkkotunnusta.
-
Tietokanta-asetusten päivittäminen PostgreSQL- tai Microsoft SQL Server -tietokannan kopion vaihtamiseksi.
Emme tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin tai päinvastoin. Jos haluat vaihtaa tietokantaympäristön, aloita uusi Hybrid Data Security -käyttöönotto.
-
Uuden kokoonpanon luominen uuden datakeskuksen valmistelemiseksi.
Hybrid Data Security käyttää turvallisuussyistä myös palvelutilien salasanoja, joiden käyttöikä on yhdeksän kuukautta. Kun HDS-asennustyökalu on luonut nämä salasanat, otat ne käyttöön kussakin HDS-solmussa ISO-määritystiedostossa. Kun organisaatiosi salasanojen voimassaoloaika lähestyy, saat Webex-tiimiltä ilmoituksen, jossa pyydetään palauttamaan konetilisi salasana. (Sähköpostiviestissä on teksti: "Päivitä salasana konetilin API:n avulla."). Jos salasanasi eivät ole vielä vanhentuneet, työkalu antaa sinulle kaksi vaihtoehtoa:
-
Pehmeä nollaus- Vanha ja uusi salasana toimivat molemmat enintään 10 päivän ajan. Käytä tätä ajanjaksoa ISO-tiedoston korvaamiseen solmuissa vähitellen.
-
Hard reset- Vanhat salasanat lakkaavat toimimasta välittömästi.
Jos salasanasi vanhenevat ilman nollausta, se vaikuttaa HDS-palveluun ja edellyttää välitöntä kovaa nollausta ja ISO-tiedoston vaihtamista kaikissa solmuissa.
Tämän menettelyn avulla voit luoda uuden ISO-konfiguraatiotiedoston ja soveltaa sitä klusteriin.
Ennen kuin aloitat
-
HDS Setup -työkalu toimii Docker-säiliönä paikallisella koneella. Voit käyttää sitä suorittamalla Dockerin kyseisellä koneella. Asennusprosessi edellyttää Control Hub -tilin tunnistetietoja, joilla on organisaatiosi täydet järjestelmänvalvojan oikeudet.
Jos HDS Setup -työkalu toimii ympäristössäsi välityspalvelimen takana, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien avulla, kun käynnistät Docker-säiliön osoitteessa 1.e. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:
Kuvaus
Muuttuja
HTTP-välityspalvelin ilman todennusta
GLOBAL_AGENTTI_HTTP_PROXY=http://SERVER_IP:PORTTI IP:PORTTI
HTTPS-välityspalvelin ilman todennusta
GLOBAL_AGENTTI_HTTPS_PROXY=http://SERVER_IP:PORTTI
HTTP-välityspalvelin todennuksen kanssa
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI
HTTPS-välityspalvelin todennuksen kanssa
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI
-
Tarvitset kopion nykyisestä kokoonpanon ISO-tiedostosta uuden kokoonpanon luomiseksi. ISO-tietokanta sisältää pääavaimen, jolla PostgreSQL- tai Microsoft SQL Server -tietokanta salataan. Tarvitset ISO-tietoa, kun teet määritysmuutoksia, kuten tietokannan valtuustiedot, varmenteen päivitykset tai valtuutuskäytännön muutokset.
1 |
Suorita HDS-asennustyökalu Dockerin avulla paikallisella koneella. |
2 |
Jos sinulla on vain yksi HDS-solmu, jossa on käytössä, luo uusi Hybrid Data Security -solmun VM ja rekisteröi se käyttämällä uutta konfiguraatio-ISO-tiedostoa. Tarkempia ohjeita on osoitteessa Create and Register More Nodes. |
3 |
Asenna ISO-tiedosto olemassa oleviin HDS-solmuihin, joissa on käytössä vanhempi kokoonpanotiedosto. Suorita seuraavat toimenpiteet jokaiselle solmulle vuorotellen ja päivitä jokainen solmu ennen seuraavan solmun sammuttamista: |
4 |
Toista vaihe 3 korvataksesi kokoonpano jokaisessa jäljellä olevassa solmussa, jossa on käytössä vanha kokoonpano. |
Sammuta estetty ulkoinen DNS-resoluutiotila
Kun rekisteröit solmun tai tarkistat solmun välityspalvelinkokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex -pilveen. Jos solmun DNS-palvelin ei pysty ratkaisemaan julkisia DNS-nimiä, solmu siirtyy automaattisesti estetty ulkoinen DNS-resoluutio -tilaan.
Jos solmut pystyvät ratkaisemaan julkiset DNS-nimet sisäisten DNS-palvelimien kautta, voit poistaa tämän tilan käytöstä suorittamalla välityspalvelinyhteystestin uudelleen kussakin solmussa.
Ennen kuin aloitat
1 |
Avaa verkkoselaimessa Hybrid Data Security -solmun käyttöliittymä (esimerkiksi IP-osoite/asetukset, https://192.0.2.0/setup), , syötä solmulle määrittämäsi järjestelmänvalvojan tunnukset ja napsauta sitten Kirjaudu sisään. |
2 |
Siirry osoitteeseen Overview (oletussivu). Kun se on käytössä, Estetty ulkoinen DNS-resoluutio on asetettu Kyllä. |
3 |
Siirry Trust Store & Proxy -sivulle. |
4 |
Napsauta Tarkista välityspalvelinyhteys. Jos näet viestin, jonka mukaan ulkoinen DNS-resoluutio ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen, ja se pysyy tässä tilassa. Muussa tapauksessa, kun olet käynnistänyt solmun uudelleen ja palannut sivulle Overview , Blocked External DNS Resolution (estetty ulkoinen DNS-resoluutio) -asetuksen pitäisi olla ei. |
Mitä tehdä seuraavaksi
Poista solmu
1 |
Kirjaudu tietokoneen VMware vSphere -asiakasohjelmalla ESXi-virtuaali-isäntäkoneeseen ja sammuta virtuaalikone. |
2 |
Poista solmu: |
3 |
Poista VM vSphere-asiakasohjelmassa. (Napsauta hiiren kakkospainikkeella VM:ää vasemmassa navigointipaneelissa ja valitse Poista.) Jos et poista VM:ää, muista poistaa konfigurointi-ISO-tiedosto. Ilman ISO-tiedostoa et voi käyttää VM:ää turvatietojen käyttämiseen. |
Katastrofista palautuminen varalla olevan datakeskuksen avulla
Hybriditietoturvaklusterin tarjoama kriittisin palvelu on avainten luominen ja tallentaminen, joita käytetään viestien ja muun Webex-pilveen tallennetun sisällön salaamiseen. Jokaisen organisaatiossa olevan käyttäjän, joka on määritetty Hybrid Data Security -palveluun, uudet avainten luontipyynnöt ohjataan klusteriin. Klusteri on myös vastuussa luomiensa avainten palauttamisesta kaikille käyttäjille, joilla on oikeus hakea niitä, esimerkiksi keskusteluavaruuden jäsenille.
Koska klusterin kriittisenä tehtävänä on tarjota nämä avaimet, on ehdottoman tärkeää, että klusteri pysyy toiminnassa ja että asianmukaisia varmuuskopioita ylläpidetään. Hybriditietoturvatietokannan tai skeemassa käytetyn konfigurointi-ISO-tietokannan menetys johtaa asiakassisällön KORJAAMATTOMAAN HÄVIÖÖN. Seuraavat käytännöt ovat pakollisia tällaisten menetysten estämiseksi:
Jos katastrofi aiheuttaa sen, että ensisijaisen tietokeskuksen HDS-käyttöönotto ei ole käytettävissä, noudata tätä menettelyä siirtyäksesi manuaalisesti varakeskukseen.
1 |
Käynnistä HDS Setup -työkalu ja noudata kohdassa Create a Configuration ISO for the HDS Hosts mainittuja ohjeita. | ||
2 |
Kun olet määrittänyt Syslogd-palvelimen, napsauta Advanced Settings (Lisäasetukset). | ||
3 |
Lisää Advanced Settings -sivulla alla oleva määritys tai poista
| ||
4 |
Suorita konfigurointiprosessi loppuun ja tallenna ISO-tiedosto paikkaan, josta se on helppo löytää. | ||
5 |
Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmään. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää tietokannan sisällön pääsalausavaimen. Rajoita käyttöoikeus vain niille Hybrid Data Securityn järjestelmänvalvojille, joiden pitäisi tehdä määritysmuutoksia. | ||
6 |
Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia.. | ||
7 |
Napsauta Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.
| ||
8 |
Kytke HDS-solmuun virta ja varmista, ettei hälytyksiä ole kuulunut vähintään 15 minuuttiin. | ||
9 |
Toista prosessi jokaiselle valmiustietokeskuksen solmulle.
|
Mitä tehdä seuraavaksi
(Valinnainen) Irrota ISO-levy HDS-konfiguraation jälkeen
HDS:n vakiokokoonpanossa ISO-levy on asennettuna. Jotkut asiakkaat eivät kuitenkaan halua jättää ISO-tiedostoja jatkuvasti asennettuna. Voit poistaa ISO-tiedoston liittämisen, kun kaikki HDS-solmut ovat ottaneet uuden kokoonpanon käyttöön.
Voit edelleen käyttää ISO-tiedostoja kokoonpanomuutosten tekemiseen. Kun luot uuden ISO-tietolevyn tai päivität ISO-tietolevyn asetustyökalun avulla, päivitetty ISO-tietolevy on asennettava kaikkiin HDS-solmuihin. Kun kaikki solmusi ovat ottaneet kokoonpanomuutokset käyttöön, voit poistaa ISO-levyn kiinnityksen uudelleen tällä tavalla.
Ennen kuin aloitat
Päivitä kaikki HDS-solmut versioon 2021.01.22.4720 tai uudempaan.
1 |
Sammuta yksi HDS-solmuistasi. |
2 |
Valitse vCenter Server Appliance -laitteessa HDS-solmu. |
3 |
Valitse Datastore ISO File. ja poista valinta |
4 |
Kytke HDS-solmuun virta ja varmista, että hälytyksiä ei ole tullut vähintään 20 minuuttiin. |
5 |
Toista tämä vuorotellen jokaiselle HDS-solmulle. |
Näytä hälytykset ja vianmääritys
Hybriditietoturvakäytön katsotaan olevan käyttökelvoton, jos kaikki klusterin solmut eivät ole tavoitettavissa tai klusteri toimii niin hitaasti, että pyynnöt keskeytyvät. Jos käyttäjät eivät pääse Hybrid Data Security -klusteriin, he kokevat seuraavia oireita:
-
Uusia tiloja ei voida luoda (uusia avaimia ei voida luoda).
-
Viestien ja tilojen otsikot eivät onnistu salauksen purkamisessa:
-
Tilaan on lisätty uusia käyttäjiä (ei pysty hakemaan avaimia).
-
Tilan nykyiset käyttäjät käyttävät uutta asiakasta (eivät pysty hakemaan avaimia).
-
-
Tilan nykyiset käyttäjät jatkavat menestyksekkäästi toimintaansa niin kauan kuin heidän asiakkaillaan on salausavainten välimuisti.
On tärkeää, että valvot hybriditietoturvaklusteriasi asianmukaisesti ja käsittelet kaikki hälytykset nopeasti, jotta vältät palvelukatkokset.
Hälytykset
Jos hybriditietoturva-asetuksissa on ongelmia, Control Hub näyttää hälytyksiä organisaation ylläpitäjälle ja lähettää sähköpostiviestejä määritettyyn sähköpostiosoitteeseen. Hälytykset kattavat monia yleisiä skenaarioita.
Hälytys |
Toiminta |
---|---|
Paikallisen tietokannan käyttöhäiriö. |
Tarkista tietokantavirheet tai lähiverkko-ongelmat. |
Paikallisen tietokantayhteyden epäonnistuminen. |
Tarkista, että tietokantapalvelin on käytettävissä ja että solmun määrityksessä käytettiin oikeaa palvelutilin tunnistetietoja. |
Pilvipalvelun käyttöhäiriö. |
Tarkista, että solmut voivat käyttää Webex-palvelimia osoitteessa Ulkoiset yhteysvaatimukset määritellyllä tavalla. |
Pilvipalvelun rekisteröinnin uusiminen. |
Pilvipalveluihin rekisteröityminen lopetettiin. Rekisteröinnin uusiminen on käynnissä. |
Pilvipalvelun rekisteröinti lopetettu. |
Rekisteröinti pilvipalveluihin lopetettu. Palvelu suljetaan. |
Palvelua ei ole vielä aktivoitu. |
Aktivoi kokeilu tai siirrä kokeilu tuotantoon. |
Määritetty verkkotunnus ei vastaa palvelimen varmennetta. |
Varmista, että palvelimen varmenne vastaa määritettyä palvelun aktivointialuetta. Todennäköisin syy on se, että varmenteen CN-nimike on äskettäin vaihdettu ja se on nyt eri kuin alkuperäisen asennuksen aikana käytetty CN-nimike. |
Pilvipalveluiden todennus epäonnistui. |
Tarkista palvelutilin tunnusten oikeellisuus ja mahdollinen vanhentuminen. |
Paikallista avainsäilytystiedostoa ei onnistuttu avaamaan. |
Tarkista paikallisen avainsäilytystiedoston eheys ja salasanan oikeellisuus. |
Paikallisen palvelimen varmenne on virheellinen. |
Tarkista palvelimen varmenteen voimassaoloaika ja varmista, että sen on myöntänyt luotettava varmentaja. |
Ei pysty lähettämään mittareita. |
Tarkista paikallisverkon pääsy ulkoisiin pilvipalveluihin. |
/media/configdrive/hds-hakemistoa ei ole olemassa. |
Tarkista virtuaalisen isäntäkoneen ISO-kiinnityskonfiguraatio. Tarkista, että ISO-tiedosto on olemassa, että se on määritetty liitettäväksi uudelleenkäynnistyksen yhteydessä ja että se liitetään onnistuneesti. |
Vianmääritys hybridi tietoturva
1 |
Tarkista Control Hubista mahdolliset hälytykset ja korjaa kaikki sieltä löytyvät kohteet. |
2 |
Tarkista syslog-palvelimen tulosteet Hybrid Data Security -käyttöönoton toiminnan osalta. |
3 |
Ota yhteyttä Ciscon tukeen. |
Hybriditietoturvan tunnetut ongelmat
-
Jos sammutat Hybrid Data Security -klusterin (poistamalla sen Control Hubista tai sammuttamalla kaikki solmut), menetät määritys-ISO-tiedoston tai menetät pääsyn avainsäilytystietokantaan, Webex App -käyttäjät eivät voi enää käyttää henkilöluettelossaan olevia tiloja, jotka on luotu KMS-avaimilla. Tämä koskee sekä kokeilu- että tuotantokäyttöä. Meillä ei ole tällä hetkellä ratkaisua tai korjausta tähän ongelmaan, ja kehotamme sinua olemaan sammuttamatta HDS-palveluja, kun ne käsittelevät aktiivisia käyttäjätilejä.
-
Asiakas, jolla on olemassa oleva ECDH-yhteys KMS-järjestelmään, säilyttää yhteyden tietyn ajan (todennäköisesti tunnin). Kun käyttäjästä tulee hybriditietoturvakokeilun jäsen, käyttäjän asiakas jatkaa olemassa olevan ECDH-yhteyden käyttöä, kunnes sen kesto päättyy. Vaihtoehtoisesti käyttäjä voi kirjautua ulos ja palata Webex App -sovellukseen päivittääkseen sijainnin, johon sovellus ottaa yhteyttä salausavaimia varten.
Sama tapahtuu, kun siirrät kokeilun organisaation tuotantoon. Kaikki muut kuin koekäyttäjät, joilla on olemassa olevat ECDH-yhteydet aiempiin tietoturvapalveluihin, käyttävät näitä palveluja edelleen, kunnes ECDH-yhteys neuvotellaan uudelleen (aikakatkaisun kautta tai kirjautumalla ulos ja uudelleen sisään).
Käytä OpenSSL:ää PKCS12-tiedoston luomiseen
Ennen kuin aloitat
-
OpenSSL on yksi työkalu, jota voidaan käyttää PKCS12-tiedoston saattamiseen oikeaan muotoon HDS-asennustyökalun lataamista varten. On muitakin tapoja tehdä tämä, emmekä me tue tai suosittele yhtä tapaa toisen sijaan.
-
Jos päätät käyttää OpenSSL:ää, annamme tämän ohjeen, jonka avulla voit luoda tiedoston, joka täyttää X.509-varmenteen vaatimukset osoitteessa X.509 Certificate Requirements. Ymmärrä nämä vaatimukset ennen kuin jatkat.
-
Asenna OpenSSL tuettuun ympäristöön. Katso ohjelmisto ja dokumentaatio osoitteesta https://www.openssl.org .
-
Luo yksityinen avain.
-
Aloita tämä toimenpide, kun saat palvelinvarmenteen varmentajalta.
1 |
Kun saat palvelinvarmenteen varmentajalta, tallenna se osoitteeseen |
2 |
Näytä varmenne tekstinä ja tarkista tiedot.
|
3 |
Luo tekstieditorilla varmennepakettitiedosto nimeltä
|
4 |
Luo .p12-tiedosto, jonka nimi on
|
5 |
Tarkista palvelimen varmenteen tiedot. |
Mitä tehdä seuraavaksi
Palaa osoitteeseen Suorita Hybriditietoturvan edellytykset. Käytät hdsnode.p12
-tiedostoa ja sille asettamaasi salasanaa kohdassa Luo konfigurointi-ISO HDS-isäntäasemille.
Voit käyttää näitä tiedostoja uudelleen uuden varmenteen pyytämiseen, kun alkuperäinen varmenne vanhenee. |
HDS-solmujen ja pilvipalvelun välinen liikenne
Lähtevien mittareiden keräysliikenne
Hybriditietoturvasolmut lähettävät tiettyjä mittareita Webex-pilveen. Näihin kuuluvat järjestelmän metriikat, jotka koskevat kasan enimmäismäärää, käytettyä kasaa, suorittimen kuormitusta ja säikeiden lukumäärää, synkronisten ja asynkronisten säikeiden metriikat, salausyhteyksien kynnysarvoa, viiveaikaa tai pyyntöjonon pituutta koskevien hälytysten metriikat, tietovaraston metriikat ja salausyhteyksien metriikat. Solmut lähettävät salatun avainmateriaalin kaistan ulkopuolisen (pyynnöstä erillisen) kanavan kautta.
Saapuva liikenne
Hybriditietoturvasolmut vastaanottavat Webex-pilvestä seuraavanlaista saapuvaa liikennettä:
-
Asiakkaiden salauspyynnöt, jotka salauspalvelu ohjaa eteenpäin.
-
Solmuohjelmiston päivitykset
Määritä Squid-välityspalvelimet hybridi-dataturvallisuutta varten
Websocket ei voi muodostaa yhteyttä Squid-proxyn kautta
HTTPS-liikennettä tarkastavat Squid-välityspalvelimet voivat häiritä Hybrid Data Securityn edellyttämien websocket-yhteyksien (wss:
) muodostamista. Näissä osioissa annetaan ohjeita siitä, miten Squidin eri versiot voidaan konfiguroida sivuuttamaan wss:
liikenne palvelujen moitteettoman toiminnan varmistamiseksi.
Kalmarit 4 ja 5
Lisää on_unsupported_protocol
-direktiivi osoitteeseen squid.conf
:
on_unsupported_protocol tunneli kaikki
Squid 3.5.27
Testasimme onnistuneesti Hybrid Data Securitya seuraavien sääntöjen avulla, jotka lisättiin osoitteeseen squid.conf
. Nämä säännöt voivat muuttua, kun kehitämme ominaisuuksia ja päivitämme Webex-pilveä.
acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all
Uudet ja muuttuneet tiedot
Päiväys | Tehdyt muutokset | ||
---|---|---|---|
lokakuu 20, 2023 |
| ||
Elokuu 07, 2023 |
| ||
touko 23, 2023 |
| ||
Joulukuu 06, 2022 |
| ||
marraskuu 23, 2022 |
| ||
lokakuu 13, 2021 | Docker Desktopin on suoritettava asennusohjelma, ennen kuin voit asentaa HDS-solmuja. Katso Dockerin työpöytävaatimukset. | ||
kesäkuu 24, 2021 | Huomaa, että voit käyttää yksityistä avaintiedostoa ja CSR: ää uudelleen toisen varmenteen pyytämiseen. Katso lisätietoja kohdasta OpenSSL:n käyttäminen PKCS12-tiedoston luomiseen. | ||
huhtikuu 30, 2021 | Paikallisen kiintolevytilan virtuaalikonevaatimus muutettiin 30 gigatavuun. Katso lisätietoja virtuaalisen isännän vaatimuksista . | ||
helmikuu 24, 2021 | HDS Setup Tool voidaan nyt suorittaa välityspalvelimen takana. Katso lisätietoja kohdasta Määritä ISO HDS-isännille . | ||
helmikuu 2, 2021 | HDS voi nyt toimia ilman asennettua ISO-tiedostoa. Katso lisätietoja kohdasta (Valinnainen) Poista ISO HDS-määrityksen jälkeen. | ||
tammikuu 11, 2021 | Lisätty tietoja HDS-asetustyökalusta ja välityspalvelimista, joiden avulla voit luoda määrityksen ISO:n HDS-isännille. | ||
lokakuu 13, 2020 | Päivitetyt latausasennustiedostot. | ||
lokakuu 8, 2020 | Päivitetty Luo määritys-ISO HDS-isännille ja muuta solmun määritystä FedRAMP-ympäristöjen komennoilla. | ||
Elokuu 14, 2020 | Päivitetty Luo määritys-ISO HDS-isännille ja muuta solmun määritystä kirjautumisprosessin muutoksilla. | ||
Elokuu 5, 2020 | Päivitetty Testaa hybriditietoturvan käyttöönotto lokiviesteissä tapahtuvien muutosten varalta. Päivitetyt virtuaalisen isännän vaatimukset isäntien enimmäismäärän poistamiseksi. | ||
kesäkuu 16, 2020 | Päivitetty Poista solmu ohjauskeskuksen käyttöliittymän muutosten vuoksi. | ||
kesäkuu 4, 2020 | Päivitetty Luo määrityksen ISO HDS-isännille mahdollisesti määrittämiesi lisäasetusten muutoksia varten. | ||
Voi 29, 2020 | Päivitetty Luo määrityksen ISO HDS-isännille osoittamaan, että voit käyttää TLS:ää myös SQL Server -tietokantojen, käyttöliittymämuutosten ja muiden selvennysten kanssa. | ||
Voi 5, 2020 | Päivitetyt virtuaalisen isännän vaatimukset ESXi 6.5: n uuden vaatimuksen näyttämiseksi. | ||
huhtikuu 21, 2020 | Päivitetyt ulkoisten yhteyksien vaatimukset uusien Americas CI -isäntien kanssa. | ||
huhtikuu 1, 2020 | Päivitetyt ulkoisten yhteyksien vaatimukset , jotka sisältävät tietoja alueellisista CI-isännistä. | ||
helmikuu 20, 2020 | Päivitetty Luo määritys-ISO HDS-isännille tiedoilla HDS-asennustyökalun uudesta valinnaisesta Lisäasetukset-näytöstä. | ||
helmikuu 4, 2020 | Päivitetyt välityspalvelinvaatimukset. | ||
joulukuu 16, 2019 | Selvennetty vaatimusta, jonka mukaan estetyn ulkoisen DNS-selvitystilan on toimittava välityspalvelimen vaatimuksissa . | ||
marraskuu 19, 2019 | Lisätty tietoja estetystä ulkoisesta DNS-selvitystilasta seuraaviin osioihin: | ||
marraskuu 8, 2019 | Voit nyt määrittää solmun verkkoasetukset OVA:n käyttöönoton aikana eikä jälkikäteen. Seuraavat osiot päivitettiin vastaavasti:
| ||
syyskuu 6, 2019 | Lisätty SQL Server Standard tietokantapalvelinvaatimuksiin . | ||
elokuu 29, 2019 | Lisätty Määritä kalmarien välityspalvelimet hybriditietoturvaa varten -liite, jossa on ohjeita Kalmari-välityspalvelinten määrittämiseen ohittamaan verkkopistokeliikenne asianmukaisen toiminnan varmistamiseksi. | ||
elokuu 20, 2019 | Lisätty ja päivitetty osioita, jotka kattavat välityspalvelimen tuen hybriditietoturvasolmujen viestinnälle Webex-pilveen. Jos haluat käyttää vain aiemmin luodun käyttöönoton välityspalvelimen tukisisältöä, tutustu Välityspalvelimen tuki hybriditietoturvaan ja Webex Video Mesh -ohjeartikkeliin. | ||
kesäkuu 13, 2019 | Päivitetty kokeiluversiosta tuotantoon -tehtävänkulku ja muistutus synkronoida HdsTrialGroup Ryhmittele objekti ennen kokeiluversion aloittamista, jos organisaatiosi käyttää hakemistosynkronointia. | ||
maaliskuu 6, 2019 |
| ||
helmikuu 28, 2019 |
| ||
helmikuu 26, 2019 |
| ||
tammikuu 24, 2019 |
| ||
marraskuu 5, 2018 |
| ||
lokakuu 19, 2018 |
| ||
heinäkuu 31, 2018 |
| ||
21. toukokuuta 2018 | Terminologiaa muutettu vastaamaan Cisco Sparkin uudelleenbrändäystä:
| ||
huhtikuu 11, 2018 |
| ||
helmikuu 22, 2018 |
| ||
helmikuu 15, 2018 |
| ||
tammikuu 18, 2018 |
| ||
marraskuu 2, 2017 |
| ||
elokuu 18, 2017 | Ensimmäinen julkaisu |
Hybriditietoturvan yleiskatsaus
Ensimmäisestä päivästä lähtien tietoturva on ollut ensisijainen painopiste Webex-sovelluksen suunnittelussa. Tämän suojauksen kulmakivi on päästä päähän -sisällön salaus, jonka mahdollistavat Webex App -asiakkaat, jotka ovat vuorovaikutuksessa avaintenhallintapalvelun (KMS) kanssa. KMS on vastuussa salausavainten luomisesta ja hallinnasta, joita asiakkaat käyttävät viestien ja tiedostojen dynaamiseen salaamiseen ja salauksen purkamiseen.
