Tässä artikkelissa
dropdown icon
Uudet ja muuttuneet tiedot
    Uudet ja muuttuneet tiedot
dropdown icon
Aloita monivuokralaisen hybriditietoturvan käyttö
    dropdown icon
    Usean vuokralaisen hybridijärjestelmän tietoturvan yleiskatsaus
      Kuinka monivuokralainen hybriditietoturva tarjoaa datasuvereniteetin ja -hallinnan
      Usean vuokralaisen hybriditietoturvan rajoitukset
      Roolit usean vuokralaisen hybriditietoturvassa
    dropdown icon
    Turvallisuusalueen arkkitehtuuri
      Erillisyyden valtakunnat (ilman hybriditietoturvaa)
    Yhteistyö muiden organisaatioiden kanssa
    Odotukset hybriditietoturvan käyttöönotolle
    Korkean tason asennusprosessi
    dropdown icon
    Hybridi tietoturvan käyttöönottomalli
      Hybridi tietoturvan käyttöönottomalli
    dropdown icon
    Varadatakeskus katastrofien palautumista varten
      Manuaalinen vikasietotila varadatakeskukseen
    Välityspalvelintuki
dropdown icon
Ympäristön valmistelu
    dropdown icon
    Usean vuokralaisen hybridijärjestelmän tietoturvan vaatimukset
      Cisco Webex -lisenssivaatimukset
      Docker-työpöytävaatimukset
      X.509-sertifikaattivaatimukset
      Virtuaalipalvelimen vaatimukset
      Tietokantapalvelimen vaatimukset
      Ulkoisen liitännän vaatimukset
      Välityspalvelimen vaatimukset
    Täytä hybriditietoturvan edellytykset
dropdown icon
Hybriditietoturvaklusterin määrittäminen
    Hybriditietoturvan käyttöönoton tehtäväkulku
    Suorita alkuasetukset ja lataa asennustiedostot
    Luo konfiguraatio-ISO HDS-isännille
    Asenna HDS-isännän OVA
    Hybrid Data Security -virtuaalikoneen asentaminen
    Lataa ja asenna HDS-konfiguraatio-ISO
    HDS-solmun määrittäminen välityspalvelimen integrointia varten
    Rekisteröi klusterin ensimmäinen solmu
    Luo ja rekisteröi lisää solmuja
dropdown icon
Hallitse vuokralaisorganisaatioita usean vuokralaisen hybriditietoturvassa
    Aktivoi monivuokralainen HDS Partner Hubissa
    Lisää vuokralaisorganisaatioita Partner Hubissa
    Luo asiakkaan pääavaimet (CMK) HDS-asennustyökalulla
    Poista vuokralaisorganisaatiot
    Peruuta HDS:stä poistettujen vuokralaisten CMK:t.
dropdown icon
Testaa hybriditietoturvan käyttöönottoa
    Testaa hybriditietoturvan käyttöönottoasi
    Hybriditietojen tietoturvan kunnon valvonta
dropdown icon
Hallitse HDS-käyttöönottoasi
    Hallitse HDS-käyttöönottoa
    Aseta klusterin päivitysaikataulu
    Muuta solmun kokoonpanoa
    Poista käytöstä estetty ulkoinen DNS-selvitystila
    Poista solmu
    Katastrofien palautus Standby Data Centerin avulla
    (Valinnainen) Irrota ISO HDS-konfiguroinnin jälkeen
dropdown icon
Hybriditietoturvan vianmääritys
    Näytä hälytykset ja vianmääritys
    dropdown icon
    Hälytykset
      Yleisiä ongelmia ja niiden ratkaisemisen vaiheet
    Hybriditietoturvan vianmääritys
dropdown icon
Muita muistiinpanoja
    Tunnetut ongelmat hybriditietoturvassa
    Suorita HDS Setup -työkalu Podman Desktopilla
    dropdown icon
    Siirrä kumppaniorganisaation olemassa oleva yhden vuokralaisen HDS-käyttöönotto Control Hubissa usean vuokralaisen HDS-kokoonpanoon Partner Hubissa
      Deaktivoi HDS, poista solmujen rekisteröinti ja poista klusteri Control Hubissa
      Aktivoi kumppaniorganisaatiolle Multi-Tenant HDS Partner Hubissa ja lisää asiakkaita
    Käytä OpenSSL:ää PKCS12-tiedoston luomiseen
    Liikenne HDS-solmujen ja pilven välillä
    dropdown icon
    Määritä Squid-välityspalvelimet hybriditietoturvaa varten
      Websocket ei voi muodostaa yhteyttä Squid-välityspalvelimen kautta
dropdown icon
Usean vuokralaisen hybriditietoturvan poistaminen käytöstä
    Usean vuokralaisen HDS:n deaktivoinnin tehtäväkulku
22. toukokuuta 2025 | 5 katselukertaa | 0 henkeä piti tätä hyödyllisenä