Oletuksena kaikki Webex App -asiakkaat saavat päästä päähän -salauksen dynaamisilla avaimilla, jotka on tallennettu KMS-pilveen Ciscon tietoturva-alueella. Hybrid Data Security siirtää KMS:n ja muut tietoturvaan liittyvät toiminnot yrityksesi datakeskukseen, joten kenelläkään muulla kuin sinulla ei ole salatun sisällön avaimia.
Security Realm -arkkitehtuuri
Webex-pilviarkkitehtuuri erottaa erityyppiset palvelut erillisiin maailmoihin tai luottamusalueisiin, kuten alla on kuvattu.
Hybriditietoturvan ymmärtämiseksi tarkastellaan ensin tätä puhdasta pilvitapausta, jossa Cisco tarjoaa kaikki toiminnot pilvialueillaan. Identiteettipalvelu, ainoa paikka, jossa käyttäjät voidaan yhdistää suoraan henkilökohtaisiin tietoihinsa, kuten sähköpostiosoitteeseensa, on loogisesti ja fyysisesti erillään palvelinkeskuksen B turvallisuusalueesta. Molemmat ovat puolestaan erillään alueesta, johon salattu sisältö lopulta tallennetaan, datakeskuksessa C.
Tässä kaaviossa asiakas on Webex-sovellus, joka toimii käyttäjän kannettavassa tietokoneessa ja joka on todennettu identiteettipalvelun kanssa. Kun käyttäjä kirjoittaa tilaan lähetettävän viestin, seuraavat vaiheet suoritetaan:
Asiakas muodostaa suojatun yhteyden avaintenhallintapalveluun (KMS) ja pyytää sitten avainta viestin salaamiseksi. Suojattu yhteys käyttää ECDH: tä, ja KMS salaa avaimen AES-256-pääavaimella.
Viesti salataan ennen kuin se lähtee asiakkaasta. Asiakas lähettää sen indeksointipalveluun, joka luo salattuja hakuindeksejä sisällön tulevien hakujen helpottamiseksi.
Salattu viesti lähetetään vaatimustenmukaisuuspalveluun vaatimustenmukaisuuden tarkistamista varten.
Salattu viesti tallennetaan tallennusalueelle.
Kun otat yhdistelmäsuojauksen käyttöön, siirrät suojausalueen toiminnot (KMS, indeksointi ja vaatimustenmukaisuus) paikalliseen palvelinkeskukseen. Muut Webexin muodostavat pilvipalvelut (mukaan lukien identiteetin ja sisällön tallennus) pysyvät Ciscon alueilla.
Yhteistyö muiden organisaatioiden kanssa
Organisaatiosi käyttäjät voivat säännöllisesti käyttää Webex-sovellusta yhteistyöhön muiden organisaatioiden ulkoisten osallistujien kanssa. Kun joku käyttäjistä pyytää avainta organisaatiosi omistamaan tilaan (koska sen on luonut joku käyttäjistäsi), KMS lähettää avaimen asiakkaalle ECDH-suojatun kanavan kautta. Kun toinen organisaatio kuitenkin omistaa tilan avaimen, KMS reitittää pyynnön Webex-pilveen erillisen ECDH-kanavan kautta avaimen saamiseksi asianmukaiselta KMS:ltä ja palauttaa avaimen sitten alkuperäisen kanavan käyttäjälle.
Organisaatiossa A suoritettava KMS-palvelu vahvistaa yhteydet muiden organisaatioiden KMS-järjestelmiin x.509 PKI-varmenteiden avulla. Katso kohdasta Ympäristön valmisteleminen lisätietoja x.509-varmenteen luomisesta käytettäväksi hybriditietoturvan käyttöönotossa.
Hybriditietoturvan käyttöönoton odotukset
Hybrid Data Securityn käyttöönotto edellyttää asiakkaiden merkittävää sitoutumista ja tietoisuutta salausavainten omistamiseen liittyvistä riskeistä.
Jotta voit ottaa yhdistelmätietoturvan käyttöön, sinun on annettava seuraavat tiedot:
Turvallinen palvelinkeskus maassa, joka on Cisco Webex Teams -palvelupakettientuettu sijainti.
Laitteet, ohjelmistot ja verkkoyhteys, jotka on kuvattu kohdassa Ympäristösivalmisteleminen.
Yhdistelmätietoturvaa varten luomasi ISO-konfiguraation tai toimittamasi tietokannan täydellinen menettäminen johtaa avainten menettämiseen. Avaimen menetys estää käyttäjiä purkamasta avaruussisällön ja muiden salattujen tietojen salausta Webex-sovelluksessa. Jos näin tapahtuu, voit luoda uuden käyttöönoton, mutta vain uusi sisältö on näkyvissä. Jotta et menettäisi pääsyä tietoihin, sinun on:
Hallitse tietokannan ja määrityksen ISO: n varmuuskopiointia ja palautusta.
Valmistaudu suorittamaan nopea katastrofipalautus, jos tapahtuu katastrofi, kuten tietokantalevyvika tai datakeskuksen katastrofi.
Ei ole mekanismia, jolla avaimet voidaan siirtää takaisin pilveen HDS-käyttöönoton jälkeen. |
Korkean tason asennusprosessi
Tässä asiakirjassa käsitellään hybriditietoturvan käyttöönoton määrittämistä ja hallintaa:
Määritä hybriditietoturva– Tähän sisältyy tarvittavan infrastruktuurin valmistelu ja hybriditietoturvaohjelmiston asentaminen, käyttöönoton testaaminen osalla käyttäjistä kokeilutilassa ja siirtyminen tuotantoon, kun testaus on valmis. Tämä muuntaa koko organisaation käyttämään hybriditietoturvaklusteria suojaustoimintoihin.
Asennus-, kokeilu- ja tuotantovaiheita käsitellään yksityiskohtaisesti seuraavissa kolmessa luvussa.
Ylläpidä hybriditietoturvankäyttöönottoa – Webex-pilvi tarjoaa automaattisesti jatkuvia päivityksiä. IT-osastosi voi tarjota ensimmäisen tason tukea tähän käyttöönottoon ja käyttää Ciscon tukea tarvittaessa. Voit käyttää näytön ilmoituksia ja määrittää sähköpostipohjaisia hälytyksiä Ohjauskeskuksessa.
Tietoja yleisistä hälytyksistä, vianmääritysvaiheista ja tunnetuista ongelmista– Jos kohtaat ongelmia yhdistelmätietoturvan käyttöönotossa tai käytössä, tämän oppaan viimeinen luku ja Tunnetut ongelmat -liite voivat auttaa sinua määrittämään ja korjaamaan ongelman.
Hybridi tietoturvan käyttöönottomalli
Yrityksen datakeskuksessa hybriditietoturva otetaan käyttöön yhtenä solmuklusterina erillisissä virtuaali-isännissä. Solmut kommunikoivat Webex-pilven kanssa suojattujen verkkopistokkeiden ja suojatun HTTP: n kautta.
Asennuksen aikana toimitamme sinulle OVA-tiedoston, jonka avulla voit määrittää virtuaalilaitteen toimittamiisi virtuaalikoneisiin. HDS Setup Tool -työkalun avulla voit luoda mukautetun klusterimäärityksen ISO-tiedoston, jonka liität kuhunkin solmuun. Hybrid Data Security -klusteri käyttää antamaasi Syslogd-palvelinta ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. (Voit määrittää Syslogd- ja tietokantayhteyden tiedot HDS Setup Tool -työkalussa.)
Klusterissa voi olla vähintään kaksi solmua. Suosittelemme vähintään kolmea, ja sinulla voi olla enintään viisi. Useat solmut varmistavat, että palvelu ei keskeydy solmun ohjelmistopäivityksen tai muun ylläpitotoiminnan aikana. (Webex-pilvi päivittää vain yhden solmun kerrallaan.)
Kaikki klusterin solmut käyttävät samaa avaintietosäilöä ja kirjaavat toimintaa samaan järjestelmälokipalvelimeen. Solmut itse ovat tilattomia ja käsittelevät avainpyyntöjä round-robin-tyyliin pilven ohjeiden mukaisesti.
Solmut aktivoituvat, kun rekisteröit ne Ohjauskeskuksessa. Jos haluat poistaa yksittäisen solmun käytöstä, voit poistaa sen rekisteröinnin ja rekisteröidä sen myöhemmin tarvittaessa uudelleen.
Tuemme vain yhtä klusteria organisaatiota kohden.
Hybridi tietoturvan kokeilutila
Kun olet määrittänyt yhdistelmätietoturvakäyttöönoton, kokeilet sitä ensin pilottikäyttäjien kanssa. Kokeilujakson aikana nämä käyttäjät käyttävät paikallista hybriditietoturvatoimialuetta salausavaimiin ja muihin suojausalueen palveluihin. Muut käyttäjät jatkavat pilven tietoturva-alueen käyttöä.
Jos päätät olla jatkamatta käyttöönottoa kokeilujakson aikana ja poistaa palvelun käytöstä, pilottikäyttäjät ja käyttäjät, joiden kanssa he ovat olleet vuorovaikutuksessa luomalla uusia tiloja kokeilujakson aikana, menettävät pääsyn viesteihin ja sisältöön. He näkevät "Tätä viestiä ei voi purkaa" Webex-sovelluksessa.
Jos olet vakuuttunut siitä, että käyttöönotto toimii hyvin kokeilukäyttäjille, ja olet valmis laajentamaan yhdistelmätietoturvan koskemaan kaikkia käyttäjiä, siirrä käyttöönotto tuotantoon. Pilottikäyttäjillä on edelleen käytössään kokeilujakson aikana käytössä olleet avaimet. Et kuitenkaan voi siirtyä tuotantotilan ja alkuperäisen kokeiluversion välillä. Jos sinun on poistettava palvelun aktivointi esimerkiksi järjestelmäpalautuksen suorittamiseksi, sinun on uudelleenaktivoinnin yhteydessä aloitettava uusi kokeiluversio ja määritettävä uuden kokeiluversion pilottikäyttäjäjoukko, ennen kuin siirryt takaisin tuotantotilaan. Se, säilyttävätkö käyttäjät tietojen käyttöoikeuden tässä vaiheessa, riippuu siitä, oletko onnistuneesti ylläpitänyt klusterin Hybrid Data Security -solmujen tärkeimpien tietosäilöjen ja ISO-määritystiedoston varmuuskopioita.
Valmiustilan tietokeskus järjestelmäpalautusta varten
Käyttöönoton aikana määrität suojatun valmiustilassa olevan palvelinkeskuksen. Tietokeskuksen katastrofin sattuessa voit epäonnistua manuaalisesti valmiustilassa olevaan palvelinkeskukseen siirtymisessä.
Aktiivisten ja valmiustilassa olevien palvelinkeskusten tietokannat ovat synkronoituja keskenään, mikä minimoi vikasietoisuuden suorittamiseen kuluvan ajan. Valmiustilan palvelinkeskuksen ISO-tiedosto päivitetään lisämäärityksillä, jotka varmistavat, että solmut on rekisteröity organisaatioon, mutta ne eivät käsittele liikennettä. Näin ollen valmiustilassa olevan datakeskuksen solmut pysyvät aina ajan tasalla HDS-ohjelmiston uusimmalla versiolla.
Aktiivisten hybriditietoturvasolmujen on aina oltava samassa palvelinkeskuksessa kuin aktiivinen tietokantapalvelin. |
Valmiustilan datakeskuksen määrittäminen järjestelmäpalautusta varten
Määritä valmiustilan palvelinkeskuksen ISO-tiedosto seuraavasti:
Ennen kuin aloitat
Valmiustilassa olevan datakeskuksen tulisi peilata virtuaalikoneiden tuotantoympäristöä ja PostgreSQL- tai Microsoft SQL Server -varmuuskopiotietokantaa. Jos tuotannossa on esimerkiksi 3 virtuaalikonetta, joissa on HDS-solmuja, varmuuskopiointiympäristössä tulisi olla 3 virtuaalikonetta. (Katso yleiskatsaus tästä vikasietomallista kohdasta Standby Data Center for Disaster Recovery .)
Varmista, että tietokannan synkronointi on käytössä aktiivisten ja passiivisten klusterisolmujen tietokannan välillä.
1 | Käynnistä HDS Setup -työkalu ja noudata kohdassa Määrityksen ISO:n luominen HDS-isännillemainittuja vaiheita.
| ||
2 | Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset | ||
3 | Lisää Lisäasetukset-sivulla alla oleva määritys solmun asettamiseksi passiiviseen tilaan. Tässä tilassa solmu rekisteröidään organisaatioon ja yhdistetään pilveen, mutta se ei käsittele liikennettä.
| ||
4 | Suorita määritysprosessi loppuun ja tallenna ISO-tiedosto helposti löydettävään sijaintiin. | ||
5 | Tee varmuuskopio ISO-tiedostosta paikalliseen järjestelmään. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää tietokannan sisällön pääsalausavaimen. Rajoita käyttöoikeudet vain niille yhdistelmätietoturvan järjestelmänvalvojille, joiden pitäisi tehdä muutoksia määrityksiin. | ||
6 | Napsauta VMware vSphere -asiakkaan vasemmassa siirtymisruudussa hiiren kakkospainikkeella virtuaalikonetta ja valitse Muokkaa asetuksia. | ||
7 | Napsauta Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO-tiedosto.
| ||
8 | Käynnistä HDS-solmu ja varmista, ettei hälytyksiä ole vähintään 15 minuuttiin. | ||
9 | Toista prosessi jokaiselle valmiustilassa olevan palvelinkeskuksen solmulle.
|
Mitä tehdä seuraavaksi
Määrityksen jälkeen passiveMode
ISO-tiedostossa ja tallentamalla sen, voit luoda toisen kopion ISO-tiedostosta ilman passiveMode
määritys ja tallenna se turvalliseen paikkaan. Tämä ISO-tiedoston kopio ilman passiveMode
Konfiguroitu voi auttaa nopeassa vikasietoprosessissa katastrofipalautuksen aikana. Katso yksityiskohtaiset vikasietotoimenpiteet kohdasta Disaster Recovery using Standby Data Center .
Välityspalvelimen tuki
Hybriditietoturva tukee eksplisiittisiä, läpinäkyviä ja ei-tarkastavia välityspalvelimia. Voit sitoa nämä välityspalvelimet käyttöönottoosi, jotta voit suojata ja valvoa liikennettä yrityksestä pilveen. Voit käyttää solmujen ympäristön järjestelmänvalvojan käyttöliittymää varmenteiden hallintaan ja yhteyden yleisen tilan tarkistamiseen sen jälkeen, kun olet määrittänyt solmujen välityspalvelimen.
Hybrid Data Security -solmut tukevat seuraavia välityspalvelinvaihtoehtoja:
Ei välityspalvelinta – Oletusasetus, jos et integroi välityspalvelintaHDS-solmun määritysten Luottamussäilö & Välityspalvelin -määrityksen avulla. Varmenteen päivitystä ei tarvita.
Läpinäkyvä ei-tarkastava välityspalvelin– Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen ei-tarkastavan välityspalvelimen kanssa. Varmenteen päivitystä ei tarvita.
Läpinäkyvä tunnelointi tai välityspalvelimentarkastaminen – Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. HTTP- tai HTTPS-määrityksiä ei tarvitse muuttaa solmuissa. Solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne luottavat välityspalvelimeen. IT-osasto käyttää yleensä välityspalvelinten tarkastamista valvoakseen käytäntöjä, joilla verkkosivustoilla voi vierailla ja minkä tyyppistä sisältöä ei sallita. Tämän tyyppinen välityspalvelin purkaa kaiken liikenteen (jopa HTTPS) salauksen.
Eksplisiittinen välityspalvelin– Kun käytät eksplisiittistä välityspalvelinta, kerrot HDS-solmuille, mitä välityspalvelinta ja todennusmallia tulee käyttää. Jos haluat määrittää eksplisiittisen välityspalvelimen, sinun on annettava seuraavat tiedot jokaisesta solmusta:
Välityspalvelimen IP/FQDN– Osoite, jonka avulla välityspalvelinlaitteeseen voidaan muodostaa yhteys.
Välityspalvelimen portti– Portin numero, jota välityspalvelin käyttää välityspalvelimen liikenteen kuuntelemiseen.
Välityspalvelinprotokolla– Valitse seuraavista protokollista sen mukaan, mitä välityspalvelin tukee:
HTTP – Tarkastelee ja hallitsee kaikkia asiakkaan lähettämiä pyyntöjä.
HTTPS — Tarjoaa kanavan palvelimelle. Asiakas vastaanottaa ja vahvistaa palvelimen varmenteen.
Todennustyyppi– Valitse jokin seuraavista todennustyypeistä:
Ei mitään– Lisätodennusta ei tarvita.
Käytettävissä, jos valitset välityspalvelinprotokollaksi joko HTTP:n tai HTTPS:n.
Perus– HTTP-käyttäjäagentti antaa käyttäjänimen ja salasanan pyyntöä tehtäessä. Käyttää Base64-koodausta.
Käytettävissä, jos valitset välityspalvelinprotokollaksi joko HTTP:n tai HTTPS:n.
Edellyttää, että annat käyttäjänimen ja salasanan jokaiseen solmuun.
Kooste– Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Käyttää hajautusfunktiota käyttäjänimeen ja salasanaan ennen lähettämistä verkon kautta.
Käytettävissä vain, jos valitset HTTPS:n välityspalvelinprotokollaksi.
Edellyttää, että annat käyttäjänimen ja salasanan jokaiseen solmuun.
Esimerkki hybriditietoturvasolmuista ja välityspalvelimista
Tässä kaaviossa on esimerkkiyhteys hybriditietoturvan, verkon ja välityspalvelimen välillä. Läpinäkyvää tarkastusta ja HTTPS:n eksplisiittistä välityspalvelinta varten sama juurivarmenne on asennettava välityspalvelimeen ja hybriditietoturvasolmuihin.
Estetty ulkoinen DNS-selvitystila (eksplisiittiset välityspalvelinmääritykset)
Kun rekisteröit solmun tai tarkistat solmun välityspalvelimen määritykset, prosessi testaa DNS-haun ja yhteyden Cisco Webex -pilveen. Jos solmu ei voi tehdä kyselyjä DNS-palvelimille käyttöönotoissa, joissa on eksplisiittisiä välityspalvelinmäärityksiä, jotka eivät salli ulkoista DNS-selvitystä sisäisille asiakkaille, se siirtyy automaattisesti estettyyn ulkoiseen DNS-selvitystilaan. Tässä tilassa solmun rekisteröinti ja muut välityspalvelimen yhteystestit voivat jatkua.
Hybriditietoturvaa koskevat vaatimukset
Cisco Webex -lisenssivaatimukset
Hybriditietoturvan käyttöönotto:
Sinulla on oltava Pro Pack Cisco Webex Control Hubia varten. (Katso https://www.cisco.com/go/pro-pack.)
Docker-työpöydän vaatimukset
Ennen kuin asennat HDS-solmut, tarvitset Docker Desktopin asennusohjelman suorittamiseen. Docker päivitti äskettäin lisenssimallinsa. Organisaatiosi saattaa edellyttää maksullista Docker Desktop -tilausta. Lisätietoja on Docker-blogikirjoituksessa " Docker päivittää ja laajentaa tuotetilauksiamme".
X.509 Sertifikaatin vaatimukset
Varmenneketjun on täytettävä seuraavat vaatimukset:
Vaatimus | Tiedot |
---|---|
| Oletuksena luotamme Mozilla-luettelossa oleviin varmentajiin (lukuun ottamatta WoSignia ja StartComia) osoitteessa https://wiki.mozilla.org/CA:IncludedCAs. |
| CN: n ei tarvitse olla tavoitettavissa tai live-isäntä. Suosittelemme, että käytät nimeä, joka kuvastaa organisaatiotasi, esimerkiksi CN:ssä ei saa olla merkkiä * (jokerimerkki). CN: tä käytetään hybriditietoturvasolmujen tarkistamiseen Webex App -asiakkaille. Kaikki klusterisi hybriditietoturvasolmut käyttävät samaa varmennetta. KMS tunnistaa itsensä käyttämällä CN-toimialuetta, ei mitään x.509v3 SAN -kentissä määritettyä toimialuetta. Kun olet rekisteröinyt solmun tällä varmenteella, emme tue CN-verkkotunnuksen muuttamista. Valitse toimialue, jota voidaan käyttää sekä kokeilu- että tuotantokäyttöönotoissa. |
| KMS-ohjelmisto ei tue SHA1-allekirjoituksia muiden organisaatioiden KMS-yhteyksien tarkistamiseen. |
| Voit muuttaa varmenteen muotoa muuntimella, kuten OpenSSL:llä. Sinun on annettava salasana, kun suoritat HDS Setup Tool -työkalun. |
KMS-ohjelmisto ei pakota avainten käyttöä tai laajennettuja avaimen käyttörajoituksia. Jotkin varmenteiden myöntäjät edellyttävät, että kuhunkin varmenteeseen, kuten palvelintodennukseen, sovelletaan laajennettujen avainten käyttörajoituksia. Voit käyttää palvelimen todennusta tai muita asetuksia.
Virtuaalisen isännän vaatimukset
Virtuaalisilla isännillä, jotka määrität klusterisi hybriditietoturvasolmuiksi, on seuraavat vaatimukset:
Vähintään kaksi erillistä isäntää (suositus 3) samassa suojatussa datakeskuksessa
VMware ESXi 6.5 (tai uudempi) asennettuna ja käynnissä.
Sinun on päivitettävä, jos sinulla on ESXi:n aiempi versio.
Vähintään 4 vCPU:ta, 8 Gt päämuistia, 30 Gt paikallista kiintolevytilaa palvelinta kohden
Tietokantapalvelimen vaatimukset
Luo uusi tietokanta avainten tallennusta varten. Älä käytä oletustietokantaa. Kun HDS-sovellukset on asennettu, ne luovat tietokantakaavion. |
Tietokantapalvelimelle on kaksi vaihtoehtoa. Kunkin vaatimukset ovat seuraavat:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Vähintään 8 vCPU: ta, 16 Gt: n päämuisti, riittävä kiintolevytila ja valvonta sen varmistamiseksi, että sitä ei ylitetä (2 Tt suositellaan, jos haluat käyttää tietokantaa pitkään tarvitsematta lisätä tallennustilaa) | Vähintään 8 vCPU: ta, 16 Gt: n päämuisti, riittävä kiintolevytila ja valvonta sen varmistamiseksi, että sitä ei ylitetä (2 Tt suositellaan, jos haluat käyttää tietokantaa pitkään tarvitsematta lisätä tallennustilaa) |
HDS-ohjelmisto asentaa tällä hetkellä seuraavat ohjainversiot tietokantapalvelimen kanssa tapahtuvaa tiedonsiirtoa varten:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC kuljettaja 42.2.5 | SQL Server JDBC -ohjain 4.6 Tämä ohjainversio tukee SQL Server Always On ( Always On Failover Cluster Instances ja Always On availability groups). |
Lisävaatimukset Microsoft SQL Serverin suorittamalle Windows-todennukselle
Jos haluat, että HDS-solmut käyttävät Windows-todennusta päästäkseen Microsoft SQL Serverin avainsäilötietokantaan, tarvitset ympäristössäsi seuraavat määritykset:
HDS-solmut, Active Directory -infrastruktuuri ja MS SQL Server on synkronoitava NTP: n kanssa.
HDS-solmuille antamallasi Windows-tilillä on oltava tietokannan luku- ja kirjoitusoikeudet.
HDS-solmuille tarjoamiesi DNS-palvelimien on kyettävä ratkaisemaan avainten jakelukeskus (KDC).
Voit rekisteröidä HDS-tietokantaesiintymän Microsoft SQL Serverissä palvelun päänimenä (SPN) Active Directoryssa. Katso Palvelun päänimen rekisteröiminen Kerberos-yhteyksille.
HDS-asennustyökalun, HDS-käynnistysohjelman ja paikallisen KMS:n on käytettävä Windows-todennusta avainsäilötietokannan käyttämiseen. He käyttävät ISO-määrityksesi tietoja palvelun päänimen muodostamiseen pyytäessään käyttöoikeutta Kerberos-todennuksella.
Ulkoisia yhteyksiä koskevat vaatimukset
Määritä palomuuri sallimaan seuraavat yhteydet HDS-sovelluksille:
Sovellus | Protokolla | Satama | Suunta sovelluksesta | Kohde |
---|---|---|---|---|
Hybridi tietoturvasolmut | TCP | 443 | Lähtevä HTTPS ja WSS | |
HDS-asennustyökalu | TCP | 443 | Lähtevä HTTPS |
|
Hybrid Data Security -solmut toimivat verkkoyhteyden muuntamisessa (NAT) tai palomuurin takana, kunhan NAT tai palomuuri sallii tarvittavat lähtevät yhteydet edellisessä taulukossa mainittuihin toimialuekohteisiin. Hybrid Data Security -solmuihin saapuvissa yhteyksissä porttien ei pitäisi näkyä Internetistä. Datakeskuksessasi asiakkaat tarvitsevat pääsyn TCP-porttien 443 ja 22 hybriditietoturvasolmuihin hallinnollisiin tarkoituksiin. |
Common Identity (CI) -isäntien URL-osoitteet ovat aluekohtaisia. Nämä ovat nykyiset CI-isännät:
Alue | Common Identity -isännän URL-osoitteet |
---|---|
Amerikka |
|
Euroopan unioni |
|
Kanada |
|
Välityspalvelimen vaatimukset
Tuemme virallisesti seuraavia välityspalvelinratkaisuja, jotka voidaan integroida hybriditietoturvasolmuihisi.
Läpinäkyvä välityspalvelin – Cisco Web Security Appliance (WSA).
Eksplisiittinen välityspalvelin – Kalmari.
Kalmarien välityspalvelimet, jotka tarkastavat HTTPS-liikenteen, voivat häiritä websocketin (wss:) perustamista Yhteydet. Lisätietoja tämän ongelman kiertämisestä on artikkelissa Kalmarien välityspalvelimien määrittäminen hybriditietoturvaavarten.
Tuemme seuraavia todennustyyppien yhdistelmiä eksplisiittisille välityspalvelimille:
Ei todennusta HTTP:llä tai HTTPS:llä
Perustodennus HTTP:llä tai HTTPS:llä
Tiivistetodennus vain HTTPS:llä
Jos haluat läpinäkyvän tarkastavan välityspalvelimen tai eksplisiittisen HTTPS-välityspalvelimen, sinulla on oltava kopio välityspalvelimen päävarmenteesta. Tämän oppaan käyttöönotto-ohjeissa kerrotaan, miten kopio ladataan hybriditietoturvasolmujen luottamussäilöihin.
HDS-solmuja isännöivä verkko on määritettävä pakottamaan portin 443 lähtevä TCP-liikenne reitittämään välityspalvelimen kautta.
Verkkoliikennettä tarkastelevat välityspalvelimet voivat häiritä verkkovastakeyhteyksiä. Jos tämä ongelma ilmenee, ohita (ei tarkista) liikenne kohteeseen
wbx2.com
jaciscospark.com
ratkaisee ongelman.
Täytä hybriditietoturvan edellytykset
1 | Varmista, että Cisco Webex Control Hubin Pro Pack on otettu käyttöön Webex-organisaatiossasi, ja hanki sellaisen tilin tunnistetiedot, jolla on täydet organisaation järjestelmänvalvojan oikeudet. Ota yhteyttä Cisco-kumppaniisi tai asiakaspäällikköösi, jos tarvitset apua tässä prosessissa. | ||
2 | Valitse toimialuenimi HDS-käyttöönottoa varten (esimerkiksi | ||
3 | Valmistele identtiset virtuaaliset isännät, jotka määrität klusterisi hybriditietoturvasolmuiksi. Tarvitset vähintään kaksi erillistä isäntää (3 suositusta), jotka sijaitsevat samassa suojatussa datakeskuksessa ja jotka täyttävät virtuaalisen isännän vaatimustenvaatimukset . | ||
4 | Valmistele tietokantapalvelin, joka toimii klusterin keskeisenä tietovarastona tietokantapalvelimen vaatimustenmukaisesti . Tietokantapalvelimen on sijaittava suojatussa datakeskuksessa virtuaalisten isäntien kanssa. | ||
5 | Jos haluat palauttaa järjestelmäpalautuksen nopeasti, määritä varmuuskopiointiympäristö toiseen palvelinkeskukseen. Varmuuskopiointiympäristö peilaa virtuaalikoneiden ja varmuuskopiotietokantapalvelimen tuotantoympäristöä. Jos tuotannossa on esimerkiksi 3 virtuaalikonetta, joissa on HDS-solmuja, varmuuskopiointiympäristössä tulisi olla 3 virtuaalikonetta. | ||
6 | Määritä syslog-isäntä keräämään lokeja klusterin solmuista. Kerää sen verkko-osoite ja syslog-portti (oletus on UDP 514). | ||
7 | Luo suojattu varmuuskopiointikäytäntö hybriditietoturvasolmuille, tietokantapalvelimelle ja syslog-isännälle. Vähintään peruuttamattoman tietojen menetyksen estämiseksi sinun on varmuuskopioitava tietokanta ja Hybrid Data Security -solmuille luotu määrityksen ISO-tiedosto.
Webex App -asiakkaat tallentavat avaimet välimuistiin, joten katkos ei välttämättä ole heti havaittavissa, mutta se ilmenee ajan myötä. Vaikka väliaikaisia katkoksia on mahdotonta estää, ne ovat palautettavissa. Tietokannan tai määrityksen ISO-tiedoston täydellinen menetys (varmuuskopioita ei ole saatavilla) johtaa kuitenkin siihen, että asiakastietoja ei voida palauttaa. Hybrid Data Security -solmujen operaattoreiden odotetaan ylläpitävän usein varmuuskopioita tietokannasta ja konfigurointi-ISO-tiedostosta ja olevan valmiita rakentamaan hybriditietoturvan datakeskuksen uudelleen, jos tapahtuu katastrofaalinen vika. | ||
8 | Varmista, että palomuurimääritykset sallivat yhdistelmätietoturvasolmujen yhdistämisen kohdassa Ulkoiset yhteysvaatimuksetkuvatulla tavalla. | ||
9 | Asenna Docker ( https://www.docker.com) mihin tahansa paikalliseen koneeseen, jossa on tuettu käyttöjärjestelmä (Microsoft Windows 10 Professional tai Enterprise 64-bittinen tai Mac OSX Yosemite 10.10.3 tai uudempi) verkkoselaimella, joka voi käyttää sitä osoitteessa http://127.0.0.1:8080. Docker-esiintymän avulla voit ladata ja suorittaa HDS Setup Tool -työkalun, joka muodostaa paikalliset määritystiedot kaikille Hybrid Data Security -solmuille. Organisaatiosi saattaa tarvita Docker Desktop -käyttöoikeuden. Katso lisätietoja kohdasta Docker Desktop Requirements . HDS Setup Tool -työkalun asentaminen ja suorittaminen edellyttää, että paikallisella koneella on kohdassa Ulkoiset yhteysvaatimuksetkuvatut yhteydet. | ||
10 | Jos integroit välityspalvelimen yhdistelmäsuojaukseen, varmista, että se täyttää välityspalvelimen vaatimukset. | ||
11 | Jos organisaatiosi käyttää hakemistosynkronointia, luo Active Directoryyn ryhmä nimeltä
|
Hybriditietoturvan käyttöönoton tehtävänkulku
Ennen kuin aloitat
1 |
Lataa OVA-tiedosto paikalliseen koneeseesi myöhempää käyttöä varten. | ||
2 | Luo määritys-ISO HDS-isännille HDS Setup Tool -työkalun avulla voit luoda ISO-määritystiedoston Hybrid Data Security -solmuille. | ||
3 |
Luo virtuaalikone OVA-tiedostosta ja suorita alkuasetukset, kuten verkkoasetukset.
| ||
4 | Hybrid Data Security VM:n määrittäminen Kirjaudu sisään VM-konsoliin ja määritä kirjautumistiedot. Määritä solmun verkkoasetukset, jos et määrittänyt niitä OVA-käyttöönoton yhteydessä. | ||
5 | Lataa ja asenna HDS-kokoonpano ISO Määritä virtuaalikone ISO-määritystiedostosta, jonka loit HDS Setup Tool -työkalulla. | ||
6 | Määritä HDS-solmu välityspalvelimen integrointia varten Jos verkkoympäristö edellyttää välityspalvelimen määritystä, määritä solmussa käytettävän välityspalvelimen tyyppi ja lisää välityspalvelimen varmenne luottamussäilöön tarvittaessa. | ||
7 | Rekisteröi klusterin ensimmäinen solmu Rekisteröi virtuaalikone Cisco Webex -pilveen hybriditietoturvasolmuna. | ||
8 | Luo ja rekisteröi lisää solmuja Viimeistele klusterin määritys. | ||
9 | Suorita kokeiluversio ja siirry tuotantoon (seuraava luku) Ennen kokeilujakson aloittamista solmut luovat hälytyksen, joka ilmaisee, että palvelua ei ole vielä aktivoitu. |
Lataa asennustiedostot
1 | Kirjaudu sisään ja https://admin.webex.comvalitse sitten Palvelut. | ||||
2 | Etsi Hybrid Data Security -kortti Hybrid Data Security -osasta ja valitse sitten Määritä. Jos kortti on poistettu käytöstä tai et näe sitä, ota yhteyttä tilitiimiisi tai kumppaniorganisaatioosi. Anna heille tilinumerosi ja pyydä, että otat hybriditietoturvan käyttöön organisaatiossasi. Löydät tilinumeron klikkaamalla organisaatiosi nimen vieressä oikeassa yläkulmassa olevaa hammaspyörää.
| ||||
3 | Valitse Ei , jos haluat ilmaista, että et ole vielä määrittänyt solmua, ja valitse sitten Seuraava. OVA-tiedoston lataus alkaa automaattisesti. Tallenna tiedosto tietokoneessa olevaan sijaintiin.
| ||||
4 | Voit myös valita Avaa käyttöönotto-opas ja tarkistaa, onko oppaasta saatavilla uudempaa versiota. |
Luo määritys-ISO HDS-isännille
Hybrid Data Security -asetusprosessi luo ISO-tiedoston. Tämän jälkeen määrität hybriditietoturvaisännän ISO-tunnisteen avulla.
Ennen kuin aloitat
HDS Setup -työkalu toimii Docker-säilönä paikallisessa koneessa. Voit käyttää sitä suorittamalla Dockerin kyseisessä koneessa. Määritysprosessi edellyttää organisaatiosi Control Hub -tilin tunnistetietoja, joilla on täydet järjestelmänvalvojan oikeudet.
Jos HDS-asennustyökalu toimii ympäristössäsi välityspalvelimen takana, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien kautta, kun tuot esiin Docker-säilön vaiheessa 5. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:
Kuvaus
Muuttuja
HTTP-välityspalvelin ilman todennusta
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-välityspalvelin ilman todennusta
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-välityspalvelin todennuksella
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-välityspalvelin todennuksella
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Luomasi määrityksen ISO-tiedosto sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset tämän tiedoston uusimman kopion aina, kun teet seuraavanlaisia kokoonpanomuutoksia:
Tietokannan tunnistetiedot
Varmenteiden päivitykset
Valtuutuskäytännön muutokset
Jos aiot salata tietokantayhteydet, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:ää varten.
1 | Kirjoita laitteen komentoriville ympäristöösi sopiva komento: Tavallisissa ympäristöissä:
FedRAMP-ympäristöissä:
| ||||||||||||
2 | Kirjaudu sisään Dockerin kuvarekisteriin kirjoittamalla seuraavat tiedot:
| ||||||||||||
3 | Kirjoita salasanakehotteeseen tämä tiiviste:
| ||||||||||||
4 | Lataa uusin vakaa kuva ympäristöösi: Tavallisissa ympäristöissä:
FedRAMP-ympäristöissä:
| ||||||||||||
5 | Kun pull on valmis, kirjoita ympäristöösi sopiva komento:
Kun säilö on käynnissä, näet tekstin "Pikapalvelimen kuuntelu portissa 8080". | ||||||||||||
6 |
Käytä verkkoselainta siirtyäksesi paikalliseen isäntään, Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää oikean ympäristön määrittämiseen kyseiselle tilille. Työkalu näyttää sitten tavallisen kirjautumiskehotteen. | ||||||||||||
7 | Anna pyydettäessä Control Hubin asiakkaan järjestelmänvalvojan kirjautumistiedot ja salli sitten yhdistelmätietoturvan edellyttämien palveluiden käyttö valitsemalla Kirjaudu sisään . | ||||||||||||
8 | Valitse Asennustyökalun yleiskatsaus -sivulla Aloita. | ||||||||||||
9 | ISO-tuonti-sivulla on seuraavat vaihtoehdot:
| ||||||||||||
10 | Tarkista, että X.509-varmenteesi täyttää X.509-varmennevaatimusten vaatimukset.
| ||||||||||||
11 | Anna tietokannan osoite ja tili, jotta voit käyttää avaintietosäilöäsi: | ||||||||||||
12 | Valitse TLS-tietokannan yhteystila:
Kun lataat juurivarmenteen (tarvittaessa) ja valitset Jatka, HDS Setup Tool testaa TLS-yhteyden tietokantapalvelimeen. Työkalu tarkistaa tarvittaessa myös varmenteen allekirjoittajan ja isäntänimen. Jos testi epäonnistuu, työkalu näyttää ongelmaa kuvaavan virhesanoman. Voit valita, ohitetaanko virhe ja jatketaanko asennusta. (Yhteyserojen vuoksi HDS-solmut saattavat pystyä muodostamaan TLS-yhteyden, vaikka HDS Setup Tool -kone ei pystyisi testaamaan sitä onnistuneesti.) | ||||||||||||
13 | Määritä Järjestelmälokit-sivulla Syslogd-palvelin: | ||||||||||||
14 | (Valinnainen) Voit muuttaa joidenkin tietokannan yhteysparametrien oletusarvoa Lisäasetuksissa . Yleensä tämä parametri on ainoa, jota haluat ehkä muuttaa:
| ||||||||||||
15 | Valitse Jatka Palauta palvelutilien salasana -näytössä. Palvelutilin salasanojen käyttöikä on yhdeksän kuukautta. Käytä tätä näyttöä, kun salasanasi ovat vanhentumassa tai haluat nollata ne mitätöidäksesi aiemmat ISO-tiedostot. | ||||||||||||
16 | Valitse Lataa ISO-tiedosto. Tallenna tiedosto helposti löydettävään sijaintiin. | ||||||||||||
17 | Tee varmuuskopio ISO-tiedostosta paikalliseen järjestelmään. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää tietokannan sisällön pääsalausavaimen. Rajoita käyttöoikeudet vain niille yhdistelmätietoturvan järjestelmänvalvojille, joiden pitäisi tehdä muutoksia määrityksiin. | ||||||||||||
18 | Sammuta asennustyökalu kirjoittamalla |
Mitä tehdä seuraavaksi
Varmuuskopioi määrityksen ISO-tiedosto. Tarvitset sitä luodaksesi lisää solmuja palautusta varten tai tehdäksesi kokoonpanomuutoksia. Jos kadotat kaikki ISO-tiedoston kopiot, menetät myös pääavaimen. Avainten palauttaminen PostgreSQL- tai Microsoft SQL Server -tietokannasta ei ole mahdollista.
Meillä ei ole koskaan kopiota tästä avaimesta, emmekä voi auttaa, jos kadotat sen. |
HDS-isännän OVA:n asentaminen
1 | Käytä tietokoneesi VMware vSphere -asiakasta kirjautuaksesi ESXi-virtuaaliseen isäntään. | ||||||
2 | Valitse File > Deploy OVF Template. | ||||||
3 | Määritä ohjatussa toiminnossa aiemmin lataamasi OVA-tiedoston sijainti ja valitse sitten Seuraava. | ||||||
4 | Kirjoita Valitse nimi ja kansio -sivulla solmun Näennäiskoneen nimi (esimerkiksi "HDS_Node_1"), valitse sijainti, jossa virtuaalikonesolmun käyttöönotto voi sijaita, ja valitse sitten Seuraava. | ||||||
5 | Valitse Valitse laskentaresurssi -sivulla kohdelaskentaresurssi ja valitse sitten Seuraava. Vahvistustarkistus suoritetaan. Kun se on valmis, mallin tiedot tulevat näkyviin. | ||||||
6 | Tarkista mallin tiedot ja valitse sitten Seuraava. | ||||||
7 | Jos sinua pyydetään valitsemaan resurssikonfiguraatio Kokoonpano-sivulla , valitse 4 suoritin ja valitse sitten Seuraava. | ||||||
8 | Napsauta Valitse tallennustila -sivulla Seuraava hyväksyäksesi oletuslevymuodon ja VM-tallennuskäytännön. | ||||||
9 | Valitse Valitse verkot -sivulla merkintäluettelosta verkkovaihtoehto, joka tarjoaa halutun yhteyden virtuaalikoneeseen. | ||||||
10 | Määritä Mukauta mallia -sivulla seuraavat verkkoasetukset:
Voit halutessasi ohittaa verkkoasetusten määrityksen ja määrittää asetukset solmukonsolista noudattamalla kohdan Hybrid Data Security VM määrittäminen ohjeita.
| ||||||
11 | Napsauta hiiren kakkospainikkeella solmua VM ja valitse Hybrid Data Security -ohjelmisto asennetaan vieraana VM Hostiin. Olet nyt valmis kirjautumaan sisään konsoliin ja määrittämään solmun. Vianmääritysvihjeitä Saatat kohdata muutaman minuutin viiveen, ennen kuin solmusäiliöt tulevat esiin. Ensimmäisen käynnistyksen aikana konsoliin tulee näkyviin siltapalomuuriviesti, jonka aikana kirjautuminen ei onnistu. |
Hybrid Data Security VM:n määrittäminen
Tämän toiminnon avulla voit kirjautua Hybrid Data Security node VM -konsoliin ensimmäistä kertaa ja määrittää kirjautumistiedot. Voit myös käyttää konsolia solmun verkkoasetusten määrittämiseen, jos et määrittänyt niitä OVA-käyttöönoton yhteydessä.
1 | Valitse VMware vSphere -asiakasohjelmassa Hybrid Data Security node VM ja valitse Konsoli-välilehti . VM käynnistyy ja kirjautumiskehote tulee näkyviin. Jos kirjautumiskehote ei tule näkyviin, paina Enter-näppäintä .
|
2 | Kirjaudu sisään ja muuta tunnistetietoja seuraavalla oletuskäyttäjätunnuksella ja salasanalla: Koska kirjaudut sisään virtuaalikoneeseesi ensimmäistä kertaa, sinun on vaihdettava järjestelmänvalvojan salasana. |
3 | Jos olet jo määrittänyt verkkoasetukset kohdassa HDS Host OVAnasentaminen, ohita näiden ohjeiden loppuosa. Muussa tapauksessa valitse päävalikosta Muokkaa kokoonpanoa -vaihtoehto. |
4 | Määritä staattinen määritys IP-osoitteen, maskin, yhdyskäytävän ja DNS-tietojen avulla. Solmulla tulisi olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta. |
5 | (Valinnainen) Muuta tarvittaessa isäntänimeä, toimialuetta tai NTP-palvelimia vastaamaan verkkokäytäntöäsi. Sinun ei tarvitse määrittää toimialuetta vastaamaan toimialuetta, jota käytit X.509-varmenteen hankkimiseen. |
6 | Tallenna verkkokokoonpano ja käynnistä virtuaalikone uudelleen, jotta muutokset tulevat voimaan. |
Lataa ja asenna HDS-kokoonpano ISO
Ennen kuin aloitat
Koska ISO-tiedosto sisältää pääavaimen, se tulisi paljastaa vain tiedonsaantitarpeen perusteella, jotta hybriditietoturvan virtuaalikoneet ja järjestelmänvalvojat, joiden on ehkä tehtävä muutoksia, voivat käyttää sitä. Varmista, että vain kyseiset järjestelmänvalvojat voivat käyttää tietosäilöä.
1 | Lataa ISO-tiedosto tietokoneeltasi: |
2 | Ota ISO-tiedosto käyttöön: |
Mitä tehdä seuraavaksi
Jos IT-käytäntösi sitä edellyttää, voit halutessasi poistaa ISO-tiedoston asennuksen, kun kaikki solmut ovat havainneet kokoonpanomuutokset. Katso lisätietoja kohdasta (Valinnainen) Poista ISO HDS-määrityksen jälkeen.
Määritä HDS-solmu välityspalvelimen integrointia varten
Jos verkkoympäristö edellyttää välityspalvelinta, määritä näiden ohjeiden avulla välityspalvelimen tyyppi, jonka haluat integroida yhdistelmätietoturvaan. Jos valitset läpinäkyvän tarkastavan välityspalvelimen tai eksplisiittisen HTTPS-välityspalvelimen, voit ladata ja asentaa juurivarmenteen solmun käyttöliittymän avulla. Voit myös tarkistaa välityspalvelinyhteyden käyttöliittymästä ja tehdä mahdollisten ongelmien vianmäärityksen.
Ennen kuin aloitat
Katso kohdasta Välityspalvelimen tuki yleiskatsaus tuetuista välityspalvelinvaihtoehdoista.