Käyttöönotto-opas usean käyttäjän hybriditietoturvalle (HDS) (Beta)

list-menuTässä artikkelissa
list-menuOnko sinulla palautetta?

Uudet ja muuttuneet tiedot

Uudet ja muuttuneet tiedot

Tämä taulukko kattaa uudet ominaisuudet tai toiminnot, muutokset olemassa olevaan sisältöön ja kaikki merkittävät virheet, jotka on korjattu osoitteessa Deployment Guide for Multi-Tenant Hybrid Data Security.

Päiväys

Tehdyt muutokset

13. joulukuuta 2024

Ensimmäinen julkaisu.

Multi-Tenant Hybrid Data Security -tietoturvan poistaminen käytöstä

Multi-Tenant HDS:n deaktivointitehtävän kulku

Voit poistaa Multi-Tenant HDS:n käytöstä kokonaan noudattamalla seuraavia ohjeita.

Ennen kuin aloitat

Tämän tehtävän saa suorittaa vain kumppanin täysivaltainen järjestelmänvalvoja.
1

Poista kaikki asiakkaat kaikista klustereistasi, kuten kohdassa Poista vuokralaisorganisaatiot on mainittu.

2

Peruuta kaikkien asiakkaiden CMK:t, kuten mainitaan osoitteessa Peruuta HDS:stä poistettujen vuokralaisten CMK:t..

3

Poista kaikki solmut kaikista klustereistasi, kuten kohdassa Remove a Node on mainittu.

4

Poista kaikki klusterit Partner Hubista jommallakummalla seuraavista kahdesta menetelmästä.

  • Napsauta poistettavaa klusteria ja valitse yleiskatsaussivun oikeassa yläkulmassa Poista tämä klusteri .
  • Napsauta Resurssit-sivulla ... klusterin oikealla puolella ja valitse Poista klusteri.
5

Napsauta Asetukset -välilehteä Hybriditietojen suojauksen yleiskatsaussivulla ja napsauta Poista HDS käytöstä HDS Status -kortissa.

Aloita Multi-Tenant Hybrid Data Security -palvelun käyttäminen

Multi-Tenant Hybrid Data Security - yleiskatsaus

Webex-sovelluksen suunnittelussa on alusta alkaen keskitytty ensisijaisesti tietoturvaan. Tämän turvallisuuden kulmakivi on päästä päähän -sisällön salaus, jonka Webex App -asiakkaat mahdollistavat avaintenhallintapalvelun (Key Management Service, KMS) kanssa. KMS vastaa niiden salausavainten luomisesta ja hallinnasta, joita asiakkaat käyttävät viestien ja tiedostojen dynaamiseen salaamiseen ja salauksen purkamiseen.

Oletusarvoisesti kaikki Webex App -asiakkaat saavat päästä päähän -salauksen, jonka dynaamiset avaimet on tallennettu pilven KMS-järjestelmään, Ciscon tietoturva-alueelle. Hybrid Data Security siirtää KMS:n ja muut tietoturvaan liittyvät toiminnot yrityksen datakeskukseen, joten salatun sisällön avaimet eivät ole kenelläkään muulla kuin sinulla.

Multi-Tenant Hybrid Data Security antaa organisaatioille mahdollisuuden hyödyntää HDS:ää luotettavan paikallisen kumppanin kautta, joka voi toimia palveluntarjoajana ja hallita tiloissa tapahtuvaa salausta ja muita tietoturvapalveluja. Tämä asetus antaa kumppaniorganisaatiolle täydellisen hallinnan salausavainten käyttöönotosta ja hallinnasta ja varmistaa, että asiakasorganisaatioiden käyttäjätiedot ovat turvassa ulkopuoliselta käytöltä. Kumppaniorganisaatiot asentavat HDS-instansseja ja luovat HDS-klustereita tarpeen mukaan. Kukin instanssi voi tukea useita asiakasorganisaatioita toisin kuin tavallinen HDS-käyttöönotto, joka on rajoitettu yhteen organisaatioon.

Vaikka kumppaniorganisaatiot hallitsevat käyttöönottoa ja hallintaa, niillä ei ole pääsyä asiakkaiden tuottamiin tietoihin ja sisältöön. Tämä käyttöoikeus on rajoitettu asiakasorganisaatioihin ja niiden käyttäjiin.

Näin myös pienemmät organisaatiot voivat hyödyntää HDS:ää, koska luotettava paikallinen kumppani omistaa avaintenhallintapalvelun ja tietoturvainfrastruktuurin, kuten datakeskukset.

Miten Multi-Tenant Hybrid Data Security tarjoaa tietojen suvereenisuutta ja tiedonhallintaa

  • Käyttäjän luoma sisältö on suojattu ulkopuoliselta käytöltä, kuten pilvipalvelujen tarjoajilta.
  • Paikalliset luotetut kumppanit hallinnoivat niiden asiakkaiden salausavaimia, joihin niillä on jo vakiintunut suhde.
  • Mahdollisuus paikalliseen tekniseen tukeen, jos kumppani tarjoaa sitä.
  • Tukee kokousten, viestien ja puhelujen sisältöä.

Tämän asiakirjan tarkoituksena on auttaa kumppaniorganisaatioita perustamaan ja hallitsemaan asiakkaita Multi-Tenant Hybrid Data Security -järjestelmässä.

Roolit monitilaaja-hybriditietoturvassa

  • Kumppanin täysi järjestelmänvalvoja - Voi hallita kaikkien kumppanin hallinnoimien asiakkaiden asetuksia. Voit myös määrittää ylläpitäjärooleja organisaation nykyisille käyttäjille ja määrittää tietyt asiakkaat kumppanien ylläpitäjien hallinnoitaviksi.
  • Kumppanin järjestelmänvalvoja - Voi hallita niiden asiakkaiden asetuksia, jotka järjestelmänvalvoja on määrittänyt tai jotka on osoitettu käyttäjälle.
  • Täysi järjestelmänvalvoja - Kumppaniorganisaation järjestelmänvalvoja, jolla on valtuudet suorittaa tehtäviä, kuten organisaation asetusten muuttaminen, lisenssien hallinta ja roolien jakaminen.
  • Kaikkien asiakasorganisaatioiden kokonaisvaltainen Multi-Tenant HDS -asennus ja -hallinta - Kumppanilta vaaditaan täydet järjestelmänvalvojan ja täyden järjestelmänvalvojan oikeudet.
  • Määritettyjen vuokralaisorganisaatioiden hallinta - Kumppanin järjestelmänvalvojan ja täyden järjestelmänvalvojan oikeudet vaaditaan.

Turvallisuusalueen arkkitehtuuri

Webexin pilviarkkitehtuurissa erityyppiset palvelut on jaettu erillisiin alueisiin eli luottamusalueisiin, kuten alla on kuvattu.