1 | Kirjoita HDS-solmun määritys-URL-osoite |
2 | Siirry kohtaan Luottamussäilö & Välityspalvelinja valitse sitten vaihtoehto:
Noudata seuraavia ohjeita, jos haluat läpinäkyvän tarkastavan välityspalvelimen, eksplisiittisen HTTP-välityspalvelimen perustodennuksella tai eksplisiittisen HTTPS-välityspalvelimen. |
3 | Valitse Lataa päävarmenne tai loppuentiteettivarmenneja siirry sitten valitun välityspalvelimen päävarmenteen kohtaan. Varmenne ladataan, mutta sitä ei ole vielä asennettu, koska solmu on käynnistettävä uudelleen varmenteen asentamiseksi. Saat lisätietoja napsauttamalla varmenteen myöntäjän nimen vieressä olevaa nuolennuolta tai valitse Poista , jos teit virheen ja haluat ladata tiedoston uudelleen. |
4 | Valitse Tarkista välityspalvelinyhteys , jos haluat testata solmun ja välityspalvelimen välisen verkkoyhteyden. Jos yhteystesti epäonnistuu, näet virhesanoman, josta ilmenee syy ja tapa, jolla voit korjata ongelman. Jos näyttöön tulee sanoma, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen. Tämä ehto on odotettavissa monissa eksplisiittisissä välityspalvelinmäärityksissä. Voit jatkaa asennusta, ja solmu toimii estetyssä ulkoisessa DNS-selvitystilassa. Jos epäilet, että tämä on virhe, suorita nämä vaiheet ja katso sitten Estetyn ulkoisen DNS-selvitystilanpoistaminen käytöstä. |
5 | Kun yhteystesti on läpäissyt, jos eksplisiittisen välityspalvelimen asetuksena on vain https, ota kytkin käyttöön Reititä kaikki portin 443/444 https-pyynnöt tästä solmusta eksplisiittisen välityspalvelimenkautta. Tämä asetus kestää 15 sekuntia, ennen kuin se tulee voimaan. |
6 | Valitse Asenna kaikki varmenteet luottamussäilöön (näkyy eksplisiittiselle HTTPS-välityspalvelimelle tai läpinäkyvälle tarkistavalle välityspalvelimelle) tai Käynnistä uudelleen (näkyy eksplisiittiselle HTTP-välityspalvelimelle), lue kehote ja valitse sitten Asenna , jos olet valmis. Solmu käynnistyy uudelleen muutamassa minuutissa. |
7 | Kun solmu on käynnistynyt uudelleen, kirjaudu tarvittaessa uudelleen sisään ja avaa sitten Yleiskatsaus-sivu tarkistaaksesi yhteystarkistukset ja varmistaaksesi, että ne ovat kaikki vihreässä tilassa. Välityspalvelinyhteyden tarkistus testaa vain webex.com alitoimialueen. Jos yhteysongelmia ilmenee, yleinen ongelma on, että jotkin asennusohjeissa luetellut pilvitoimialueet on estetty välityspalvelimessa. |
Rekisteröi klusterin ensimmäinen solmu
Kun rekisteröit ensimmäisen solmun, luot klusterin, johon solmu on määritetty. Klusteri sisältää yhden tai useamman solmun, jotka on otettu käyttöön redundanssin aikaansaamiseksi.
Ennen kuin aloitat
Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.
Varmista, että kaikki selaimen ponnahdusikkunoiden esto-ohjelmat on poistettu käytöstä tai että sallit poikkeuksen admin.webex.com.
1 | Kirjaudu sisään https://admin.webex.com. |
2 | Valitse näytön vasemman reunan valikosta Palvelut. |
3 | Etsi Hybrid Services -osiosta Hybrid Data Security ja napsauta Set up. Rekisterin hybriditietoturvasolmu -sivu avautuu.
|
4 | Valitse Kyllä , jos haluat ilmaista, että olet määrittänyt solmun ja olet valmis rekisteröimään sen, ja valitse sitten Seuraava. |
5 | Kirjoita ensimmäiseen kenttään nimi klusterille, johon haluat määrittää Hybrid Data Security -solmun. Suosittelemme, että nimeät klusterin sen mukaan, missä klusterin solmut sijaitsevat maantieteellisesti. Esimerkkejä: "San Francisco" tai "New York" tai "Dallas" |
6 | Kirjoita toiseen kenttään solmun sisäinen IP-osoite tai täydellinen toimialuenimi (FQDN) ja napsauta Seuraava. Tämän IP-osoitteen tai täydellisen toimialuenimen on vastattava IP-osoitetta tai isäntänimeä ja toimialuetta, joita käytit kohdassa Hybrid Data Security VM:n määrittäminen. Näyttöön tulee viesti, joka osoittaa, että voit rekisteröidä solmusi Webexiin.
|
7 | Klikkaa Siirry solmuun. |
8 | Klikkaa varoitusviestissä Jatka . Hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, näyttöön tulee Salli pääsy hybriditietoturvasolmuun -sivu. Siellä vahvistat, että haluat antaa Webex-organisaatiollesi oikeudet käyttää solmuasi.
|
9 | Valitse Salli hybriditietoturvasolmun käyttö -valintaruutu ja valitse sitten Jatka. Tilisi on vahvistettu ja "Rekisteröinti valmis" -viesti osoittaa, että solmusi on nyt rekisteröity Webex-pilveen.
|
10 | Napsauta linkkiä tai sulje välilehti palataksesi Control Hub Hybrid Data Security -sivulle. Hybrid Data Security (Yhdistelmäsuojaus) -sivulla näkyy uusi klusteri, joka sisältää rekisteröimäsi solmun. Solmu lataa automaattisesti uusimman ohjelmiston pilvestä.
|
Luo ja rekisteröi lisää solmuja
Tällä hetkellä Complete the Prerequisites for Hybrid Data Security -kohdassa luomasi varmuuskopiovirtuaalikoneet ovat valmiustilan isäntiä, joita käytetään vain järjestelmäpalautuksen yhteydessä; niitä ei rekisteröidä järjestelmään ennen sitä. Lisätietoja on kohdassa Järjestelmäpalautus valmiustilassa olevan palvelinkeskuksenavulla. |
Ennen kuin aloitat
Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.
Varmista, että kaikki selaimen ponnahdusikkunoiden esto-ohjelmat on poistettu käytöstä tai että sallit poikkeuksen admin.webex.com.
1 | Luo uusi virtuaalikone OVA:sta toistamalla kohdan HDS Host OVA:n asentaminen vaiheet. |
2 | Määritä uuden virtuaalikoneen alkuasetukset toistamalla vaiheet kohdassa Hybrid Data Security VM:n määrittäminen. |
3 | Toista uudessa virtuaalikoneessa vaiheet kohdassa HDS-määrityksen ISO-tiedostonlataaminen ja käyttöönotto. |
4 | Jos olet määrittämässä välityspalvelinta käyttöönottoa varten, toista kohdan HDS-solmun määrittäminen välityspalvelimen integrointia varten vaiheet tarpeen mukaan uudelle solmulle. |
5 | Rekisteröi solmu. Solmusi on rekisteröity. Huomaa, että ennen kokeilujakson aloittamista solmut luovat hälytyksen, joka ilmaisee, että palvelua ei ole vielä aktivoitu.
|
Mitä tehdä seuraavaksi
Kokeiluversiosta tuotantoon -tehtävänkulku
Kun olet määrittänyt yhdistelmätietoturvaklusterin, voit aloittaa pilotin, lisätä siihen käyttäjiä ja alkaa käyttää sitä käyttöönoton testaamiseen ja todentamiseen tuotantoon siirtymistä valmisteltaessa.
Ennen kuin aloitat
1 | Synkronoi tarvittaessa Jos organisaatiosi käyttää käyttäjien hakemistosynkronointia, sinun on valittava |
2 |
Aloita kokeilu. Ennen kuin teet tämän tehtävän, solmut luovat hälytyksen, joka osoittaa, että palvelua ei ole vielä aktivoitu. |
3 | Hybriditietoturvan käyttöönoton testaaminen Tarkista, että avainpyynnöt välittyvät hybriditietoturvan käyttöönottoon. |
4 | Seuraa hybriditietoturvan kuntoa Tarkista tila ja määritä sähköposti-ilmoitukset hälytyksiä varten. |
5 | Käyttäjien lisääminen kokeiluversioon tai poistaminen kokeiluversiosta |
6 | Suorita kokeiluvaihe jollakin seuraavista toimista: |
Aktivoi kokeiluversio
Ennen kuin aloitat
Jos organisaatiosi käyttää käyttäjien hakemistosynkronointia, sinun on valittava HdsTrialGroup
Ryhmittele objekti pilveen synkronointia varten, ennen kuin voit aloittaa kokeiluversion organisaatiollesi. Katso ohjeet Cisco Directory Connectorin käyttöönotto-oppaasta.
1 | Kirjaudu sisään ja https://admin.webex.comvalitse sitten Palvelut. |
2 | Valitse Hybrid Data Security (Yhdistelmäsuojaus) -kohdassa Settings (Asetukset). |
3 | Valitse Service Status (Palvelun tila) -osassa Start Trial (Aloita kokeiluversio). Palvelun tila muuttuu kokeilutilaksi.
|
4 | Valitse Lisää käyttäjiä ja kirjoita yhden tai useamman käyttäjän sähköpostiosoite, jotta voit kokeilla yhdistelmätietoturvasolmujen käyttöä salaus- ja indeksointipalveluissa. (Jos organisaatiosi käyttää hakemistosynkronointia, hallitse kokeiluryhmää Active Directoryn avulla, |
Hybriditietoturvan käyttöönoton testaaminen
Ennen kuin aloitat
Määritä hybriditietoturvan käyttöönotto.
Aktivoi kokeiluversio ja lisää useita kokeiluversion käyttäjiä.
Varmista, että sinulla on järjestelmälokin käyttöoikeus ja varmista, että avainpyynnöt välitetään hybriditietoturvan käyttöönottoon.
1 | Tietyn tilan avaimet asettaa tilan luoja. Kirjaudu Webex-sovellukseen yhtenä pilottikäyttäjistä, luo sitten tila ja kutsu vähintään yksi pilottikäyttäjä ja yksi ei-pilottikäyttäjä.
| ||
2 | Lähetä viestejä uuteen tilaan. | ||
3 | Tarkista järjestelmälokin tulosteesta, että avainpyynnöt välittyvät hybriditietoturvan käyttöönottoon. |
Seuraa hybriditietoturvan kuntoa
Käyttäjien lisääminen kokeiluversioon tai poistaminen kokeiluversiosta
Jos poistat käyttäjän kokeiluversiosta, käyttäjän asiakasohjelma pyytää avaimia ja avainten luontia KMS-pilvestä KMS:n sijaan. Jos asiakas tarvitsee avaimen, joka on tallennettu KMS:ään, pilvi-KMS noutaa sen käyttäjän puolesta.
Jos organisaatiosi käyttää hakemistosynkronointia, käytä Active Directorya (tämän menettelyn sijaan) kokeiluryhmän hallintaan, HdsTrialGroup
; Voit tarkastella ryhmän jäseniä Ohjauskeskuksessa, mutta et voi lisätä tai poistaa heitä.
1 | Kirjaudu Control Hubiin ja valitse sitten Palvelut. |
2 | Valitse Hybrid Data Security (Yhdistelmäsuojaus) -kohdassa Settings (Asetukset). |
3 | Valitse Palvelun tila -alueen Kokeilutila-osassa Lisää käyttäjiätai poista käyttäjiä kokeiluversiosta valitsemalla Näytä ja muokkaa . |
4 | Kirjoita yhden tai useamman lisättävän käyttäjän sähköpostiosoite tai poista käyttäjä kokeiluversiosta napsauttamalla käyttäjätunnuksen vieressä olevaa X-merkkiä . Napsauta sitten Tallenna. |
Siirry kokeiluversiosta tuotantoon
1 | Kirjaudu Control Hubiin ja valitse sitten Palvelut. |
2 | Valitse Hybrid Data Security (Yhdistelmäsuojaus) -kohdassa Settings (Asetukset). |
3 | Valitse Palvelun tila -osassa Siirrä tuotantoon. |
4 | Vahvista, että haluat siirtää kaikki käyttäjät tuotantoon. |
Kokeilujakson päättäminen siirtymättä tuotantoon
1 | Kirjaudu Control Hubiin ja valitse sitten Palvelut. |
2 | Valitse Hybrid Data Security (Yhdistelmäsuojaus) -kohdassa Settings (Asetukset). |
3 | Valitse Poista aktivointi -osiossa Poista aktivointi. |
4 | Vahvista, että haluat poistaa palvelun aktivoinnin ja lopettaa kokeiluversion. |
HDS:n käyttöönoton hallinta
Tässä kuvattujen tehtävien avulla voit hallita hybriditietoturvan käyttöönottoa.
Aseta klusterin päivitysaikataulu
Päivitysaikataulun määrittäminen:
1 | Kirjaudu Control Hubiin. |
2 | Valitse Yleiskatsaus-sivun Yhdistelmäpalvelut-kohdassa Hybrid Data Security. |
3 | Valitse klusteri Hybrid Data Security Resources (Hybridiset tietoturvaresurssit) -sivulla. |
4 | Valitse oikealla olevan Yleiskatsaus-paneelin Klusteriasetukset-kohdassa klusterin nimi. |
5 | Valitse Asetukset-sivun Päivitys-kohdassa päivitysaikataulun aika ja aikavyöhyke. Huomautus: Aikavyöhykkeen alla näkyy seuraava käytettävissä oleva päivityspäivämäärä ja -aika. Voit tarvittaessa siirtää päivityksen seuraavaan päivään valitsemalla Lykkää. |
Solmun määritysten muuttaminen
x.509-varmenteiden muuttaminen vanhenemisen tai muiden syiden vuoksi.
Emme tue varmenteen CN-verkkotunnuksen muuttamista. Verkkotunnuksen on vastattava klusterin rekisteröintiin käytettyä alkuperäistä toimialuetta.
Tietokannan asetusten päivittäminen PostgreSQL- tai Microsoft SQL Server -tietokannan kopion vaihtamiseksi.
Emme tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin tai päinvastoin. Jos haluat vaihtaa tietokantaympäristöä, aloita hybriditietoturvan uusi käyttöönotto.
Uuden kokoonpanon luominen uuden datakeskuksen valmistelemiseksi.
Hybrid Data Security käyttää turvallisuussyistä myös palvelutilien salasanoja, joiden käyttöikä on yhdeksän kuukautta. Kun HDS Setup -työkalu on luonut nämä salasanat, voit ottaa ne käyttöön jokaisessa HDS-solmussa ISO-määritystiedostossa. Kun organisaatiosi salasanat ovat vanhentumassa, saat Webex-tiimiltä ilmoituksen tietokonetilisi salasanan vaihtamisesta. (Sähköpostiviesti sisältää tekstin "Käytä konetilin ohjelmointirajapintaa salasanan päivittämiseen.") Jos salasanasi eivät ole vielä vanhentuneet, työkalu tarjoaa sinulle kaksi vaihtoehtoa:
Pehmeä nollaus– Sekä vanhat että uudet salasanat toimivat jopa 10 päivän ajan. Käytä tätä ajanjaksoa korvaamaan solmujen ISO-tiedosto vähitellen.
Kova nollaus– Vanhat salasanat lakkaavat toimimasta välittömästi.
Jos salasanasi vanhenevat ilman nollausta, se vaikuttaa HDS-palveluusi ja vaatii välittömän kovan nollauksen ja ISO-tiedoston vaihtamisen kaikissa solmuissa.
Tämän toiminnon avulla voit luoda uuden määrityksen ISO-tiedoston ja soveltaa sitä klusteriisi.
Ennen kuin aloitat
HDS Setup -työkalu toimii Docker-säilönä paikallisessa koneessa. Voit käyttää sitä suorittamalla Dockerin kyseisessä koneessa. Määritysprosessi edellyttää organisaatiosi Control Hub -tilin tunnistetietoja, joilla on täydet järjestelmänvalvojan oikeudet.
Jos HDS Setup -työkalu toimii ympäristössäsi välityspalvelimen takana, anna välityspalvelinasetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien kautta, kun tuot Docker-säilön esiin 1.e:ssä . Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:
Kuvaus
Muuttuja
HTTP-välityspalvelin ilman todennusta
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-välityspalvelin ilman todennusta
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-välityspalvelin todennuksella
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-välityspalvelin todennuksella
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Tarvitset kopion nykyisestä määrityksen ISO-tiedostosta, jotta voit luoda uuden kokoonpanon. ISO sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset ISO-arvoa, kun teet muutoksia kokoonpanoon, mukaan lukien tietokannan tunnistetiedot, varmenteiden päivitykset tai valtuutuskäytännön muutokset.
1 | Käytä Dockeria paikallisessa tietokoneessa ja suorita HDS Setup Tool. |
2 | Jos sinulla on vain yksi HDS-solmu käynnissä, luo uusi Hybrid Data Security node VM ja rekisteröi se käyttämällä uutta määritys-ISO-tiedostoa. Katso tarkemmat ohjeet kohdasta Lisää solmujen luominen ja rekisteröiminen. |
3 | Jos kyseessä on olemassa oleva HDS-solmu, joka suorittaa vanhempaa määritystiedostoa, ota ISO-tiedosto käyttöön. Suorita seuraavat toimenpiteet kullekin solmulle vuorotellen päivittämällä kukin solmu ennen seuraavan solmun sammuttamista: |
4 | Toista vaihe 3 korvataksesi määrityksen jokaisessa jäljellä olevassa solmussa, joka suorittaa vanhaa kokoonpanoa. |
Poista estetty ulkoinen DNS-selvitystila käytöstä
Kun rekisteröit solmun tai tarkistat solmun välityspalvelimen määritykset, prosessi testaa DNS-haun ja yhteyden Cisco Webex -pilveen. Jos solmun DNS-palvelin ei pysty selvittämään julkisia DNS-nimiä, solmu siirtyy automaattisesti estettyyn ulkoiseen DNS-selvitystilaan.
Jos solmut pystyvät selvittämään julkisia DNS-nimiä sisäisten DNS-palvelimien kautta, voit poistaa tämän tilan käytöstä suorittamalla välityspalvelimen yhteystestin uudelleen kullekin solmulle.
Ennen kuin aloitat
1 | Avaa selaimessa Hybrid Data Security -solmuliittymä (esimerkiksi IP-osoite/määritys, https://192.0.2.0/setup), kirjoita solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja valitse sitten Kirjaudu sisään. |
2 | Siirry Yleiskatsaukseen (oletussivu). Kun tämä asetus on käytössä, Blocked External DNS Resolution (Estetty ulkoinen DNS-selvitys) -asetuksena on Yes ( Kyllä). |
3 | Siirry Luottamussäilö ja välityspalvelin -sivulle. |
4 | Valitse Tarkista välityspalvelimen yhteys. Jos näyttöön tulee sanoma, jonka mukaan ulkoinen DNS-selvitys ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen ja pysyy tässä tilassa. Muussa tapauksessa, kun olet käynnistänyt solmun uudelleen ja palannut Yleiskatsaus-sivulle , Estetty ulkoinen DNS-selvitys -asetuksena pitäisi olla Ei. |
Mitä tehdä seuraavaksi
Solmun poistaminen
1 | Kirjaudu tietokoneesi VMware vSphere -asiakasohjelmalla ESXi-virtuaali-isäntään ja sammuta virtuaalikone. |
2 | Poista solmu: |
3 | Poista virtuaalikone vSphere-asiakkaasta. (Napsauta vasemmassa siirtymisruudussa hiiren kakkospainikkeella VM: ää ja napsauta Poista.) Jos et poista virtuaalikonetta, muista poistaa määrityksen ISO-tiedosto. Ilman ISO-tiedostoa et voi käyttää suojaustietojasi virtuaalikoneen avulla. |
Järjestelmäpalautus valmiustilassa olevan datakeskuksen avulla
Kriittisin palvelu, jonka hybriditietoturvaklusterisi tarjoaa, on viestien ja muun Webex-pilveen tallennetun sisällön salaamiseen käytettävien avainten luominen ja tallentaminen. Jokaiselle organisaation käyttäjälle, joka on määritetty yhdistelmätietoturvaan, uudet avaimenluontipyynnöt reititetään klusteriin. Klusteri on myös vastuussa luomiensa avainten palauttamisesta käyttäjille, joilla on oikeus noutaa ne, esimerkiksi keskustelutilan jäsenille.
Koska klusteri suorittaa kriittisen toiminnon eli tarjoaa nämä avaimet, on välttämätöntä, että klusteri pysyy käynnissä ja että asianmukaiset varmuuskopiot säilytetään. Hybrid Data Security -tietokannan tai rakenteessa käytetyn ISO-konfiguraation menettäminen johtaa asiakassisällön peruuttamattomaan menetykseen. Seuraavat käytännöt ovat pakollisia tällaisen menetyksen estämiseksi:
Jos hätätilanne aiheuttaa sen, että HDS-käyttöönotto ensisijaisessa palvelinkeskuksessa ei ole käytettävissä, noudata näitä ohjeita, jos haluat siirtyä valmiustilassa olevaan palvelinkeskukseen manuaalisesti.
1 | Käynnistä HDS Setup -työkalu ja noudata kohdassa Määrityksen ISO:n luominen HDS-isännillemainittuja vaiheita. | ||
2 | Kun olet määrittänyt Syslogd-palvelimen, napsauta Lisäasetukset | ||
3 | Lisää Lisäasetukset-sivulla alla oleva määritys tai poista
| ||
4 | Suorita määritysprosessi loppuun ja tallenna ISO-tiedosto helposti löydettävään sijaintiin. | ||
5 | Tee varmuuskopio ISO-tiedostosta paikalliseen järjestelmään. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää tietokannan sisällön pääsalausavaimen. Rajoita käyttöoikeudet vain niille yhdistelmätietoturvan järjestelmänvalvojille, joiden pitäisi tehdä muutoksia määrityksiin. | ||
6 | Napsauta VMware vSphere -asiakkaan vasemmassa siirtymisruudussa hiiren kakkospainikkeella virtuaalikonetta ja valitse Muokkaa asetuksia. | ||
7 | Napsauta Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO-tiedosto.
| ||
8 | Käynnistä HDS-solmu ja varmista, ettei hälytyksiä ole vähintään 15 minuuttiin. | ||
9 | Toista prosessi jokaiselle valmiustilassa olevan palvelinkeskuksen solmulle.
|
Mitä tehdä seuraavaksi
(Valinnainen) Poista ISO HDS-määrityksen jälkeen
HDS-vakiokokoonpano toimii ISO-asennettuna. Jotkut asiakkaat eivät kuitenkaan halua jättää ISO-tiedostoja jatkuvasti asennettuina. Voit poistaa ISO-tiedoston asennuksen, kun kaikki HDS-solmut poimivat uuden kokoonpanon.
ISO-tiedostoja käytetään edelleen kokoonpanomuutosten tekemiseen. Kun luot uuden ISO:n tai päivität ISO:n Setup Toolin kautta, sinun on otettava päivitetty ISO käyttöön kaikissa HDS-solmuissa. Kun kaikki solmut ovat havainneet kokoonpanomuutokset, voit poistaa ISO: n uudelleen tällä menettelyllä.
Ennen kuin aloitat
Päivitä kaikki HDS-solmut versioon 2021.01.22.4720 tai uudempaan.
1 | Sammuta yksi HDS-solmuista. |
2 | Valitse vCenter Server Appliancessa HDS-solmu. |
3 | Valitse Datastore ISO-tiedostosta. ja poista valinta |
4 | Käynnistä HDS-solmu ja varmista, ettei hälytyksiä ole vähintään 20 minuuttiin. |
5 | Toista jokaiselle HDS-solmulle vuorotellen. |
Hälytysten tarkasteleminen ja vianmääritys
Hybrid Data Security -käyttöönoton ei katsota olevan käytettävissä, jos klusterin kaikkiin solmuihin ei saada yhteyttä tai klusteri toimii niin hitaasti, että se pyytää aikakatkaisua. Jos käyttäjät eivät saa yhteyttä yhdistelmätietoturvaklusteriin, he kohtaavat seuraavat ongelmat:
Uusia tiloja ei voi luoda (uusia avaimia ei voi luoda)
Viestien ja välilyöntien otsikoiden salauksen purkaminen epäonnistuu:
Uudet käyttäjät lisätty tilaan (avaimia ei voi noutaa)
Tilassa olevat käyttäjät, jotka käyttävät uutta asiakasohjelmaa (avaimia ei voi noutaa)
Tilan nykyiset käyttäjät toimivat edelleen onnistuneesti niin kauan kuin heidän asiakkaillaan on salausavainten välimuisti
On tärkeää, että valvot hybriditietoturvaklusteriasi oikein ja reagoit hälytyksiin nopeasti, jotta vältät palveluhäiriöt.