Erillisalueet (ilman hybriditietoturvaa)

Jotta ymmärtäisimme hybriditietoturvaa paremmin, tarkastellaan ensin tätä puhdasta pilvitapausta, jossa Cisco tarjoaa kaikki toiminnot pilvialueillaan. Identiteettipalvelu, joka on ainoa paikka, jossa käyttäjät voidaan suoraan yhdistää henkilökohtaisiin tietoihinsa, kuten sähköpostiosoitteeseen, on loogisesti ja fyysisesti erillään tietoturva-alueesta datakeskuksessa B. Molemmat ovat puolestaan erillään alueesta, johon salattu sisältö lopulta tallennetaan, datakeskuksessa C.

Tässä kaaviossa asiakas on käyttäjän kannettavassa tietokoneessa oleva Webex-sovellus, joka on todennettu tunnistuspalvelun avulla. Kun käyttäjä laatii viestin lähetettäväksi tilaan, seuraavat vaiheet tapahtuvat:

  1. Asiakas luo suojatun yhteyden avaintenhallintapalveluun (KMS) ja pyytää sitten avainta viestin salaamista varten. Suojattu yhteys käyttää ECDH:ta, ja KMS salaa avaimen AES-256-pääavaimella.

  2. Viesti salataan ennen kuin se lähtee asiakkaalta. Asiakas lähettää sen indeksointipalveluun, joka luo salattuja hakuindeksejä sisällön myöhempien hakujen tueksi.

  3. Salattu viesti lähetetään vaatimustenmukaisuuden tarkistamista varten vaatimustenmukaisuuspalveluun.

  4. Salattu viesti tallennetaan tallennuskenttään.

Kun otat käyttöön hybriditietoturvan, siirrät tietoturvatoiminnot (KMS, indeksointi ja vaatimustenmukaisuus) toimitilakeskukseen. Muut Webexin muodostavat pilvipalvelut (kuten identiteetti ja sisällön tallennus) pysyvät Ciscon vastuulla.

Yhteistyö muiden organisaatioiden kanssa

Organisaatiosi käyttäjät saattavat käyttää Webex App -sovellusta säännöllisesti yhteistyöhön muiden organisaatioiden ulkopuolisten osallistujien kanssa. Kun joku käyttäjistäsi pyytää avainta tilaan, joka on organisaatiosi omistuksessa (koska sen on luonut joku käyttäjistäsi), KMS lähettää avaimen asiakkaalle ECDH-suojatun kanavan kautta. Kun tilan avain on kuitenkin toisen organisaation hallussa, KMS-järjestelmäsi reitittää pyynnön Webex-pilveen erillisen ECDH-kanavan kautta saadakseen avaimen asianmukaiselta KMS-järjestelmältä ja palauttaa avaimen sitten käyttäjälle alkuperäistä kanavaa pitkin.

Organisaatiossa A toimiva KMS-palvelu validoi yhteydet muiden organisaatioiden KMS-palveluihin x.509 PKI -varmenteiden avulla. Lisätietoja x.509-varmenteen luomisesta Multi-Tenant Hybrid Data Security -käyttöönoton yhteydessä on osoitteessa Prepare your Environment .

Hybriditietoturvan käyttöönottoa koskevat odotukset

Hybriditietoturvan käyttöönotto edellyttää merkittävää sitoutumista ja tietoisuutta riskeistä, joita salausavaimien omistamiseen liittyy.

Hybriditietoturvan käyttöönottamiseksi sinun on annettava seuraavat tiedot:

Jos Hybrid Data Securityn luomasi konfigurointi-ISO tai toimittamasi tietokanta katoaa kokonaan, avaimet menetetään. Avaimen menetys estää käyttäjiä purkamasta tilan sisältöä ja muita Webex App -sovelluksen salattuja tietoja. Jos näin käy, voit rakentaa uuden käyttöönoton, mutta vain uusi sisältö on näkyvissä. Jotta vältät pääsyn menetyksen tietoihin, sinun on:

  • Hallitse tietokannan ja konfigurointi-ISO:n varmuuskopiointia ja palautusta.

  • Valmistaudu nopeaan palautukseen, jos tapahtuu katastrofi, kuten tietokannan levyn vikaantuminen tai tietokeskuksen katastrofi.