Ilmoitukset
Jos yhdistelmätietoturvan asetuksissa on ongelma, Ohjauskeskus näyttää hälytykset organisaation järjestelmänvalvojalle ja lähettää sähköpostit määritettyyn sähköpostiosoitteeseen. Hälytykset kattavat monia yleisiä tilanteita.
Hälytys | Toiminta |
---|---|
Paikallisen tietokannan käyttövirhe. |
Tarkista tietokantavirheet tai paikallisverkko-ongelmat. |
Paikallisen tietokannan yhteysvirhe. |
Tarkista, että tietokantapalvelin on käytettävissä ja että solmun määrityksessä käytettiin oikeita palvelutilin tunnistetietoja. |
Pilvipalvelun käyttövirhe. |
Tarkista, että solmut voivat käyttää Webex-palvelimia kohdassa Ulkoiset yhteysvaatimuksetmääritetyllä tavalla . |
Pilvipalvelun rekisteröinnin uusiminen. |
Rekisteröitymisestä pilvipalveluihin luovuttiin. Rekisteröinnin uusiminen on käynnissä. |
Pilvipalvelun rekisteröinti putosi. |
Rekisteröityminen pilvipalveluihin päättyi. Palvelu suljetaan. |
Palvelua ei ole vielä aktivoitu. |
Aktivoi kokeiluversio tai viimeistele kokeiluversion siirtäminen tuotantoon. |
Määritetty toimialue ei vastaa palvelimen varmennetta. |
Varmista, että palvelinvarmenne vastaa määritettyä palvelun aktivointitoimialuetta. Todennäköisin syy on se, että varmenteen CN muutettiin äskettäin ja se eroaa nyt alkuasennuksen aikana käytetystä CN: stä. |
Todennus pilvipalveluihin epäonnistui. |
Tarkista palvelutilin tunnistetietojen oikeellisuus ja mahdollinen vanhentuminen. |
Paikallisen avainsäilötiedoston avaaminen epäonnistui. |
Tarkista paikallisen avainsäilötiedoston eheys ja salasanan tarkkuus. |
Paikallisen palvelimen varmenne on virheellinen. |
Tarkista palvelinvarmenteen vanhentumispäivä ja varmista, että sen on myöntänyt luotettu varmenteen myöntäjä. |
Mittareita ei voi lähettää. |
Tarkista paikallisen verkon yhteys ulkoisiin pilvipalveluihin. |
/media/configdrive/hds-hakemistoa ei ole. |
Tarkista virtuaalisen isännän ISO-asennuksen kokoonpano. Varmista, että ISO-tiedosto on olemassa, että se on määritetty otettavaksi käyttöön uudelleenkäynnistyksen yhteydessä ja että se otetaan käyttöön onnistuneesti. |
Hybriditietoturvan vianmääritys
1 | Tarkista Control Hubista hälytykset ja korjaa sieltä löytämäsi kohteet. |
2 | Tarkista syslog-palvelimen tuloste hybriditietoturvan käyttöönoton toimintojen varalta. |
3 | Ota yhteyttä Ciscon tukeen. |
Hybriditietoturvan tunnetut ongelmat
Jos suljet hybriditietoturvaklusterin (poistamalla sen Ohjauskeskuksessa tai sulkemalla kaikki solmut), menetät ISO-määritystiedoston tai menetät pääsyn avainsäilötietokantaan, Webex-sovelluksen käyttäjät eivät voi enää käyttää henkilöluettelossaan olevia tiloja, jotka on luotu KMS:n avaimilla. Tämä koskee sekä koe- että tuotantokäyttöönottoja. Meillä ei tällä hetkellä ole kiertotapaa tai korjausta tähän ongelmaan, ja kehotamme sinua olemaan sulkematta HDS-palveluitasi, kun ne käsittelevät aktiivisia käyttäjätilejä.
Asiakas, jolla on olemassa oleva ECDH-yhteys KMS:ään, ylläpitää tätä yhteyttä tietyn ajan (todennäköisesti yhden tunnin). Kun käyttäjästä tulee yhdistelmätietoturvakokeilun jäsen, käyttäjän asiakas jatkaa olemassa olevan ECDH-yhteyden käyttöä, kunnes se aikakatkaistaan. Vaihtoehtoisesti käyttäjä voi kirjautua ulos ja takaisin Webex App -sovellukseen päivittääkseen sijainnin, johon sovellus ottaa yhteyttä salausavaimia varten.
Sama ongelma ilmenee, kun siirrät kokeiluversion organisaation tuotantoon. Kaikki muut kuin kokeilukäyttäjät, joilla on jo ECDH-yhteys aiempiin tietoturvapalveluihin, jatkavat näiden palvelujen käyttöä, kunnes ECDH-yhteys neuvotellaan uudelleen (aikakatkaisun kautta tai kirjautumalla ulos ja takaisin sisään).
Käytä OpenSSL:ää PKCS12-tiedoston luomiseen
Ennen kuin aloitat
OpenSSL on yksi työkalu, jota voidaan käyttää PKCS12-tiedoston tekemiseen oikeaan muotoon lataamista varten HDS Setup Tool -työkalussa. On muitakin tapoja tehdä tämä, emmekä tue tai edistä yhtä tapaa toisen kustannuksella.
Jos päätät käyttää OpenSSL:ää, tarjoamme tämän menettelyn ohjeeksi, jonka avulla voit luoda tiedoston, joka täyttää X.509-varmennevaatimukset X.509-varmennevaatimuksissa . Ymmärrä nämä vaatimukset ennen kuin jatkat.
Asenna OpenSSL tuettuun ympäristöön. Katso https://www.openssl.org ohjelmisto ja dokumentaatio.
Luo yksityinen avain.
Aloita nämä toimet, kun saat palvelinvarmenteen varmenteen myöntäjältä.
1 | Kun saat palvelinvarmenteen varmentajaltasi, tallenna se nimellä |
2 | Näytä varmenne tekstinä ja tarkista tiedot.
|
3 | Luo tekstieditorilla varmennepakettitiedosto nimeltä
|
4 | Luo .p12-tiedosto, jolla on kutsumanimi
|
5 | Tarkista palvelimen varmenteen tiedot. |
Mitä tehdä seuraavaksi
Palaa suorittamaan hybriditietoturvanedellytykset. Käytät hdsnode.p12
-tiedostoon ja sille asettamasi salasanan kohdassa Luo määrityksen ISO HDS-isännille.
Voit käyttää näitä tiedostoja uudelleen uuden varmenteen pyytämiseen, kun alkuperäinen varmenne vanhenee. |
HDS-solmujen ja pilven välinen liikenne
Lähtevien mittareiden kokoelman liikenne
Hybrid Data Security -solmut lähettävät tiettyjä mittareita Webex-pilveen. Näitä ovat järjestelmämittarit kasan enimmäismäärälle, käytetylle kekolle, suorittimen kuormitukselle ja säikeiden määrälle; synkronisten ja asynkronisten säikeiden mittarit; tiedot hälytyksistä, joihin liittyy salausyhteyksien kynnysarvo, viive tai pyyntöjonon pituus; tietosäilön mittarit; ja salausyhteyden mittarit. Solmut lähettävät salattua avainmateriaalia kaistan ulkopuolisen kanavan kautta (erillään pyynnöstä).
Saapuva liikenne
Hybrid Data Security -solmut vastaanottavat seuraavan tyyppistä saapuvaa liikennettä Webex-pilvestä:
Asiakkaiden salauspyynnöt, jotka salauspalvelu reitittää
Solmuohjelmiston päivitykset
Määritä kalmarien välityspalvelimet hybriditietoturvaa varten
Websocket ei voi muodostaa yhteyttä kalmarin välityspalvelimen kautta
Kalmarien välityspalvelimet, jotka tarkastavat HTTPS-liikenteen, voivat häiritä websocketin perustamista ( wss:
) yhteydet, joita hybriditietoturva edellyttää. Näissä osissa on ohjeita siitä, miten Squidin eri versiot määritetään ohitettaviksi wss:
liikenne palvelujen asianmukaisen toiminnan varmistamiseksi.
Kalmari 4 ja 5
Lisää on_unsupported_protocol
Direktiivi squid.conf
:
on_unsupported_protocol tunnel all
Kalmari 3.5.27
Testasimme hybriditietoturvaa onnistuneesti lisäämällä seuraavat säännöt: squid.conf
. Nämä säännöt voivat muuttua, kun kehitämme ominaisuuksia ja päivitämme Webex-pilven.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Esipuhe
Uudet ja muuttuneet tiedot
Päivämäärä |
Tehdyt muutokset |
---|---|
lokakuu 20, 2023 |
|
Elokuu 07, 2023 |
|
touko 23, 2023 |
|
Joulukuu 06, 2022 |
|
marraskuu 23, 2022 |
|
lokakuu 13, 2021 |
Docker Desktopin on suoritettava asennusohjelma, ennen kuin voit asentaa HDS-solmuja. Katso Dockerin työpöytävaatimukset. |
kesäkuu 24, 2021 |
Huomaa, että voit käyttää yksityistä avaintiedostoa ja CSR: ää uudelleen toisen varmenteen pyytämiseen. Katso lisätietoja kohdasta OpenSSL:n käyttäminen PKCS12-tiedoston luomiseen. |
huhtikuu 30, 2021 |
Paikallisen kiintolevytilan virtuaalikonevaatimus muutettiin 30 gigatavuun. Katso lisätietoja virtuaalisen isännän vaatimuksista . |
helmikuu 24, 2021 |
HDS Setup Tool voidaan nyt suorittaa välityspalvelimen takana. Katso lisätietoja kohdasta Määritä ISO HDS-isännille . |
helmikuu 2, 2021 |
HDS voi nyt toimia ilman asennettua ISO-tiedostoa. Katso lisätietoja kohdasta (Valinnainen) Poista ISO HDS-määrityksen jälkeen. |
tammikuu 11, 2021 |
Lisätty tietoja HDS-asetustyökalusta ja välityspalvelimista, joiden avulla voit luoda määrityksen ISO:n HDS-isännille. |
lokakuu 13, 2020 |
Päivitetyt latausasennustiedostot. |
lokakuu 8, 2020 |
Päivitetty Luo määritys-ISO HDS-isännille ja muuta solmun määritystä FedRAMP-ympäristöjen komennoilla. |
Elokuu 14, 2020 |
Päivitetty Luo määritys-ISO HDS-isännille ja muuta solmun määritystä kirjautumisprosessin muutoksilla. |
Elokuu 5, 2020 |
Päivitetty Testaa hybriditietoturvan käyttöönotto lokiviesteissä tapahtuvien muutosten varalta. Päivitetyt virtuaalisen isännän vaatimukset isäntien enimmäismäärän poistamiseksi. |
kesäkuu 16, 2020 |
Päivitetty Poista solmu ohjauskeskuksen käyttöliittymän muutosten vuoksi. |
kesäkuu 4, 2020 |
Päivitetty Luo määrityksen ISO HDS-isännille mahdollisesti määrittämiesi lisäasetusten muutoksia varten. |
Voi 29, 2020 |
Päivitetty Luo määrityksen ISO HDS-isännille osoittamaan, että voit käyttää TLS:ää myös SQL Server -tietokantojen, käyttöliittymämuutosten ja muiden selvennysten kanssa. |
Voi 5, 2020 |
Päivitetyt virtuaalisen isännän vaatimukset ESXi 6.5: n uuden vaatimuksen näyttämiseksi. |
huhtikuu 21, 2020 |
Päivitetyt ulkoisten yhteyksien vaatimukset uusien Americas CI -isäntien kanssa. |
huhtikuu 1, 2020 |
Päivitetyt ulkoisten yhteyksien vaatimukset , jotka sisältävät tietoja alueellisista CI-isännistä. |
helmikuu 20, 2020 | Päivitetty Luo määritys-ISO HDS-isännille tiedoilla HDS-asennustyökalun uudesta valinnaisesta Lisäasetukset-näytöstä. |
helmikuu 4, 2020 | Päivitetyt välityspalvelinvaatimukset. |
joulukuu 16, 2019 | Selvennetty vaatimusta, jonka mukaan estetyn ulkoisen DNS-selvitystilan on toimittava välityspalvelimen vaatimuksissa . |
marraskuu 19, 2019 |
Lisätty tietoja estetystä ulkoisesta DNS-selvitystilasta seuraaviin osioihin: |
marraskuu 8, 2019 |
Voit nyt määrittää solmun verkkoasetukset OVA:n käyttöönoton aikana eikä jälkikäteen. Seuraavat osiot päivitettiin vastaavasti: Mahdollisuus määrittää verkkoasetukset OVA-käyttöönoton aikana on testattu ESXi 6.5:llä. Tämä vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa. |
syyskuu 6, 2019 |
Lisätty SQL Server Standard tietokantapalvelinvaatimuksiin . |
elokuu 29, 2019 | Lisätty Määritä kalmarien välityspalvelimet hybriditietoturvaa varten -liite, jossa on ohjeita Kalmari-välityspalvelinten määrittämiseen ohittamaan verkkopistokeliikenne asianmukaisen toiminnan varmistamiseksi. |
elokuu 20, 2019 |
Lisätty ja päivitetty osioita, jotka kattavat välityspalvelimen tuen hybriditietoturvasolmujen viestinnälle Webex-pilveen. Jos haluat käyttää vain aiemmin luodun käyttöönoton välityspalvelimen tukisisältöä, tutustu Välityspalvelimen tuki hybriditietoturvaan ja Webex Video Mesh -ohjeartikkeliin. |
kesäkuu 13, 2019 | Päivitetty kokeiluversiosta tuotantotehtävänkulkuun muistutus synkronoida HdsTrialGroup-ryhmäobjekti ennen kokeiluversion aloittamista, jos organisaatiosi käyttää hakemistosynkronointia. |
maaliskuu 6, 2019 |
|
helmikuu 28, 2019 |
|
helmikuu 26, 2019 |
|
tammikuu 24, 2019 |
|
marraskuu 5, 2018 |
|
lokakuu 19, 2018 |
|
heinäkuu 31, 2018 |
|
21. toukokuuta 2018 |
Terminologiaa muutettu vastaamaan Cisco Sparkin uudelleenbrändäystä:
|
huhtikuu 11, 2018 |
|
helmikuu 22, 2018 |
|
helmikuu 15, 2018 |
|
tammikuu 18, 2018 |
|
marraskuu 2, 2017 |
|
elokuu 18, 2017 |
Ensimmäinen julkaisu |
Aloita hybridi-tietoturva
Yleiskatsaus hybriditietojen tietoturvaan
Webex-sovelluksen suunnittelussa on alusta alkaen keskitytty ensisijaisesti tietoturvaan. Tämän turvallisuuden kulmakivi on päästä päähän -sisällön salaus, jonka Webex App -asiakkaat mahdollistavat avaintenhallintapalvelun (Key Management Service, KMS) kanssa. KMS vastaa niiden salausavainten luomisesta ja hallinnasta, joita asiakkaat käyttävät viestien ja tiedostojen dynaamiseen salaamiseen ja salauksen purkamiseen.
Oletusarvoisesti kaikki Webex App -asiakkaat saavat päästä päähän -salauksen, jonka dynaamiset avaimet on tallennettu pilven KMS-järjestelmään, Ciscon tietoturva-alueelle. Hybrid Data Security siirtää KMS:n ja muut tietoturvaan liittyvät toiminnot yrityksen datakeskukseen, joten salatun sisällön avaimet eivät ole kenelläkään muulla kuin sinulla.
Turvallisuusalueen arkkitehtuuri
Webexin pilviarkkitehtuurissa erityyppiset palvelut on jaettu erillisiin alueisiin eli luottamusalueisiin, kuten alla on kuvattu.
Jotta ymmärtäisimme hybriditietoturvaa paremmin, tarkastellaan ensin tätä puhdasta pilvitapausta, jossa Cisco tarjoaa kaikki toiminnot pilvialueillaan. Identiteettipalvelu, joka on ainoa paikka, jossa käyttäjät voidaan suoraan yhdistää henkilökohtaisiin tietoihinsa, kuten sähköpostiosoitteeseen, on loogisesti ja fyysisesti erillään tietoturva-alueesta datakeskuksessa B. Molemmat ovat puolestaan erillään alueesta, johon salattu sisältö lopulta tallennetaan, datakeskuksessa C.
Tässä kaaviossa asiakas on käyttäjän kannettavassa tietokoneessa oleva Webex-sovellus, joka on todennettu tunnistuspalvelun avulla. Kun käyttäjä laatii viestin lähetettäväksi tilaan, seuraavat vaiheet tapahtuvat:
-
Asiakas luo suojatun yhteyden avaintenhallintapalveluun (KMS) ja pyytää sitten avainta viestin salaamista varten. Suojattu yhteys käyttää ECDH:ta, ja KMS salaa avaimen AES-256-pääavaimella.
-
Viesti salataan ennen kuin se lähtee asiakkaalta. Asiakas lähettää sen indeksointipalveluun, joka luo salattuja hakuindeksejä sisällön myöhempien hakujen tueksi.
-
Salattu viesti lähetetään vaatimustenmukaisuuden tarkistamista varten vaatimustenmukaisuuspalveluun.
-
Salattu viesti tallennetaan tallennuskenttään.
Kun otat käyttöön hybriditietoturvan, siirrät tietoturvatoiminnot (KMS, indeksointi ja vaatimustenmukaisuus) toimitilakeskukseen. Muut Webexin muodostavat pilvipalvelut (kuten identiteetti ja sisällön tallennus) pysyvät Ciscon vastuulla.
Yhteistyö muiden organisaatioiden kanssa
Organisaatiosi käyttäjät saattavat käyttää Webex App -sovellusta säännöllisesti yhteistyöhön muiden organisaatioiden ulkopuolisten osallistujien kanssa. Kun joku käyttäjistäsi pyytää avainta tilaan, joka on organisaatiosi omistuksessa (koska sen on luonut joku käyttäjistäsi), KMS lähettää avaimen asiakkaalle ECDH-suojatun kanavan kautta. Kun tilan avain on kuitenkin toisen organisaation hallussa, KMS-järjestelmäsi reitittää pyynnön Webex-pilveen erillisen ECDH-kanavan kautta saadakseen avaimen asianmukaiselta KMS-järjestelmältä ja palauttaa avaimen sitten käyttäjälle alkuperäistä kanavaa pitkin.
Organisaatiossa A toimiva KMS-palvelu validoi yhteydet muiden organisaatioiden KMS-palveluihin x.509 PKI -varmenteiden avulla. Lisätietoja x.509-varmenteen luomisesta Hybrid Data Security -käyttöönoton yhteydessä on osoitteessa Prepare Your Environment .
Hybriditietoturvan käyttöönottoa koskevat odotukset
Hybriditietoturvan käyttöönotto edellyttää asiakkaan merkittävää sitoutumista ja tietoisuutta riskeistä, joita salausavainten omistamiseen liittyy.
Hybriditietoturvan käyttöönottamiseksi sinun on annettava seuraavat tiedot:
-
Turvallinen datakeskus maassa, joka on tuettu sijainti Cisco Webex Teams -suunnitelmille.
-
Laitteet, ohjelmistot ja verkkoyhteydet, jotka on kuvattu osoitteessa .
Jos Hybrid Data Securityn luomasi konfigurointi-ISO tai toimittamasi tietokanta katoaa kokonaan, avaimet menetetään. Avaimen menetys estää käyttäjiä purkamasta tilan sisältöä ja muita Webex App -sovelluksen salattuja tietoja. Jos näin käy, voit rakentaa uuden käyttöönoton, mutta vain uusi sisältö on näkyvissä. Jotta vältät pääsyn menetyksen tietoihin, sinun on:
-
Hallitse tietokannan ja konfigurointi-ISO:n varmuuskopiointia ja palautusta.
-
Valmistaudu nopeaan palautukseen, jos tapahtuu katastrofi, kuten tietokannan levyn vikaantuminen tai tietokeskuksen katastrofi.
Avaimia ei voi siirtää takaisin pilvipalveluun HDS:n käyttöönoton jälkeen.
Korkean tason asennusprosessi
Tässä asiakirjassa käsitellään hybriditietoturva-asennuksen käyttöönottoa ja hallintaa:
Hybrid Data Securityn perustaminen- Tähän sisältyy tarvittavan infrastruktuurin valmistelu ja Hybrid Data Security -ohjelmiston asentaminen, käyttöönoton testaaminen koekäyttötilassa osalla käyttäjistä ja, kun testaus on valmis, siirtyminen tuotantoon. Tämä muuttaa koko organisaation käyttämään Hybrid Data Security -klusteriasi tietoturvatoimintoihin.
Käyttöönotto-, kokeilu- ja tuotantovaiheita käsitellään yksityiskohtaisesti kolmessa seuraavassa luvussa.
-
Ylläpidä hybriditietoturvan käyttöönottoa- Webex-pilvi tarjoaa automaattisesti jatkuvia päivityksiä. Tietotekniikkaosastosi voi tarjota tason yksi tukea tälle käyttöönotolle ja ottaa tarvittaessa käyttöön Ciscon tuen. Voit käyttää näytön ilmoituksia ja määrittää sähköpostipohjaisia hälytyksiä Control Hubissa.
-
Ymmärrä yleisiä hälytyksiä, vianmääritysvaiheita ja tunnettuja ongelmia-Jos Hybrid Data Securityn käyttöönotossa tai käytössä ilmenee ongelmia, tämän oppaan viimeinen luku ja Tunnetut ongelmat -liite voivat auttaa sinua ongelman määrittämisessä ja korjaamisessa.
Hybriditietoturvan käyttöönottomalli
Hybrid Data Security otetaan käyttöön yrityksen datakeskuksessa erillisissä virtuaalisissa isännöintiasemissa sijaitsevien solmujen klusterina. Solmut kommunikoivat Webex-pilven kanssa suojattujen websockettien ja suojatun HTTP:n kautta.
Asennusprosessin aikana annamme sinulle OVA-tiedoston, jonka avulla voit asentaa virtuaalilaitteen toimittamillesi VM:ille. HDS Setup Tool -työkalun avulla luot mukautetun klusterin kokoonpanon ISO-tiedoston, jonka asennat kuhunkin solmuun. Hybrid Data Security -klusteri käyttää toimittamaasi Syslogd-palvelinta ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. (Syslogd- ja tietokantayhteyden tiedot määritetään HDS Setup Tool -työkalussa.)
Klusterissa voi olla vähintään kaksi solmua. Suosittelemme vähintään kolmea klusteria kohti. Useiden solmujen käyttö varmistaa, että palvelu ei keskeydy ohjelmistopäivityksen tai muun huoltotoimen aikana. (Webex-pilvi päivittää vain yhden solmun kerrallaan.)
Kaikki klusterin solmut käyttävät samaa avaintietovarastoa ja kirjaavat toiminnot samaan syslog-palvelimeen. Itse solmut ovat tilattomia, ja ne käsittelevät avainpyyntöjä round-robin -periaatteella pilven ohjeiden mukaisesti.
Solmuista tulee aktiivisia, kun rekisteröit ne Control Hubissa. Voit poistaa yksittäisen solmun käytöstä poistamalla sen rekisteristä ja rekisteröimällä sen myöhemmin uudelleen, jos se on tarpeen.
Tuemme vain yhtä klusteria per organisaatio.
Hybriditietoturvan kokeilutila
Kun olet määrittänyt hybriditietoturvan käyttöönoton, kokeile sitä ensin pilottikäyttäjien kanssa. Kokeilujakson aikana nämä käyttäjät käyttävät tiloissa olevaa Hybrid Data Security -tietoturvatoimialuettasi salausavaimiin ja muihin tietoturva-alueen palveluihin. Muut käyttäjät jatkavat pilviturva-alueen käyttöä.
Jos päätät olla jatkamatta käyttöönottoa kokeilujakson aikana ja poistat palvelun käytöstä, kokeilukäyttäjät ja kaikki käyttäjät, joiden kanssa he ovat olleet vuorovaikutuksessa luomalla uusia tiloja kokeilujakson aikana, menettävät pääsyn viesteihin ja sisältöön. He näkevät Webex-sovelluksessa ilmoituksen "Tätä viestiä ei voida purkaa".
Jos olet tyytyväinen siihen, että käyttöönotto toimii hyvin koekäyttäjien osalta ja olet valmis laajentamaan Hybrid Data Securityn kaikkiin käyttäjiin, siirrät käyttöönoton tuotantoon. Pilottikäyttäjillä on edelleen käytössä avaimet, jotka olivat käytössä kokeilun aikana. Et voi kuitenkaan siirtyä edestakaisin tuotantotilan ja alkuperäisen kokeilun välillä. Jos sinun on poistettava palvelu käytöstä, esimerkiksi katastrofitilanteen palauttamiseksi, sinun on käynnistettävä uusi kokeilu ja määritettävä kokeilukäyttäjien joukko uutta kokeilua varten, ennen kuin siirryt takaisin tuotantotilaan. Se, säilyttävätkö käyttäjät pääsyn tietoihin tässä vaiheessa, riippuu siitä, oletko onnistunut ylläpitämään avaintietovaraston ja ISO-kokoonpanotiedoston varmuuskopiot klusterin hybriditietoturvasolmujen osalta.
Valmiustietokeskus katastrofista toipumista varten
Käyttöönoton aikana perustat suojatun varakeskuspalvelinkeskuksen. Tietokeskuksen katastrofin sattuessa voit siirtää käyttöönoton manuaalisesti varakeskukseen.
Aktiivisen ja varalla olevan tietokeskuksen tietokannat ovat synkronoituina keskenään, mikä minimoi viansiirtoon kuluvan ajan. Varatietokeskuksen ISO-tiedosto päivitetään lisämäärityksillä, joilla varmistetaan, että solmut on rekisteröity organisaatioon, mutta ne eivät käsittele liikennettä. Näin ollen varakeskuksen solmut ovat aina ajan tasalla HDS-ohjelmiston uusimmalla versiolla.
Aktiivisten hybriditietoturvasolmujen on aina oltava samassa tietokeskuksessa kuin aktiivinen tietokantapalvelin.
Aseta varalla oleva datakeskus katastrofihyötyä varten
Seuraa alla olevia ohjeita määrittääksesi varalla olevan tietokeskuksen ISO-tiedoston:
Ennen kuin aloitat
-
Varatietokeskuksen tulisi peilata VM:ien tuotantoympäristöä ja PostgreSQL- tai Microsoft SQL Server -tietokannan varmuuskopiota. Jos esimerkiksi tuotannossa on 3 VM:ää, joilla on HDS-solmuja, varmuuskopiointiympäristössä pitäisi olla 3 VM:ää. (Yleiskatsaus tähän vikasietoisuuteen on osoitteessa Standby Data Center for Disaster Recovery .)
-
Varmista, että tietokannan synkronointi on käytössä aktiivisen ja passiivisen klusterin solmujen tietokantojen välillä.
1 |
Käynnistä HDS Setup -työkalu ja noudata kohdassa Create a Configuration ISO for the HDS Hosts mainittuja ohjeita. ISO-tiedoston on oltava kopio ensisijaisen tietokeskuksen alkuperäisestä ISO-tiedostosta, johon seuraavat kokoonpanopäivitykset on tarkoitus tehdä. |
2 |
Kun olet määrittänyt Syslogd-palvelimen, napsauta Advanced Settings (Lisäasetukset). |
3 |
Lisää Advanced Settings (Lisäasetukset) -sivulle alla oleva määritys, jotta solmu siirtyy passiiviseen tilaan. Tässä tilassa solmu rekisteröidään organisaatioon ja liitetään pilveen, mutta se ei käsittele mitään liikennettä.
|
4 |
Suorita konfigurointiprosessi loppuun ja tallenna ISO-tiedosto paikkaan, josta se on helppo löytää. |
5 |
Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmään. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää tietokannan sisällön pääsalausavaimen. Rajoita käyttöoikeus vain niille Hybrid Data Securityn järjestelmänvalvojille, joiden pitäisi tehdä määritysmuutoksia. |
6 |
Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia.. |
7 |
Napsauta Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File. Varmista, että Connected ja Connect at power on on valittuna, jotta päivitetyt konfiguraatiomuutokset tulevat voimaan solmujen käynnistämisen jälkeen. |
8 |
Kytke HDS-solmuun virta ja varmista, ettei hälytyksiä ole kuulunut vähintään 15 minuuttiin. |
9 |
Toista prosessi jokaiselle valmiustietokeskuksen solmulle. Tarkista syslogien avulla, että solmut ovat passiivisessa tilassa. Sinun pitäisi pystyä näkemään viesti "KMS configured in passive mode" (KMS määritetty passiiviseen tilaan) syslogeissa. |
Mitä tehdä seuraavaksi
Kun olet määrittänyt passiveMode
ISO-tiedostossa ja tallentanut sen, voit luoda toisen kopion ISO-tiedostosta ilman passiveMode
-määritystä ja tallentaa sen turvalliseen paikkaan. Tämä ISO-tiedoston kopio, jossa ei ole määritetty passiveMode
, voi auttaa nopeassa vikasietoisessa vikasietoisessa palautuksessa. Katso yksityiskohtainen vikasietoisuusmenettely osoitteessa Disaster Recovery using Standby Data Center .
Proxy-tuki
Hybrid Data Security tukee nimenomaisia, läpinäkyviä tarkastuksia ja tarkastamattomia välityspalvelimia. Voit liittää nämä välityspalvelimet käyttöönottoasi, jotta voit suojata ja valvoa liikennettä yrityksestä pilvipalveluun. Voit käyttää solmujen alustan hallintakäyttöliittymää varmenteiden hallintaan ja yhteyden yleisen tilan tarkistamiseen sen jälkeen, kun olet määrittänyt välityspalvelimen solmuihin.
Hybriditietoturvasolmut tukevat seuraavia välityspalvelinvaihtoehtoja:
-
Ei välityspalvelinta- Oletusarvo, jos et käytä HDS-solmun Trust Store & Proxy -määritystä välityspalvelimen integroimiseen. Varmenteen päivitystä ei tarvita.
-
Läpinäkyvä ei-tarkastava välityspalvelin-solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen ei-tarkastavan välityspalvelimen kanssa. Varmenteen päivitystä ei tarvita.
-
Läpinäkyvä tunnelointi tai välityspalvelimen tarkastaminen-solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. Solmujen HTTP- tai HTTPS-konfiguraatioita ei tarvitse muuttaa. Solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne voivat luottaa välittäjään. Tietotekniikka käyttää tyypillisesti tarkastavia välityspalvelimia valvomaan käytäntöjä, jotka koskevat sitä, millä verkkosivustoilla voi vierailla ja minkä tyyppistä sisältöä ei saa käyttää. Tämäntyyppinen välityspalvelin purkaa kaiken tietoliikenteesi (jopa HTTPS).
-
Eksplisiittinen välityspalvelin- Eksplisiittisellä välityspalvelimella kerrot HDS-solmuille, mitä välityspalvelinta ja todennusjärjestelmää käytetään. Jos haluat määrittää nimenomaisen välityspalvelimen, sinun on annettava seuraavat tiedot kussakin solmussa:
-
Välityspalvelimen IP/FQDN-osoite, jota voidaan käyttää välityspalvelimen koneen tavoittamiseen.
-
Välitysportti- Portin numero, jota välityspalvelin käyttää kuunnellakseen välitettyä liikennettä.
-
Välityspalvelinprotokolla-Valikoima seuraavista protokollista riippuu siitä, mitä välityspalvelimesi tukee:
-
HTTP-näkökulma: Näkee ja valvoo kaikkia asiakkaan lähettämiä pyyntöjä.
-
HTTPS-Varaa kanavan palvelimelle. Asiakas vastaanottaa palvelimen varmenteen ja vahvistaa sen.
-
-
Todennustyyppi-Valitse yksi seuraavista todennustyypeistä:
-
Ei mitään - Muita todennuksia ei tarvita.
Käytettävissä, jos valitset välityspalvelinprotokollaksi joko HTTP:n tai HTTPS:n.
-
Basic-Käytetään HTTP-käyttäjäagenttia antamaan käyttäjätunnus ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.
Käytettävissä, jos valitset välityspalvelinprotokollaksi joko HTTP:n tai HTTPS:n.
Vaatii käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.
-
Digest-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Soveltaa hash-funktiota käyttäjänimeen ja salasanaan ennen lähettämistä verkon yli.
Käytettävissä vain, jos valitset välityspalvelinprotokollaksi HTTPS:n.
Vaatii käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.
-
-
Esimerkki hybridi-tietoturvasolmuista ja välityspalvelimesta
Tässä kaaviossa on esimerkki Hybrid Data Securityn, verkon ja välityspalvelimen välisestä yhteydestä. Läpinäkyvä tarkastus ja HTTPS:n nimenomainen tarkastus -välityspalvelinvaihtoehdoissa sama juurivarmenne on asennettava välityspalvelimeen ja Hybrid Data Security -solmuun.
Estetty ulkoinen DNS-resoluutiotila (eksplisiittiset välityspalvelinkonfiguraatiot)
Kun rekisteröit solmun tai tarkistat solmun välityspalvelinkokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex -pilveen. Käyttöönotoissa, joissa on nimenomaiset välityspalvelinmääritykset, jotka eivät salli ulkoista DNS-resoluutiota sisäisille asiakkaille, jos solmu ei voi kysyä DNS-palvelimilta, se siirtyy automaattisesti estetty ulkoinen DNS-resoluutio -tilaan. Tässä tilassa solmun rekisteröinti ja muut välityspalvelimen yhteystestit voivat jatkua.
Valmistele ympäristösi
Hybriditietoturvaa koskevat vaatimukset
Cisco Webexin lisenssivaatimukset
Hybriditietoturvan käyttöönotto:
-
Sinulla on oltava Pro Pack for Cisco Webex Control Hub. (Katso https://www.cisco.com/go/pro-pack.)
Docker Desktop -vaatimukset
Ennen kuin asennat HDS-solmut, tarvitset Docker Desktopin asennusohjelman suorittamista varten. Docker päivitti hiljattain lisensointimalliaan. Organisaatiosi saattaa vaatia maksullisen Docker Desktop -tilauksen. Lisätietoja on Dockerin blogikirjoituksessa " Docker päivittää ja laajentaa tuotetilauksia".
X.509-varmenteen vaatimukset
Varmenteketjun on täytettävä seuraavat vaatimukset:
Vaatimus |
Tiedot |
---|---|
|
Oletusarvoisesti luotamme Mozillan luettelossa oleviin varmentajiin (lukuun ottamatta WoSignia ja StartComia) osoitteessa https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN:n ei tarvitse olla tavoitettavissa eikä sen tarvitse olla elävä isäntä. Suosittelemme, että käytät nimeä, joka kuvastaa organisaatiotasi, esimerkiksi CN ei saa sisältää *-merkkiä (jokerimerkki). CN:ää käytetään Hybrid Data Security -solmujen varmentamiseen Webex App -asiakkaille. Kaikki klusterin Hybrid Data Security -solmut käyttävät samaa varmentetta. KMS tunnistaa itsensä CN-toimialueen avulla, ei minkään x.509v3 SAN-kenttiin määritellyn toimialueen avulla. Kun olet rekisteröinyt solmun tällä varmenteella, emme tue CN-verkkotunnuksen nimen muuttamista. Valitse toimialue, jota voidaan käyttää sekä kokeilu- että tuotantokäytössä. |
|
KMS-ohjelmisto ei tue SHA1-allekirjoituksia yhteyksien vahvistamiseksi muiden organisaatioiden KMS-järjestelmiin. |
|
Voit käyttää OpenSSL:n kaltaista muunninta varmenteen muodon muuttamiseen. Sinun on annettava salasana, kun käynnistät HDS-asennustyökalun. |
KMS-ohjelmisto ei noudata avaimen käyttöä tai laajennettua avaimen käyttöä koskevia rajoituksia. Jotkin varmentajat vaativat, että kuhunkin varmenteeseen sovelletaan laajennettuja avainkäyttörajoituksia, kuten palvelimen todennusta. Voit käyttää palvelimen todennusta tai muita asetuksia.
Virtuaalisen isännän vaatimukset
Virtuaalisilla isännöintiasemilla, jotka perustat klusterin Hybrid Data Security -solmuiksi, on seuraavat vaatimukset:
-
Vähintään kaksi erillistä isäntäkonetta (suositellaan kolmea), jotka sijaitsevat samassa suojatussa tietokeskuksessa.
-
VMware ESXi 6.5 (tai uudempi) asennettuna ja käynnissä.
Sinun on päivitettävä, jos käytössäsi on aikaisempi ESXi-versio.
-
Vähintään 4 vCPU:ta, 8 Gt keskusmuistia, 30 Gt paikallista kiintolevytilaa palvelinta kohden.
Tietokantapalvelimen vaatimukset
Luo uusi tietokanta avainten tallentamista varten. Älä käytä oletustietokantaa. Kun HDS-sovellukset asennetaan, ne luovat tietokantakaavion.
Tietokantapalvelimessa on kaksi vaihtoehtoa. Vaatimukset ovat seuraavat:
PostgreSQL |
Microsoft SQL Server |
---|---|
|
|
Vähintään 8 vCPU:ta, 16 Gt keskusmuistia, riittävästi kiintolevytilaa ja valvonta sen varmistamiseksi, että sitä ei ylitetä (suositellaan 2 Tt, jos haluat käyttää tietokantaa pitkään ilman, että tallennustilaa tarvitsee lisätä). |
Vähintään 8 vCPU:ta, 16 Gt keskusmuistia, riittävästi kiintolevytilaa ja valvonta sen varmistamiseksi, että sitä ei ylitetä (suositellaan 2 Tt, jos haluat käyttää tietokantaa pitkään ilman, että tallennustilaa tarvitsee lisätä). |
HDS-ohjelmisto asentaa tällä hetkellä seuraavat ajuriversiot yhteydenpitoa varten tietokantapalvelimen kanssa:
PostgreSQL |
Microsoft SQL Server |
---|---|
Postgres JDBC -ajuri 42.2.5 |
SQL Server JDBC -ajuri 4.6 Tämä ajuriversio tukee SQL Server Always On -palvelinta ( Always On Failover Cluster Instances ja Always On -saatavuusryhmät). |
Lisävaatimukset Windows-todennusta varten Microsoft SQL Serveriä vastaan
Jos haluat, että HDS-solmut käyttävät Windows-todennusta Microsoft SQL Serverin avainsäilytystietokantaan pääsemiseksi, tarvitset ympäristössäsi seuraavat asetukset:
-
HDS-solmut, Active Directory -infrastruktuuri ja MS SQL Server on synkronoitava NTP:n avulla.
-
HDS-solmujen käyttöön annetulla Windows-tilillä on oltava tietokannan luku/kirjoitusoikeus.
-
HDS-solmujen käyttöön antamiesi DNS-palvelimien on kyettävä ratkaisemaan KDC-keskuksesi (Key Distribution Center).
-
Voit rekisteröidä Microsoft SQL Serverin HDS-tietokantainstanssin palvelupääkäyttäjänimeksi (Service Principal Name, SPN) Active Directoryyn. Katso Rekisteröi palvelupääkäyttäjän nimi Kerberos-yhteyksiä varten.
HDS-asennustyökalun, HDS-launcherin ja paikallisen KMS:n on käytettävä Windows-todennusta avainsäilytystietokannan käyttämiseen. Ne käyttävät ISO-konfiguraation tietoja SPN:n muodostamiseen, kun ne pyytävät pääsyä Kerberos-todennuksen avulla.
Ulkoiset liitäntävaatimukset
Määritä palomuuri sallimaan seuraavat HDS-sovellusten yhteydet:
Sovellus |
Protokolla |
Portti |
Suunta sovelluksesta |
Kohde |
---|---|---|---|---|
Hybriditietoturvasolmut |
TCP |
443 |
Lähtevä HTTPS ja WSS |
|
HDS-asennustyökalu |
TCP |
443 |
Lähtevä HTTPS |
|
Hybriditietoturvasolmut toimivat NAT:n (Network Access Translation) kanssa tai palomuurin takana, kunhan NAT tai palomuuri sallii vaaditut lähtevät yhteydet edellisessä taulukossa esitettyihin toimialueen kohteisiin. Hybriditietoturvasolmuihin saapuvien yhteyksien porttien ei pitäisi näkyä internetistä. Tietokeskuksessasi asiakkaat tarvitsevat hallinnollisia tarkoituksia varten pääsyn Hybrid Data Security -solmujen TCP-portteihin 443 ja 22.
Yhteisen identiteetin (CI) isäntien URL-osoitteet ovat aluekohtaisia. Nämä ovat nykyiset CI-isännät:
Alue |
Yleiset identiteetin isäntä-URL-osoitteet |
---|---|
Americas |
|
Euroopan unioni |
|
Kanada |
|
Välityspalvelimen vaatimukset
-
Tuemme virallisesti seuraavia välityspalvelinratkaisuja, jotka voidaan integroida hybriditietoturvasolmujen kanssa.
-
Läpinäkyvä välityspalvelin-Cisco Web Security Appliance (WSA).
-
Eksplisiittinen proxy-Squid.
HTTPS-liikennettä tarkastavat Squid-välityspalvelimet voivat häiritä websocket (wss:) -yhteyksien muodostamista. Voit kiertää tämän ongelman osoitteessa Configure Squid Proxies for Hybrid Data Security.
-
-
Tuemme seuraavia todennustyyppiyhdistelmiä nimenomaisille välityspalvelimille:
-
Ei todennusta HTTP:llä tai HTTPS:llä
-
Perustodennus HTTP:llä tai HTTPS:llä
-
Digest-todennus vain HTTPS:n kanssa
-
-
Läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-selkeän välityspalvelimen osalta sinulla on oltava kopio välityspalvelimen juurivarmenteesta. Tämän oppaan käyttöönotto-ohjeissa kerrotaan, miten kopio ladataan hybriditietoturvasolmujen luotettavuusvarastoihin.
-
HDS-solmuja isännöivä verkko on määritettävä siten, että portista 443 lähtevä TCP-liikenne reititetään välityspalvelimen kautta.
-
Verkkoliikennettä tarkastavat välityspalvelimet voivat häiritä verkkoliikenneyhteyksiä. Jos tämä ongelma ilmenee, ongelman voi ratkaista ohittamalla (tarkastamatta) liikenteen osoitteisiin
wbx2.com
jaciscospark.com
.
Täytä hybridi-tietoturvan edellytykset.
1 |
Varmista, että Webex-organisaatiossasi on käytössä Pro Pack for Cisco Webex Control Hub -palvelu, ja hanki tilitiedot tililtä, jolla on täydet organisaation järjestelmänvalvojan oikeudet. Ota yhteyttä Cisco-kumppaniin tai asiakaspäällikköön saadaksesi apua tässä prosessissa. |
2 |
Valitse toimialueen nimi HDS-käyttöönotollesi (esimerkiksi |
3 |
Valmistele identtiset virtuaaliset isännät, jotka perustat hybridi-tietoturvasolmuiksi klusteriin. Tarvitset vähintään kaksi erillistä isäntäkonetta (suositellaan kolmea), jotka sijaitsevat samassa suojatussa datakeskuksessa ja jotka täyttävät vaatimukset, jotka on esitetty osoitteessa Virtual Host Requirements. |
4 |
Valmistele tietokantapalvelin, joka toimii klusterin keskeisenä tietovarastona, Tietokantapalvelimen vaatimukset mukaisesti. Tietokantapalvelin on sijoitettava samaan turvalliseen datakeskukseen virtuaalisten isäntien kanssa. |
5 |
Jos haluat nopean palautumisen katastrofista, voit perustaa varmuuskopioympäristön toiseen datakeskukseen. Varmuuskopiointiympäristö peilaa tuotantoympäristöä, joka koostuu VM:istä ja varmuuskopioidusta tietokantapalvelimesta. Jos esimerkiksi tuotannossa on 3 VM:ää, joilla on HDS-solmuja, varmuuskopiointiympäristössä pitäisi olla 3 VM:ää. |
6 |
Määritä syslog-isäntä keräämään lokit klusterin solmuista. Kerää sen verkko-osoite ja syslog-portti (oletusarvo on UDP 514). |
7 |
Luo turvallinen varmuuskopiointikäytäntö hybriditietoturvasolmuja, tietokantapalvelinta ja syslog-isäntää varten. Jos haluat estää tietojen menetyksen, jota ei voida palauttaa, sinun on varmuuskopioitava tietokanta ja hybridi-dataturvallisuussolmuja varten luotu määritys-ISO-tiedosto. Koska hybriditietoturvasolmut tallentavat sisällön salauksessa ja salauksen purkamisessa käytettävät avaimet, toimivan käyttöönoton laiminlyönti johtaa UNRECOVERABLE LOSS kyseisen sisällön menetykseen. Webex App -asiakkaat tallentavat avaimet välimuistiin, joten katkos ei välttämättä näy heti, mutta se näkyy ajan myötä. Tilapäisiä katkoksia on mahdotonta estää, mutta ne ovat palautettavissa. Jos tietokanta tai konfigurointi-ISO-tiedosto kuitenkin menetetään kokonaan (varmuuskopioita ei ole saatavilla), asiakastietoja ei voida palauttaa. Hybriditietoturvasolmujen ylläpitäjien odotetaan ylläpitävän usein varmuuskopioita tietokannasta ja konfigurointi-ISO-tiedostosta ja olevan valmiita rakentamaan hybriditietoturvatietokeskuksen uudelleen, jos tapahtuu katastrofaalinen vika. |
8 |
Varmista, että palomuurin kokoonpano sallii Hybrid Data Security -solmujen yhteyden Ulkoisen yhteyden vaatimukset mukaisesti. |
9 |
Asenna Docker ( https://www.docker.com) mihin tahansa paikalliseen koneeseen, jossa on tuettu käyttöjärjestelmä (Microsoft Windows 10 Professional tai Enterprise 64-bittinen tai Mac OSX Yosemite 10.10.3 tai uudempi), jossa on verkkoselain, joka voi käyttää sitä osoitteessa http://127.0.0.1:8080. Docker-instanssin avulla lataat ja suoritat HDS Setup Tool -työkalun, joka luo paikalliset määritystiedot kaikille Hybrid Data Security -solmuille. Organisaatiosi saattaa tarvita Docker Desktop -lisenssin. Katso lisätietoja osoitteesta Docker Desktop -vaatimukset . Jotta HDS Setup Tool voidaan asentaa ja käyttää, paikallisella koneella on oltava osoitteessa External connectivity requirements esitetyt liitettävyysvaatimukset. |
10 |
Jos integroit välityspalvelimen Hybrid Data Securityyn, varmista, että se täyttää Proxy Server Requirements-vaatimukset. |
11 |
Jos organisaatiossasi käytetään hakemistosynkronointia, luo Active Directoryyn ryhmä nimeltä Avaimet tietylle tilalle asettaa tilan luoja. Kun valitset pilottikäyttäjiä, muista, että jos päätät poistaa hybriditietoturvan käyttöönoton pysyvästi käytöstä, kaikki käyttäjät menettävät pääsyn pilottikäyttäjien luomien tilojen sisältöön. Häviö näkyy heti, kun käyttäjien sovellukset päivittävät välimuistiin tallennetut kopiot sisällöstä. |
Hybriditietoturvaklusterin perustaminen
Hybriditietoturvan käyttöönoton tehtävävirta
Ennen kuin aloitat
1 |
Suorita alkuasetukset ja lataa asennustiedostot Lataa OVA-tiedosto paikalliselle koneellesi myöhempää käyttöä varten. |
2 |
Luo konfigurointi-ISO HDS-isäntäkoneille. Käytä HDS Setup Tool -työkalua luodaksesi ISO-kokoonpanotiedoston Hybrid Data Security -solmuja varten. |
3 |
Luo virtuaalikone OVA-tiedostosta ja suorita alkumääritykset, kuten verkkoasetukset. Mahdollisuus määrittää verkkoasetukset OVA-käyttöönoton aikana on testattu ESXi 6.5:n kanssa. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa. |
4 |
Hybriditietoturva VM:n määrittäminen Kirjaudu VM-konsoliin ja määritä kirjautumistiedot. Määritä solmun verkkoasetukset, jos et määrittänyt niitä OVA-käyttöönoton yhteydessä. |
5 |
Lataa ja asenna HDS-konfiguraatio-ISO-tiedosto. Määritä VM HDS Setup Tool -työkalulla luodusta ISO-kokoonpanotiedostosta. |
6 |
HDS-solmun määrittäminen välityspalvelimen integrointia varten Jos verkkoympäristö edellyttää välityspalvelinkonfiguraatiota, määritä solmun käyttämä välityspalvelintyyppi ja lisää tarvittaessa välityspalvelinvarmenne luottamussäilöön. |
7 |
Rekisteröi klusterin ensimmäinen solmu Rekisteröi VM Cisco Webex -pilvipalveluun Hybrid Data Security -solmuksi. |
8 |
Luo ja rekisteröi lisää solmuja Viimeistele klusterin asennus. |
9 |
Suorita kokeilu ja siirry tuotantoon (seuraava luku). Kunnes aloitat kokeilun, solmupisteesi tuottavat hälytyksen, joka osoittaa, että palvelua ei ole vielä aktivoitu. |
Lataa asennustiedostot
1 |
Kirjaudu sisään osoitteessa https://admin.webex.com ja valitse sitten Palvelut. |
2 |
Etsi Hybridipalvelut-osiosta Hybriditietoturva-kortti ja valitse sitten Määritä. Jos kortti on poistettu käytöstä tai et näe sitä, ota yhteyttä tilitiimiisi tai kumppaniorganisaatioon. Anna heille tilinumerosi ja pyydä ottamaan organisaatiosi käyttöön Hybrid Data Security. Löydät tilinumeron napsauttamalla organisaatiosi nimen vieressä oikeassa yläkulmassa olevaa hammaspyörää. Voit myös ladata OVA:n milloin tahansa Help -osiosta Settings -sivulla. Avaa sivu Hybrid Data Security -kortilla napsauttamalla Muokkaa asetuksia . Napsauta sitten Lataa Hybrid Data Security -ohjelmisto Help -osiossa . Ohjelmistopaketin vanhemmat versiot (OVA) eivät ole yhteensopivia uusimpien Hybrid Data Security -päivitysten kanssa. Tämä voi aiheuttaa ongelmia sovelluksen päivittämisen aikana. Varmista, että lataat OVA-tiedoston uusimman version. |
3 |
Valitse Ei osoittaaksesi, että et ole vielä määrittänyt solmua, ja valitse sitten Seuraava. OVA-tiedoston lataaminen alkaa automaattisesti. Tallenna tiedosto johonkin paikkaan koneellasi.
|
4 |
Voit myös valita Avaa käyttöönotto-opas tarkistaaksesi, onko tästä oppaasta saatavilla uudempi versio. |
Luo konfigurointi-ISO HDS-isäntäkoneille.