Avaimia ei voi siirtää takaisin pilvipalveluun HDS:n käyttöönoton jälkeen.

Korkean tason asennusprosessi

Tässä asiakirjassa käsitellään Multi-Tenant Hybrid Data Security -käyttöönoton asennusta ja hallintaa:

  • Hybrid Data Securityn perustaminen- Tähän sisältyy tarvittavan infrastruktuurin valmistelu ja Hybrid Data Security -ohjelmiston asentaminen, HDS-klusterin rakentaminen, vuokralaisorganisaatioiden lisääminen klusteriin ja niiden Customer Main Keys (CMK) -avaimien hallinta. Näin asiakasorganisaatioiden kaikki käyttäjät voivat käyttää Hybrid Data Security -klusteriasi tietoturvatoimintoihin.

    Asetus-, aktivointi- ja hallintavaiheita käsitellään yksityiskohtaisesti kolmessa seuraavassa luvussa.

  • Ylläpidä hybriditietoturvan käyttöönottoa- Webex-pilvi tarjoaa automaattisesti jatkuvia päivityksiä. Tietotekniikkaosastosi voi tarjota tason yksi tukea tälle käyttöönotolle ja ottaa tarvittaessa käyttöön Ciscon tuen. Voit käyttää näytön ilmoituksia ja määrittää sähköpostipohjaisia hälytyksiä Partner Hubissa.

  • Ymmärrä yleisiä hälytyksiä, vianmääritysvaiheita ja tunnettuja ongelmia-Jos Hybrid Data Securityn käyttöönotossa tai käytössä ilmenee ongelmia, tämän oppaan viimeinen luku ja Tunnetut ongelmat -liite voivat auttaa sinua ongelman määrittämisessä ja korjaamisessa.

Hybriditietoturvan käyttöönottomalli

Hybrid Data Security otetaan käyttöön yrityksen datakeskuksessa erillisissä virtuaalisissa isännöintiasemissa sijaitsevien solmujen klusterina. Solmut kommunikoivat Webex-pilven kanssa suojattujen websockettien ja suojatun HTTP:n kautta.

Asennusprosessin aikana annamme sinulle OVA-tiedoston, jonka avulla voit asentaa virtuaalilaitteen toimittamillesi VM:ille. HDS Setup Tool -työkalun avulla luot mukautetun klusterin kokoonpanon ISO-tiedoston, jonka asennat kuhunkin solmuun. Hybrid Data Security -klusteri käyttää toimittamaasi Syslogd-palvelinta ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. (Syslogd- ja tietokantayhteyden tiedot määritetään HDS Setup Tool -työkalussa.)

Hybriditietoturvan käyttöönottomalli

Klusterissa voi olla vähintään kaksi solmua. Suosittelemme vähintään kolmea klusteria kohti. Useiden solmujen käyttö varmistaa, että palvelu ei keskeydy ohjelmistopäivityksen tai muun huoltotoimen aikana. (Webex-pilvi päivittää vain yhden solmun kerrallaan.)

Kaikki klusterin solmut käyttävät samaa avaintietovarastoa ja kirjaavat toiminnot samaan syslog-palvelimeen. Itse solmut ovat tilattomia, ja ne käsittelevät avainpyyntöjä round-robin -periaatteella pilven ohjeiden mukaisesti.

Solmuista tulee aktiivisia, kun rekisteröit ne Partner Hubissa. Voit poistaa yksittäisen solmun käytöstä poistamalla sen rekisteristä ja rekisteröimällä sen myöhemmin uudelleen, jos se on tarpeen.

Valmiustietokeskus katastrofista toipumista varten

Käyttöönoton aikana perustat suojatun varakeskuspalvelinkeskuksen. Tietokeskuksen katastrofin sattuessa voit siirtää käyttöönoton manuaalisesti varakeskukseen.