Hybrid Data Security -asennusprosessi luo ISO-tiedoston. Tämän jälkeen voit määrittää Hybrid Data Security -isäntäsovelluksen ISO-version avulla.
Ennen kuin aloitat
-
HDS Setup -työkalu toimii Docker-säiliönä paikallisella koneella. Voit käyttää sitä suorittamalla Dockerin kyseisellä koneella. Asennusprosessi edellyttää Control Hub -tilin tunnistetietoja, joilla on organisaatiosi täydet järjestelmänvalvojan oikeudet.
Jos HDS Setup -työkalu toimii ympäristössäsi välityspalvelimen takana, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien avulla, kun käynnistät Docker-säiliön vaiheessa 5. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:
Kuvaus
Muuttuja
HTTP-välityspalvelin ilman todennusta
GLOBAL_AGENTTI_HTTP_PROXY=http://SERVER_IP:PORTTI IP:PORTTI
HTTPS-välityspalvelin ilman todennusta
GLOBAL_AGENTTI_HTTPS_PROXY=http://SERVER_IP:PORTTI
HTTP-välityspalvelin todennuksen kanssa
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI
HTTPS-välityspalvelin todennuksella
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI
-
Luomasi konfigurointi-ISO-tiedosto sisältää pääavaimen, jolla PostgreSQL- tai Microsoft SQL Server -tietokanta salataan. Tarvitset uusimman kopion tästä tiedostosta aina, kun teet määritysmuutoksia, kuten näitä:
-
Tietokannan tunnistetiedot
-
Todistuksen päivitykset
-
Muutokset valtuutuskäytäntöön
-
-
Jos aiot salata tietokantayhteyksiä, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:ää varten.
1 |
Kirjoita koneesi komentoriville ympäristöllesi sopiva komento: Tavallisissa ympäristöissä: FedRAMP-ympäristöissä: Tämä vaihe puhdistaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta. | ||||||||||
2 |
Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti: | ||||||||||
3 |
Kirjoita salasanakehotteeseen tämä hash: | ||||||||||
4 |
Lataa uusin vakaa imago ympäristöllesi: Tavallisissa ympäristöissä: FedRAMP-ympäristöissä: | ||||||||||
5 |
Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:
Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080". | ||||||||||
6 |
Setup-työkalu ei tue yhteyden muodostamista localhostiin http://localhost:8080 kautta. Käytä http://127.0.0.1:8080 muodostaaksesi yhteyden localhostiin. Siirry verkkoselaimella osoitteeseen localhost, Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää asettaakseen oikean ympäristön kyseiselle tilille. Tämän jälkeen työkalu näyttää tavallisen kirjautumiskehotteen. | ||||||||||
7 |
Anna pyydettäessä Control Hub -asiakkaan järjestelmänvalvojan kirjautumistiedot ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn hybriditietoturvan edellyttämiin palveluihin. | ||||||||||
8 |
Napsauta Setup Tool -katsaussivulla Get Started. | ||||||||||
9 |
ISO Import -sivulla on seuraavat vaihtoehdot:
| ||||||||||
10 |
Tarkista, että X.509-varmenne täyttää osoitteessa X.509-varmenteen vaatimukset esitetyt vaatimukset.
| ||||||||||
11 |
Anna tietokantaosoite ja tili, jonka avulla HDS voi käyttää avaintietovarastoa: | ||||||||||
12 |
Valitse TLS-tietokantayhteystapa:
Kun lataat juurivarmenteen (tarvittaessa) ja napsautat Jatka, HDS Setup Tool testaa TLS-yhteyden tietokantapalvelimeen. Työkalu tarkistaa tarvittaessa myös varmenteen allekirjoittajan ja isäntänimen. Jos testi epäonnistuu, työkalu näyttää virheilmoituksen, jossa kuvataan ongelma. Voit valita, jätätkö virheen huomiotta ja jatkatko asennusta. (Yhteyseroista johtuen HDS-solmut saattavat pystyä muodostamaan TLS-yhteyden, vaikka HDS Setup Tool -kone ei pystyisi onnistuneesti testaamaan sitä.) | ||||||||||
13 |
Määritä Syslogd-palvelin Järjestelmälokit-sivulla: | ||||||||||
14 |
(Valinnainen) Voit muuttaa joidenkin tietokantayhteysparametrien oletusarvoa osoitteessa Lisäasetukset. Yleensä tämä parametri on ainoa, jota kannattaa muuttaa: | ||||||||||
15 |
Napsauta Jatka Reset Service Accounts Password -näytössä. Palvelutilien salasanojen käyttöikä on yhdeksän kuukautta. Käytä tätä näyttöä, kun salasanasi ovat umpeutumassa tai haluat nollata ne aiempien ISO-tiedostojen mitätöimiseksi. | ||||||||||
16 |
Klikkaa Lataa ISO-tiedosto. Tallenna tiedosto paikkaan, josta se on helppo löytää. | ||||||||||
17 |
Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmään. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää tietokannan sisällön pääsalausavaimen. Rajoita käyttöoikeus vain niille Hybrid Data Securityn järjestelmänvalvojille, joiden pitäisi tehdä määritysmuutoksia. | ||||||||||
18 |
Voit sammuttaa Setup-työkalun kirjoittamalla |
Mitä tehdä seuraavaksi
Varmuuskopioi konfigurointi-ISO-tiedosto. Tarvitset sitä luodaksesi lisää solmuja toipumista varten tai tehdessäsi kokoonpanomuutoksia. Jos menetät kaikki ISO-tiedoston kopiot, menetät myös pääavaimen. Avainten palauttaminen PostgreSQL- tai Microsoft SQL Server -tietokannasta ei ole mahdollista.
Meillä ei ole koskaan kopiota tästä avaimesta, emmekä voi auttaa, jos kadotat sen.
Asenna HDS Host OVA
1 |
Kirjaudu ESXi-virtuaali-isäntäkoneeseen VMware vSphere -asiakasohjelman avulla. |
2 |
Valitse File > Deploy OVF Template. |
3 |
Määritä ohjatussa toiminnossa aiemmin lataamasi OVA-tiedoston sijainti ja napsauta sitten Next. |
4 |
Kirjoita Valitse nimi ja kansio -sivulla Virtuaalikoneen nimi solmulle (esimerkiksi "HDS_Node_1"), valitse sijainti, jossa virtuaalikoneen solmun käyttöönotto voi sijaita, ja napsauta sitten Seuraava. |
5 |
Valitse Valitse laskentaresurssi -sivulla kohdelaskentaresurssi ja napsauta sitten Seuraava. Validointitarkistus suoritetaan. Kun se on valmis, mallin tiedot tulevat näkyviin. |
6 |
Tarkista mallin tiedot ja napsauta sitten Next. |
7 |
Jos sinua pyydetään valitsemaan resurssikokoonpano sivulla Configuration , valitse 4 CPU ja valitse sitten Next. |
8 |
Valitse Valitse tallennustila -sivulla Seuraava hyväksyäksesi oletusarvoisen levymuodon ja VM-tallennuskäytännön. |
9 |
Valitse Valitse verkot -sivulla verkkovaihtoehto luettelosta, joka tarjoaa VM:lle halutun yhteyden. |
10 |
Määritä seuraavat verkkoasetukset sivulla Customize template :
Voit halutessasi ohittaa verkkoasetusten määrityksen ja määrittää asetukset solmun konsolissa kohdan Hybriditietoturvan VM:n määrittäminen ohjeiden mukaisesti. Mahdollisuus määrittää verkkoasetukset OVA-käyttöönoton aikana on testattu ESXi 6.5:n kanssa. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa. |
11 |
Napsauta hiiren kakkospainikkeella solmun VM:ää ja valitse sitten .Hybrid Data Security -ohjelmisto asennetaan vieraana VM-isäntään. Olet nyt valmis kirjautumaan konsoliin ja määrittämään solmun. Vianmääritysvinkkejä Saattaa esiintyä muutaman minuutin viive, ennen kuin solmupisteiden säiliöt tulevat käyttöön. Konsolissa näkyy siltapalomuuriviesti ensimmäisen käynnistyksen aikana, jolloin et voi kirjautua sisään. |
Hybriditietoturva VM:n määrittäminen
Tällä menettelyllä voit kirjautua Hybrid Data Security -solmun VM-konsoliin ensimmäistä kertaa ja määrittää kirjautumistiedot. Voit myös määrittää solmun verkkoasetukset konsolin avulla, jos et määrittänyt niitä OVA-käyttöönoton yhteydessä.
1 |
Valitse VMware vSphere -asiakasohjelmassa Hybrid Data Security -solmun VM ja valitse Console -välilehti. VM käynnistyy ja näyttöön tulee kirjautumiskehote. Jos kirjautumiskehote ei tule näkyviin, paina Enter.
|
2 |
Kirjaudu sisään ja vaihda tunnistetiedot seuraavilla oletustunnuksilla: käyttäjätunnus ja salasana: Koska kirjaudut VM:ään ensimmäistä kertaa, sinun on vaihdettava järjestelmänvalvojan salasana. |
3 |
Jos olet jo määrittänyt verkkoasetukset kohdassa Install the HDS Host OVA, ohita tämän ohjeen loppuosa. Muussa tapauksessa valitse päävalikosta Edit Configuration . |
4 |
Määritä staattinen konfiguraatio, jossa on IP-osoite, maski, yhdyskäytävä ja DNS-tiedot. Solmulla pitäisi olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta. |
5 |
(Valinnainen) Muuta isäntänimeä, toimialuetta tai NTP-palvelinta (-palvelimia) tarvittaessa verkkokäytäntösi mukaiseksi. Verkkotunnuksen ei tarvitse vastata verkkotunnusta, jota käytit X.509-varmenteen hankkimiseen. |
6 |
Tallenna verkkokokoonpano ja käynnistä VM uudelleen, jotta muutokset tulevat voimaan. |
Lataa ja asenna HDS-konfiguraatio-ISO-tiedosto.
Ennen kuin aloitat
Koska ISO-tiedostossa on pääavain, se tulisi asettaa näkyville vain "tarvitsee tietää" -periaatteella, jotta hybriditietoturva-VM:t ja mahdolliset järjestelmänvalvojat, jotka saattavat joutua tekemään muutoksia, pääsevät siihen käsiksi. Varmista, että vain kyseiset järjestelmänvalvojat voivat käyttää tietovarastoa.
1 |
Lataa ISO-tiedosto tietokoneeltasi: |
2 |
Kiinnitä ISO-tiedosto: |
Mitä tehdä seuraavaksi
Jos tietotekniikkakäytäntösi edellyttää, voit vaihtoehtoisesti poistaa ISO-tiedoston liittämisen sen jälkeen, kun kaikki solmut ovat ottaneet käyttöön määritysmuutokset. Katso lisätietoja osoitteesta (Valinnainen) Unmount ISO After HDS Configuration .
HDS-solmun määrittäminen välityspalvelimen integrointia varten
Jos verkkoympäristö edellyttää välityspalvelinta, määritä tällä tavalla, minkä tyyppinen välityspalvelin haluat integroida Hybrid Data Securityyn. Jos valitset läpinäkyvän tarkastavan välityspalvelimen tai nimenomaisen HTTPS-välityspalvelimen, voit ladata ja asentaa juurivarmenteen solmun käyttöliittymän avulla. Voit myös tarkistaa välityspalvelinyhteyden käyttöliittymästä ja korjata mahdollisia ongelmia.
Ennen kuin aloitat
-
Katso yleiskatsaus tuetuista välityspalvelinvaihtoehdoista osoitteesta Proxy Support .
1 |
Kirjoita HDS-solmun asetusten URL-osoite |
2 |
Siirry osoitteeseen Trust Store & Proxy ja valitse sitten vaihtoehto:
Noudata seuraavia vaiheita, kun kyseessä on läpinäkyvä tarkastava välityspalvelin, HTTP-selkeä välityspalvelin, jossa on perustodennus, tai HTTPS-selkeä välityspalvelin. |
3 |
Napsauta Upload a Root Certificate or End Entity Certificate ja siirry sitten valitsemaan välityspalvelimen juurivarmenne. Varmenne on ladattu, mutta sitä ei ole vielä asennettu, koska solmun on käynnistettävä uudelleen varmenteen asentamiseksi. Saat lisätietoja napsauttamalla varmenteen myöntäjän nimen vieressä olevaa nuolta tai napsauttamalla Poista , jos teit virheen ja haluat ladata tiedoston uudelleen. |
4 |
Testaa solmun ja välityspalvelimen välinen verkkoyhteys napsauttamalla Check Proxy Connection . Jos yhteystesti epäonnistuu, näyttöön tulee virheilmoitus, jossa kerrotaan syy ja miten voit korjata ongelman. Jos näet viestin, jonka mukaan ulkoinen DNS-resoluutio ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen. Tämä ehto on odotettavissa monissa eksplisiittisissä välityspalvelinkokoonpanoissa. Voit jatkaa asetusten määrittämistä, ja solmu toimii Estetty ulkoinen DNS-resoluutio -tilassa. Jos luulet, että kyseessä on virhe, suorita nämä vaiheet ja katso sitten Ota estetty ulkoinen DNS-resoluutiotila pois käytöstä. |
5 |
Kun yhteystesti on läpäissyt, jos vain https:n välityspalvelimeksi on asetettu explicit proxy, kytke päälle . Reititä kaikki porttien 443/444 https-pyynnöt tästä solmusta explicit proxyn kautta. Tämä asetus vaatii 15 sekuntia tullakseen voimaan. |
6 |
Napsauta Asenna kaikki varmenteet luottamussäilöön (tulee näkyviin, jos kyseessä on HTTPS-selkeän välityspalvelimen tai läpinäkyvä tarkastava välityspalvelin) tai Käynnistä uudelleen (tulee näkyviin, jos kyseessä on HTTP-selkeän välityspalvelimen), lue kehote ja napsauta sitten Asenna , jos olet valmis. Solmu käynnistyy uudelleen muutamassa minuutissa. |
7 |
Kun solmu on käynnistetty uudelleen, kirjaudu tarvittaessa uudelleen sisään ja avaa sitten Overview -sivu tarkistaaksesi yhteystarkastukset ja varmistaaksesi, että ne ovat kaikki vihreässä tilassa. Välityspalvelinyhteyden tarkistus testaa vain webex.com-sivuston aliverkkotunnuksen. Jos yhteysongelmia ilmenee, yleinen ongelma on, että jotkin asennusohjeissa luetelluista pilvitoimialueista on estetty välityspalvelimessa. |
Rekisteröi klusterin ensimmäinen solmu
Kun rekisteröit ensimmäisen solmun, luot klusterin, johon solmu liitetään. Klusteri sisältää yhden tai useamman solmun, jotka on sijoitettu tarjoamaan redundanssia.
Ennen kuin aloitat
-
Kun aloitat solmun rekisteröinnin, sinun on saatettava se päätökseen 60 minuutin kuluessa tai sinun on aloitettava alusta.
-
Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen admin.webex.com-sivustolle.
1 |
Kirjaudu sisään osoitteessa https://admin.webex.com. |
2 |
Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut. |
3 |
Etsi Hybridipalvelut-osiosta Hybrid Data Security ja napsauta Set up. Näyttöön tulee Rekisteröi hybridi tietoturvasolmu -sivu.
|
4 |
Valitse Kyllä osoittaaksesi, että olet määrittänyt solmun ja olet valmis rekisteröimään sen, ja valitse sitten Seuraava. |
5 |
Kirjoita ensimmäiseen kenttään sen klusterin nimi, johon haluat määrittää Hybrid Data Security -solmun. Suosittelemme, että nimeät klusterin sen mukaan, missä klusterin solmut sijaitsevat maantieteellisesti. Esimerkkejä: "San Francisco" tai "New York" tai "Dallas". |
6 |
Kirjoita toiseen kenttään solmun sisäinen IP-osoite tai FQDN (fully qualified domain name) ja napsauta Next. Tämän IP-osoitteen tai FQDN:n tulisi vastata IP-osoitetta tai isäntänimeä ja toimialuetta, joita käytit kohdassa Hybrid Data Security VM:n määrittäminen. Näyttöön tulee viesti, jossa ilmoitetaan, että voit rekisteröidä solmun Webexiin.
|
7 |
Napsauta Go to Node. |
8 |
Napsauta varoitusviestissä Jatka . Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmujen yhteystesteihin. Jos kaikki testit ovat onnistuneet, näkyviin tulee Salli pääsy hybriditietoturvasolmulle -sivu. Siellä vahvistat, että haluat antaa Webex-organisaatiollesi oikeudet käyttää solmua.
|
9 |
Tarkista Allow Access to Your Hybrid Data Security Node -valintaruutu ja napsauta sitten Continue. Tilisi on vahvistettu ja "Rekisteröinti valmis" -viesti osoittaa, että solmusi on nyt rekisteröity Webex-pilveen.
|
10 |
Napsauta linkkiä tai sulje välilehti palataksesi takaisin Control Hub Hybrid Data Security -sivulle. Hybrid Data Security -sivulla näkyy uusi klusteri, joka sisältää rekisteröimäsi solmun. Solmu lataa automaattisesti uusimman ohjelmiston pilvestä.
|
Luo ja rekisteröi lisää solmuja
Tällä hetkellä varmuuskopio-VM:t, jotka olet luonut osoitteessa Complete the Prerequisites for Hybrid Data Security , ovat valmiusisäntiä, joita käytetään vain katastrofista toipumisen yhteydessä; niitä ei rekisteröidä järjestelmään ennen sitä. Lisätietoja on osoitteessa Disaster Recovery using Standby Data Center.
Ennen kuin aloitat
-
Kun aloitat solmun rekisteröinnin, sinun on saatettava se päätökseen 60 minuutin kuluessa tai sinun on aloitettava alusta.
-
Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen admin.webex.com-sivustolle.
1 |
Luo uusi virtuaalikone OVA:sta toistamalla vaiheet osoitteessa Install the HDS Host OVA. |
2 |
Määritä uuden VM:n alkukokoonpano toistamalla kohdasta Set up the Hybrid Data Security VM löytyvät vaiheet. |
3 |
Toista uudessa VM:ssä vaiheet osoitteessa Lataa ja asenna HDS-kokoonpanon ISO. |
4 |
Jos otat käyttöön välityspalvelimen, toista kohdan Configure the HDS Node for Proxy Integration vaiheet tarpeen mukaan uutta solmua varten. |
5 |
Rekisteröi solmu. Solmusi on rekisteröity. Huomaa, että ennen kuin aloitat kokeilun, solmut antavat hälytyksen, joka osoittaa, että palvelua ei ole vielä aktivoitu.
|
Mitä tehdä seuraavaksi
Suorita kokeilu ja siirry tuotantoon
Kokeilusta tuotantoon tehtävänkulku
Kun olet perustanut Hybrid Data Security -klusterin, voit aloittaa pilottihankkeen, lisätä siihen käyttäjiä ja alkaa käyttää sitä käyttöönoton testaamiseen ja tarkistamiseen tuotantoon siirtymistä varten.
Ennen kuin aloitat
1 |
Synkronoi tarvittaessa Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava |
2 |
Aloita kokeilu. Ennen kuin teet tämän tehtävän, solmut antavat hälytyksen, joka osoittaa, että palvelua ei ole vielä aktivoitu. |
3 |
Testaa hybriditietoturvan käyttöönottoa Tarkista, että keskeiset pyynnöt kulkevat Hybrid Data Security -käyttöönottoon. |
4 |
Hybriditietojen tietoturvan tilan seuranta Tarkista tila ja määritä sähköposti-ilmoitukset hälytyksiä varten. |
5 | |
6 |
Suorita kokeiluvaihe loppuun jollakin seuraavista toimista: |
Aktivoi Trial
Ennen kuin aloitat
Jos organisaatiosi käyttää hakemistosynkronointia käyttäjille, sinun on valittava HdsTrialGroup
-ryhmäobjekti synkronoitavaksi pilveen, ennen kuin voit aloittaa organisaatiosi kokeilun. Ohjeet löytyvät osoitteesta Deployment Guide for Cisco Directory Connector.
1 |
Kirjaudu sisään osoitteessa https://admin.webex.com ja valitse sitten Palvelut. |
2 |
Napsauta Hybriditietoturva-kohdassa Asetukset. |
3 |
Valitse Palvelun tila -osiossa Käynnistä kokeilu. Palvelun tila muuttuu kokeilutilaan.
|
4 |
Napsauta Add Users ja syötä yhden tai useamman käyttäjän sähköpostiosoite, jotta voit kokeilla Hybrid Data Security -solmujen käyttöä salaus- ja indeksointipalveluihin. (Jos organisaatiossasi käytetään hakemistosynkronointia, käytä Active Directoryta kokeiluryhmän hallintaan, |
Testaa hybriditietoturvan käyttöönottoa
Ennen kuin aloitat
-
Määritä hybriditietoturvan käyttöönotto.
-
Aktivoi kokeiluversio ja lisää useita kokeilukäyttäjiä.
-
Varmista, että sinulla on pääsy syslogiin, jotta voit tarkistaa, että avainpyynnöt kulkevat Hybrid Data Security -käyttöönottoon.
1 |
Avaimet tietylle tilalle asettaa tilan luoja. Kirjaudu Webex-sovellukseen yhtenä pilottikäyttäjistä, luo tila ja kutsu vähintään yksi pilottikäyttäjä ja yksi ei-pilottikäyttäjä. Jos poistat Hybrid Data Security -käyttöönoton käytöstä, pilottikäyttäjien luomien tilojen sisältöön ei enää pääse käsiksi, kun salausavainten asiakaskeskeiset kopiot on korvattu. |
2 |
Lähetä viestejä uuteen tilaan. |
3 |
Tarkista syslog-tulosteesta, että avainpyynnöt kulkevat Hybrid Data Security -käyttöönottoon. |
Hybriditietojen tietoturvan tilan seuranta
1 |
Valitse Control Hubissa näytön vasemmassa reunassa olevasta valikosta Palvelut . |
2 |
Etsi Hybridipalvelut-osiosta Hybriditietoturva ja napsauta Asetukset. Hybriditietojen suojausasetukset -sivu tulee näkyviin.
|
3 |
Kirjoita Sähköposti-ilmoitukset-osioon yksi tai useampi sähköpostiosoite pilkuilla erotettuna ja paina Enter. |
Lisää tai poista käyttäjiä kokeilusta
Jos poistat käyttäjän kokeilusta, käyttäjän asiakas pyytää avaimia ja avainten luomista pilvipalvelun KMS:stä oman KMS:n sijasta. Jos asiakas tarvitsee avaimen, joka on tallennettu KMS-järjestelmään, pilvi-KMS hakee sen käyttäjän puolesta.
Jos organisaatiossasi käytetään hakemistosynkronointia, käytä Active Directorya (tämän menettelyn sijasta) kokeiluryhmän hallintaan, HdsTrialGroup
; voit tarkastella ryhmän jäseniä Control Hubissa, mutta et voi lisätä tai poistaa heitä.
1 |
Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut. |
2 |
Napsauta Hybriditietoturva-kohdassa Asetukset. |
3 |
Napsauta Palvelun tila -alueen Kokeilutila-osiossa Lisää käyttäjiä tai poista käyttäjät kokeilusta napsauttamalla Näytä ja muokkaa . |
4 |
Kirjoita yhden tai useamman lisättävän käyttäjän sähköpostiosoite tai poista käyttäjä kokeilusta napsauttamalla käyttäjätunnuksen vieressä olevaa X . Napsauta sitten Tallenna. |
Siirtyminen kokeilusta tuotantoon
1 |
Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut. |
2 |
Napsauta Hybriditietoturva-kohdassa Asetukset. |
3 |
Valitse Palvelun tila -osiossa Siirrä tuotantoon. |
4 |
Vahvista, että haluat siirtää kaikki käyttäjät tuotantoon. |
Lopeta kokeilu siirtymättä tuotantoon
1 |
Kirjaudu sisään Control Hubiin ja valitse sitten Palvelut. |
2 |
Napsauta Hybriditietoturva-kohdassa Asetukset. |
3 |
Napsauta Deaktivoi-osiossa Deaktivoi. |
4 |
Vahvista, että haluat poistaa palvelun käytöstä ja lopettaa kokeilujakson. |
Hallitse HDS-käyttöönottoa
Hallitse HDS:n käyttöönottoa
Käytä tässä kuvattuja tehtäviä Hybrid Data Security -käyttöönoton hallintaan.
Aseta klusterin päivitysaikataulu
Päivityksen aikataulun asettaminen:
1 |
Kirjaudu sisään osoitteessa Control Hub. |
2 |
Valitse Yleiskatsaus-sivun Hybridipalvelut-kohdasta Hybrid Data Security. |
3 |
Valitse klusteri Hybriditietoturvaresurssit-sivulla. |
4 |
Valitse klusterin nimi oikeanpuoleisen Yleiskatsaus-paneelin Klusterin asetukset -kohdasta. |
5 |
Valitse Asetukset-sivun Päivitys-kohdassa päivitysaikataulun aika ja aikavyöhyke. Huomautus: Aikavyöhykkeen alla näkyy seuraava saatavilla oleva päivityspäivämäärä ja -aika. Voit tarvittaessa siirtää päivityksen seuraavalle päivälle napsauttamalla Postpone. |
Solmun kokoonpanon muuttaminen
-
x.509-varmenteiden muuttaminen vanhentumisen tai muiden syiden vuoksi.
Emme tue varmenteen CN-verkkotunnuksen nimen muuttamista. Verkkotunnuksen on vastattava klusterin rekisteröinnissä käytettyä alkuperäistä verkkotunnusta.
-
Tietokanta-asetusten päivittäminen PostgreSQL- tai Microsoft SQL Server -tietokannan kopion vaihtamiseksi.
Emme tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin tai päinvastoin. Jos haluat vaihtaa tietokantaympäristön, aloita uusi Hybrid Data Security -käyttöönotto.
-
Uuden kokoonpanon luominen uuden datakeskuksen valmistelemiseksi.
Hybrid Data Security käyttää turvallisuussyistä myös palvelutilien salasanoja, joiden käyttöikä on yhdeksän kuukautta. Kun HDS-asennustyökalu on luonut nämä salasanat, otat ne käyttöön kussakin HDS-solmussa ISO-määritystiedostossa. Kun organisaatiosi salasanojen voimassaolo lähestyy päättymistään, saat Webex-tiimiltä ilmoituksen, jossa pyydetään palauttamaan konetilisi salasana. (Sähköpostiviestissä on teksti: "Päivitä salasana konetilin API:n avulla."). Jos salasanasi eivät ole vielä vanhentuneet, työkalu antaa sinulle kaksi vaihtoehtoa:
-
Pehmeä nollaus- Vanha ja uusi salasana toimivat molemmat enintään 10 päivän ajan. Käytä tätä ajanjaksoa solmujen ISO-tiedoston korvaamiseen asteittain.
-
Hard reset- Vanhat salasanat lakkaavat toimimasta välittömästi.
Jos salasanasi vanhenevat ilman nollausta, se vaikuttaa HDS-palveluun ja edellyttää välitöntä kovaa nollausta ja ISO-tiedoston vaihtamista kaikissa solmuissa.
Tämän menettelyn avulla voit luoda uuden ISO-konfiguraatiotiedoston ja soveltaa sitä klusteriin.
Ennen kuin aloitat
-
HDS Setup -työkalu toimii Docker-säiliönä paikallisella koneella. Voit käyttää sitä suorittamalla Dockerin kyseisellä koneella. Asennusprosessi edellyttää Control Hub -tilin tunnistetietoja, joilla on organisaatiosi täydet järjestelmänvalvojan oikeudet.
Jos HDS Setup -työkalu toimii ympäristössäsi välityspalvelimen takana, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien avulla, kun käynnistät Docker-säiliön osoitteessa 1.e. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:
Kuvaus
Muuttuja
HTTP-välityspalvelin ilman todennusta
GLOBAL_AGENTTI_HTTP_PROXY=http://SERVER_IP:PORTTI IP:PORTTI
HTTPS-välityspalvelin ilman todennusta
GLOBAL_AGENTTI_HTTPS_PROXY=http://SERVER_IP:PORTTI
HTTP-välityspalvelin todennuksen kanssa
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI
HTTPS-välityspalvelin todennuksella
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI
-
Tarvitset kopion nykyisestä kokoonpanon ISO-tiedostosta uuden kokoonpanon luomiseksi. ISO-tietokanta sisältää pääavaimen, jolla PostgreSQL- tai Microsoft SQL Server -tietokanta salataan. Tarvitset ISO-tietoa, kun teet määritysmuutoksia, kuten tietokannan valtuustiedot, varmenteen päivitykset tai valtuutuskäytännön muutokset.
1 |
Suorita HDS-asennustyökalu Dockerin avulla paikallisella koneella. |
2 |
Jos sinulla on vain yksi HDS-solmu, jossa on käytössä, luo uusi Hybrid Data Security -solmun VM ja rekisteröi se käyttämällä uutta konfigurointi-ISO-tiedostoa. Tarkempia ohjeita on osoitteessa Create and Register More Nodes. |
3 |
Asenna ISO-tiedosto olemassa oleviin HDS-solmuihin, joissa on käytössä vanhempi konfiguraatiotiedosto. Suorita seuraavat toimenpiteet jokaiselle solmulle vuorotellen ja päivitä jokainen solmu ennen seuraavan solmun sammuttamista: |
4 |
Toista vaihe 3 korvataksesi kokoonpano jokaisessa jäljellä olevassa solmussa, jossa on käytössä vanha kokoonpano. |
Sammuta estetty ulkoinen DNS-resoluutiotila
Kun rekisteröit solmun tai tarkistat solmun välityspalvelinkokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex -pilveen. Jos solmun DNS-palvelin ei pysty ratkaisemaan julkisia DNS-nimiä, solmu siirtyy automaattisesti estetty ulkoinen DNS-resoluutio -tilaan.
Jos solmut pystyvät ratkaisemaan julkiset DNS-nimet sisäisten DNS-palvelimien kautta, voit poistaa tämän tilan käytöstä suorittamalla välityspalvelinyhteystestin uudelleen kussakin solmussa.
Ennen kuin aloitat
1 |
Avaa verkkoselaimessa Hybrid Data Security -solmun käyttöliittymä (esimerkiksi IP-osoite/asetukset, https://192.0.2.0/setup), ), syötä solmulle määrittämäsi järjestelmänvalvojan tunnukset ja napsauta sitten Kirjaudu sisään. |
2 |
Siirry osoitteeseen Overview (oletussivu). Kun se on käytössä, Estetty ulkoinen DNS-resoluutio on asetettu Kyllä. |
3 |
Siirry Trust Store & Proxy -sivulle. |
4 |
Napsauta Tarkista välityspalvelinyhteys. Jos näet viestin, jonka mukaan ulkoinen DNS-resoluutio ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen, ja se pysyy tässä tilassa. Muussa tapauksessa, kun olet käynnistänyt solmun uudelleen ja palannut sivulle Overview , Blocked External DNS Resolution (estetty ulkoinen DNS-resoluutio) -asetuksen pitäisi olla ei. |
Mitä tehdä seuraavaksi
Poista solmu
1 |
Kirjaudu tietokoneen VMware vSphere -asiakasohjelmalla ESXi-virtuaali-isäntäkoneeseen ja sammuta virtuaalikone. |
2 |
Poista solmu: |
3 |
Poista VM vSphere-asiakasohjelmassa. (Napsauta hiiren kakkospainikkeella VM:ää vasemmassa navigointipaneelissa ja valitse Poista.) Jos et poista VM:ää, muista poistaa konfigurointi-ISO-tiedosto. Ilman ISO-tiedostoa et voi käyttää VM:ää turvatietojen käyttämiseen. |
Katastrofista palautuminen varalla olevan datakeskuksen avulla
Hybriditietoturvaklusterin tarjoama kriittisin palvelu on avainten luominen ja tallentaminen, joita käytetään viestien ja muun Webex-pilveen tallennetun sisällön salaamiseen. Jokaisen organisaatiossa olevan käyttäjän, joka on määritetty hybriditietoturvan käyttäjäksi, uudet avainten luontipyynnöt ohjataan klusteriin. Klusteri on myös vastuussa luomiensa avainten palauttamisesta kaikille käyttäjille, joilla on oikeus hakea niitä, esimerkiksi keskusteluavaruuden jäsenille.
Koska klusterin kriittisenä tehtävänä on tarjota nämä avaimet, on ehdottoman tärkeää, että klusteri pysyy toiminnassa ja että asianmukaisia varmuuskopioita ylläpidetään. Hybriditietoturvatietokannan tai skeemassa käytetyn konfigurointi-ISO-tietokannan menetys johtaa asiakassisällön KORJAAMATTOMAAN HÄVIÖÖN. Seuraavat käytännöt ovat pakollisia tällaisten menetysten estämiseksi:
Jos katastrofi aiheuttaa sen, että ensisijaisen tietokeskuksen HDS-käyttöönotto ei ole käytettävissä, noudata tätä menettelyä siirtyäksesi manuaalisesti varakeskukseen.
1 |
Käynnistä HDS Setup -työkalu ja noudata kohdassa Create a Configuration ISO for the HDS Hosts mainittuja ohjeita. |
2 |
Kun olet määrittänyt Syslogd-palvelimen, napsauta Advanced Settings (Lisäasetukset). |
3 |
Lisää Advanced Settings -sivulla alla oleva määritys tai poista
|
4 |
Suorita konfigurointiprosessi loppuun ja tallenna ISO-tiedosto paikkaan, josta se on helppo löytää. |
5 |
Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmään. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää tietokannan sisällön pääsalausavaimen. Rajoita käyttöoikeus vain niille Hybrid Data Securityn järjestelmänvalvojille, joiden pitäisi tehdä määritysmuutoksia. |
6 |
Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia.. |
7 |
Napsauta Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File. Varmista, että Connected ja Connect at power on on valittuna, jotta päivitetyt konfiguraatiomuutokset tulevat voimaan solmujen käynnistämisen jälkeen. |
8 |
Kytke HDS-solmuun virta ja varmista, ettei hälytyksiä ole kuulunut vähintään 15 minuuttiin. |
9 |
Toista prosessi jokaiselle valmiustietokeskuksen solmulle. Tarkista syslog-tulosteesta, että varalla olevan tietokeskuksen solmut eivät ole passiivisessa tilassa. "KMS configured in passive mode" ei pitäisi näkyä syslogeissa. |
Mitä tehdä seuraavaksi
(Valinnainen) Irrota ISO-levy HDS-konfiguraation jälkeen
HDS:n vakiokokoonpanossa ISO-levy on asennettuna. Jotkut asiakkaat eivät kuitenkaan halua jättää ISO-tiedostoja jatkuvasti asennettuna. Voit poistaa ISO-tiedoston liitännän sen jälkeen, kun kaikki HDS-solmut ovat ottaneet uuden kokoonpanon käyttöön.
Voit edelleen käyttää ISO-tiedostoja kokoonpanomuutosten tekemiseen. Kun luot uuden ISO-tietolevyn tai päivität ISO-tietolevyn asetustyökalun avulla, päivitetty ISO-tietolevy on asennettava kaikkiin HDS-solmuihin. Kun kaikki solmusi ovat ottaneet konfiguraatiomuutokset käyttöön, voit purkaa ISO-levyn uudelleen tällä tavalla.
Ennen kuin aloitat
Päivitä kaikki HDS-solmut versioon 2021.01.22.4720 tai uudempaan.
1 |
Sammuta yksi HDS-solmuistasi. |
2 |
Valitse vCenter Server Appliance -laitteessa HDS-solmu. |
3 |
Valitse Datastore ISO File. ja poista valinta |
4 |
Kytke HDS-solmuun virta ja varmista, että hälytyksiä ei ole tullut vähintään 20 minuuttiin. |
5 |
Toista tämä vuorotellen jokaiselle HDS-solmulle. |
Vianmääritys hybridi tietoturva
Näytä hälytykset ja vianmääritys
Hybriditietoturvakäytön katsotaan olevan käyttökelvoton, jos kaikki klusterin solmut eivät ole tavoitettavissa tai jos klusteri toimii niin hitaasti, että pyynnöt keskeytyvät. Jos käyttäjät eivät pääse Hybrid Data Security -klusteriin, he kokevat seuraavia oireita:
-
Uusia tiloja ei voida luoda (uusia avaimia ei voida luoda).
-
Viestien ja tilojen otsikot eivät onnistu salauksen purkamisessa:
-
Tilaan on lisätty uusia käyttäjiä (ei pysty hakemaan avaimia).
-
Tilan nykyiset käyttäjät käyttävät uutta asiakasta (eivät pysty hakemaan avaimia).
-
-
Tilan nykyiset käyttäjät jatkavat menestyksekästä toimintaa niin kauan kuin heidän asiakkaillaan on salausavainten välimuisti.
On tärkeää, että valvot hybriditietoturvaklusteriasi asianmukaisesti ja käsittelet kaikki hälytykset nopeasti, jotta vältät palveluhäiriöt.
Hälytykset
Jos hybriditietoturva-asetuksissa on ongelmia, Control Hub näyttää hälytyksiä organisaation ylläpitäjälle ja lähettää sähköpostiviestejä määritettyyn sähköpostiosoitteeseen. Hälytykset kattavat monia yleisiä skenaarioita.
Hälytys |
Toiminta |
---|---|
Paikallisen tietokannan käyttöhäiriö. |
Tarkista tietokantavirheet tai lähiverkko-ongelmat. |
Paikallisen tietokantayhteyden epäonnistuminen. |
Tarkista, että tietokantapalvelin on käytettävissä ja että solmun määrityksessä käytettiin oikeaa palvelutilin tunnistetietoja. |
Pilvipalvelun käyttöhäiriö. |
Tarkista, että solmut voivat käyttää Webex-palvelimia osoitteessa Ulkoiset yhteysvaatimukset määritellyllä tavalla. |
Pilvipalvelun rekisteröinnin uusiminen. |
Pilvipalveluihin rekisteröityminen lopetettiin. Rekisteröinnin uusiminen on käynnissä. |
Pilvipalvelun rekisteröinti lopetettu. |
Rekisteröinti pilvipalveluihin lopetettu. Palvelu suljetaan. |
Palvelua ei ole vielä aktivoitu. |
Aktivoi kokeilu tai siirrä kokeilu tuotantoon. |
Määritetty verkkotunnus ei vastaa palvelimen varmennetta. |
Varmista, että palvelimen varmenne vastaa määritettyä palvelun aktivointialuetta. Todennäköisin syy on se, että varmenteen CN-nimike on äskettäin vaihdettu ja se on nyt eri kuin alkuperäisen asennuksen aikana käytetty CN-nimike. |
Pilvipalveluiden todennus epäonnistui. |
Tarkista palvelutilin tunnusten oikeellisuus ja mahdollinen vanhentuminen. |
Paikallista avainsäilytystiedostoa ei onnistuttu avaamaan. |
Tarkista paikallisen avainsäilytystiedoston eheys ja salasanan oikeellisuus. |
Paikallisen palvelimen varmenne on virheellinen. |
Tarkista palvelimen varmenteen voimassaoloaika ja varmista, että sen on myöntänyt luotettava varmentaja. |
Ei pysty lähettämään mittareita. |
Tarkista paikallisverkon pääsy ulkoisiin pilvipalveluihin. |
/media/configdrive/hds-hakemistoa ei ole olemassa. |
Tarkista virtuaalisen isäntäkoneen ISO-kiinnityskonfiguraatio. Tarkista, että ISO-tiedosto on olemassa, että se on määritetty liitettäväksi uudelleenkäynnistyksen yhteydessä ja että se liitetään onnistuneesti. |
Vianmääritys hybridi tietoturva
1 |
Tarkista Control Hubista mahdolliset hälytykset ja korjaa kaikki sieltä löytyvät kohteet. |
2 |
Tarkista syslog-palvelimen tulosteet Hybrid Data Security -käyttöönoton toiminnan osalta. |
3 |
Ota yhteyttä Ciscon tukeen. |
Muut huomautukset
Hybriditietoturvan tunnetut ongelmat
-
Jos sammutat Hybrid Data Security -klusterin (poistamalla sen Control Hubista tai sammuttamalla kaikki solmut), menetät määritys-ISO-tiedoston tai menetät pääsyn avainsäilytystietokantaan, Webex App -käyttäjät eivät voi enää käyttää henkilöluettelossaan olevia tiloja, jotka on luotu KMS-avaimilla. Tämä koskee sekä kokeilu- että tuotantokäyttöä. Meillä ei ole tällä hetkellä ratkaisua tai korjausta tähän ongelmaan, ja kehotamme sinua olemaan sammuttamatta HDS-palveluja, kun ne käsittelevät aktiivisia käyttäjätilejä.
-
Asiakas, jolla on olemassa oleva ECDH-yhteys KMS-järjestelmään, säilyttää yhteyden tietyn ajan (todennäköisesti tunnin). Kun käyttäjästä tulee hybriditietoturvakokeilun jäsen, käyttäjän asiakas jatkaa olemassa olevan ECDH-yhteyden käyttöä, kunnes sen kesto päättyy. Vaihtoehtoisesti käyttäjä voi kirjautua ulos ja palata Webex App -sovellukseen päivittääkseen sijainnin, johon sovellus ottaa yhteyttä salausavaimia varten.
Sama tapahtuu, kun siirrät kokeilun organisaation tuotantoon. Kaikki muut kuin koekäyttäjät, joilla on olemassa olevat ECDH-yhteydet aiempiin tietoturvapalveluihin, käyttävät näitä palveluja edelleen, kunnes ECDH-yhteys neuvotellaan uudelleen (aikakatkaisun kautta tai kirjautumalla ulos ja uudelleen sisään).
Käytä OpenSSL:ää PKCS12-tiedoston luomiseen
Ennen kuin aloitat
-
OpenSSL on yksi työkalu, jota voidaan käyttää PKCS12-tiedoston saattamiseen oikeaan muotoon HDS-asennustyökalun lataamista varten. On muitakin tapoja tehdä tämä, emmekä me tue tai suosittele yhtä tapaa toisen sijaan.
-
Jos päätät käyttää OpenSSL:ää, annamme tämän ohjeen, jonka avulla voit luoda tiedoston, joka täyttää X.509-varmenteen vaatimukset osoitteessa X.509 Certificate Requirements. Ymmärrä nämä vaatimukset ennen kuin jatkat.
-
Asenna OpenSSL tuettuun ympäristöön. Katso ohjelmisto ja dokumentaatio osoitteesta https://www.openssl.org .
-
Luo yksityinen avain.
-
Aloita tämä toimenpide, kun saat palvelinvarmenteen varmentajalta.
1 |
Kun saat palvelinvarmenteen varmentajalta, tallenna se osoitteeseen |
2 |
Näytä varmenne tekstinä ja tarkista tiedot.
|
3 |
Luo tekstieditorilla varmennepakettitiedosto nimeltä
|
4 |
Luo .p12-tiedosto, jonka nimi on
|
5 |
Tarkista palvelimen varmenteen tiedot. |
Mitä tehdä seuraavaksi
Palaa osoitteeseen Suorita Hybriditietoturvan edellytykset. Käytät hdsnode.p12
-tiedostoa ja sille asettamaasi salasanaa kohdassa Luo konfigurointi-ISO HDS-isäntäasemille.
Voit käyttää näitä tiedostoja uudelleen uuden varmenteen pyytämiseen, kun alkuperäinen varmenne vanhenee.
HDS-solmujen ja pilvipalvelun välinen liikenne
Lähtevien mittareiden keräysliikenne
Hybriditietoturvasolmut lähettävät tiettyjä mittareita Webex-pilveen. Näihin kuuluvat järjestelmän metriikat, jotka koskevat kasan enimmäismäärää, käytettyä kasaa, suorittimen kuormitusta ja säikeiden lukumäärää, synkronisten ja asynkronisten säikeiden metriikat, salausyhteyksien kynnysarvoa, viiveaikaa tai pyyntöjonon pituutta koskevien hälytysten metriikat, tietovaraston metriikat ja salausyhteyksien metriikat. Solmut lähettävät salatun avainmateriaalin kaistan ulkopuolisen (pyynnöstä erillisen) kanavan kautta.
Saapuva liikenne
Hybriditietoturvasolmut vastaanottavat Webex-pilvestä seuraavanlaista saapuvaa liikennettä:
-
Asiakkaiden salauspyynnöt, jotka salauspalvelu ohjaa eteenpäin.
-
Solmuohjelmiston päivitykset
Määritä Squid-välityspalvelimet hybridi-dataturvallisuutta varten
Websocket ei voi muodostaa yhteyttä Squid-proxyn kautta
HTTPS-liikennettä tarkastavat Squid-välityspalvelimet voivat häiritä Hybrid Data Securityn edellyttämien websocket-yhteyksien (wss:
) muodostamista. Näissä osioissa annetaan ohjeita siitä, miten Squidin eri versiot voidaan konfiguroida sivuuttamaan wss:
liikenne palvelujen moitteettoman toiminnan varmistamiseksi.
Kalmarit 4 ja 5
Lisää on_unsupported_protocol
-direktiivi osoitteeseen squid.conf
:
on_unsupported_protocol tunneli kaikki
Squid 3.5.27
Testasimme onnistuneesti Hybrid Data Securitya seuraavien sääntöjen avulla, jotka lisättiin osoitteeseen squid.conf
. Nämä säännöt voivat muuttua, kun kehitämme ominaisuuksia ja päivitämme Webex-pilveä.
acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all