Ennen viansiirtoa datakeskuksessa A on aktiivisia HDS-solmuja ja ensisijainen PostgreSQL- tai Microsoft SQL Server -tietokanta, kun taas datakeskuksessa B on kopio ISO-tiedostosta, jossa on lisäkonfiguraatioita, organisaatioon rekisteröityjä VM:iä ja vara-tietokanta. Viansiirron jälkeen datakeskuksessa B on aktiivisia HDS-solmuja ja ensisijainen tietokanta, kun taas datakeskuksessa A on rekisteröimättömiä VM:iä ja kopio ISO-tiedostosta, ja tietokanta on valmiustilassa.
Manuaalinen viansiirto valmiustietokeskukseen

Aktiivisen ja varalla olevan tietokeskuksen tietokannat ovat synkronoituina keskenään, mikä minimoi viansiirtoon kuluvan ajan.

Aktiivisten hybriditietoturvasolmujen on aina oltava samassa tietokeskuksessa kuin aktiivinen tietokantapalvelin.

Proxy-tuki

Hybrid Data Security tukee nimenomaisia, läpinäkyviä tarkastuksia ja tarkastamattomia välityspalvelimia. Voit liittää nämä välityspalvelimet käyttöönottoasi, jotta voit suojata ja valvoa liikennettä yrityksestä pilvipalveluun. Voit käyttää solmujen alustan hallintakäyttöliittymää varmenteiden hallintaan ja yhteyden yleisen tilan tarkistamiseen sen jälkeen, kun olet määrittänyt välityspalvelimen solmuihin.

Hybriditietoturvasolmut tukevat seuraavia välityspalvelinvaihtoehtoja:

  • Ei välityspalvelinta- Oletusarvo, jos et käytä HDS-solmun Trust Store & Proxy -määritystä välityspalvelimen integroimiseen. Varmenteen päivitystä ei tarvita.

  • Läpinäkyvä ei-tarkastava välityspalvelin-solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen ei-tarkastavan välityspalvelimen kanssa. Varmenteen päivitystä ei tarvita.

  • Läpinäkyvä tunnelointi tai välityspalvelimen tarkastaminen-solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. Solmujen HTTP- tai HTTPS-konfiguraatioita ei tarvitse muuttaa. Solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne voivat luottaa välittäjään. Tietotekniikka käyttää tyypillisesti tarkastavia välityspalvelimia valvomaan käytäntöjä, jotka koskevat sitä, millä verkkosivustoilla voi vierailla ja minkä tyyppistä sisältöä ei saa käyttää. Tämäntyyppinen välityspalvelin purkaa kaiken tietoliikenteesi (jopa HTTPS).

  • Eksplisiittinen välityspalvelin- Eksplisiittisellä välityspalvelimella kerrot HDS-solmuille, mitä välityspalvelinta ja todennusjärjestelmää käytetään. Jos haluat määrittää nimenomaisen välityspalvelimen, sinun on annettava seuraavat tiedot kussakin solmussa:

    1. Välityspalvelimen IP/FQDN-osoite, jota voidaan käyttää välityspalvelimen koneen tavoittamiseen.

    2. Välitysportti- Portin numero, jota välityspalvelin käyttää kuunnellakseen välitettyä liikennettä.

    3. Välityspalvelinprotokolla-Valikoima seuraavista protokollista riippuu siitä, mitä välityspalvelimesi tukee:

      • HTTP-näkökulma: Näkee ja valvoo kaikkia asiakkaan lähettämiä pyyntöjä.

      • HTTPS-Varaa kanavan palvelimelle. Asiakas vastaanottaa palvelimen varmenteen ja vahvistaa sen.

    4. Todennustyyppi-Valitse yksi seuraavista todennustyypeistä:

      • Ei mitään - Muita todennuksia ei tarvita.

        Käytettävissä, jos valitset välityspalvelinprotokollaksi joko HTTP:n tai HTTPS:n.

      • Basic-Käytetään HTTP-käyttäjäagenttia antamaan käyttäjätunnus ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.

        Käytettävissä, jos valitset välityspalvelinprotokollaksi joko HTTP:n tai HTTPS:n.

        Vaatii käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.

      • Digest-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Soveltaa hash-funktiota käyttäjänimeen ja salasanaan ennen lähettämistä verkon yli.

        Käytettävissä vain, jos valitset välityspalvelinprotokollaksi HTTPS:n.

        Vaatii käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.

Esimerkki hybridi-tietoturvasolmuista ja välityspalvelimesta

Tässä kaaviossa on esimerkki Hybrid Data Securityn, verkon ja välityspalvelimen välisestä yhteydestä. Läpinäkyvä tarkastus ja HTTPS:n nimenomainen tarkastus -välityspalvelinvaihtoehdoissa sama juurivarmenne on asennettava välityspalvelimeen ja Hybrid Data Security -solmuun.

Estetty ulkoinen DNS-resoluutiotila (eksplisiittiset välityspalvelinkonfiguraatiot)

Kun rekisteröit solmun tai tarkistat solmun välityspalvelinkokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex -pilveen. Käyttöönotoissa, joissa on nimenomaiset välityspalvelinmääritykset, jotka eivät salli ulkoista DNS-resoluutiota sisäisille asiakkaille, jos solmu ei voi kysyä DNS-palvelimilta, se siirtyy automaattisesti estetty ulkoinen DNS-resoluutio -tilaan. Tässä tilassa solmun rekisteröinti ja muut välityspalvelimen yhteystestit voivat jatkua.

Ympäristön valmistelu

Monen käyttäjän hybriditietoturvaa koskevat vaatimukset

Cisco Webexin lisenssivaatimukset

Multi-Tenant Hybrid Data Securityn käyttöönotto:

  • Kumppanijärjestöt: Ota yhteyttä Cisco-kumppaniin tai tilipalvelun johtajaan ja varmista, että Multi-Tenant-ominaisuus on käytössä.

  • Vuokralaisjärjestöt: Sinulla on oltava Pro Pack for Cisco Webex Control Hub. (Katso https://www.cisco.com/go/pro-pack.)

Docker Desktop -vaatimukset

Ennen kuin asennat HDS-solmut, tarvitset Docker Desktopin asennusohjelman suorittamista varten. Docker päivitti hiljattain lisensointimalliaan. Organisaatiosi saattaa vaatia maksullisen Docker Desktop -tilauksen. Lisätietoja on Dockerin blogikirjoituksessa " Docker päivittää ja laajentaa tuotetilauksia".

X.509-varmenteen vaatimukset

Varmenteketjun on täytettävä seuraavat vaatimukset:

Taulukko 1. X.509-varmenteen vaatimukset hybriditietoturvan käyttöönottoa varten

Vaatimus

Tiedot

  • Luotettavan varmentajan (CA) allekirjoittama.

Oletusarvoisesti luotamme Mozillan luettelossa oleviin varmentajiin (lukuun ottamatta WoSignia ja StartComia) osoitteessa https://wiki.mozilla.org/CA:IncludedCAs.

  • Karhut Common Name (CN) -verkkotunnus, joka yksilöi Hybrid Data Security -käyttöönoton.

  • Ei ole jokerimerkkivarmenne

CN:n ei tarvitse olla tavoitettavissa eikä sen tarvitse olla elävä isäntä. Suosittelemme, että käytät nimeä, joka kuvastaa organisaatiotasi, esimerkiksi hds.company.com.

CN ei saa sisältää *-merkkiä (jokerimerkki).

CN:ää käytetään Hybrid Data Security -solmujen varmentamiseen Webex App -asiakkaille. Kaikki klusterin Hybrid Data Security -solmut käyttävät samaa varmentetta. KMS tunnistaa itsensä CN-toimialueen avulla, ei minkään x.509v3 SAN-kenttiin määritellyn toimialueen avulla.

Kun olet rekisteröinyt solmun tällä varmenteella, emme tue CN-verkkotunnuksen nimen muuttamista.

  • Muu kuin SHA1-allekirjoitus

KMS-ohjelmisto ei tue SHA1-allekirjoituksia yhteyksien vahvistamiseksi muiden organisaatioiden KMS-järjestelmiin.

  • Muotoiltu salasanalla suojatuksi PKCS #12-tiedostoksi.

  • Käytä ystävällistä nimeä kms-private-key merkitäksesi ladattavan varmenteen, yksityisen avaimen ja mahdolliset välivarmenteet.

Voit käyttää OpenSSL:n kaltaista muunninta varmenteen muodon muuttamiseen.

Sinun on annettava salasana, kun käynnistät HDS-asennustyökalun.

KMS-ohjelmisto ei noudata avaimen käyttöä tai laajennettua avaimen käyttöä koskevia rajoituksia. Jotkin varmentajat vaativat, että kuhunkin varmenteeseen sovelletaan laajennettuja avainkäyttörajoituksia, kuten palvelimen todennusta. Voit käyttää palvelimen todennusta tai muita asetuksia.

Virtuaalisen isännän vaatimukset

Virtuaalisilla isännöintiasemilla, jotka perustat klusterin Hybrid Data Security -solmuiksi, on seuraavat vaatimukset:

  • Vähintään kaksi erillistä isäntäkonetta (suositellaan kolmea), jotka sijaitsevat samassa suojatussa tietokeskuksessa.

  • VMware ESXi 6.5 (tai uudempi) asennettuna ja käynnissä.

    Sinun on päivitettävä, jos käytössäsi on aikaisempi ESXi-versio.

  • Vähintään 4 vCPU:ta, 8 Gt keskusmuistia, 30 Gt paikallista kiintolevytilaa palvelinta kohden.

Tietokantapalvelimen vaatimukset

Luo uusi tietokanta avainten tallentamista varten. Älä käytä oletustietokantaa. Kun HDS-sovellukset asennetaan, ne luovat tietokantakaavion.

Tietokantapalvelimessa on kaksi vaihtoehtoa. Vaatimukset ovat seuraavat:

Taulukko 2. Tietokantapalvelimen vaatimukset tietokantatyypeittäin

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14, 15 tai 16 asennettuna ja käynnissä.

  • SQL Server 2016, 2017 tai 2019 (Enterprise tai Standard) asennettuna.

    SQL Server 2016 vaatii Service Pack 2:n ja kumulatiivisen päivityksen 2 tai uudemman.

Vähintään 8 vCPU:ta, 16 Gt keskusmuistia, riittävästi kiintolevytilaa ja valvonta sen varmistamiseksi, että sitä ei ylitetä (suositellaan 2 Tt, jos haluat käyttää tietokantaa pitkään ilman, että tallennustilaa tarvitsee lisätä).

Vähintään 8 vCPU:ta, 16 Gt keskusmuistia, riittävästi kiintolevytilaa ja valvonta sen varmistamiseksi, että sitä ei ylitetä (suositellaan 2 Tt, jos haluat käyttää tietokantaa pitkään ilman, että tallennustilaa tarvitsee lisätä).

HDS-ohjelmisto asentaa tällä hetkellä seuraavat ajuriversiot yhteydenpitoa varten tietokantapalvelimen kanssa:

PostgreSQL

Microsoft SQL Server

Postgres JDBC -ajuri 42.2.5

SQL Server JDBC -ajuri 4.6

Tämä ajuriversio tukee SQL Server Always On -palvelinta ( Always On Failover Cluster Instances ja Always On -saatavuusryhmät).

Lisävaatimukset Windows-todennusta varten Microsoft SQL Serveriä vastaan

Jos haluat, että HDS-solmut käyttävät Windows-todennusta Microsoft SQL Serverin avainsäilytystietokantaan pääsemiseksi, tarvitset ympäristössäsi seuraavat asetukset:

  • HDS-solmut, Active Directory -infrastruktuuri ja MS SQL Server on synkronoitava NTP:n avulla.

  • HDS-solmujen käyttöön annetulla Windows-tilillä on oltava tietokannan luku/kirjoitusoikeus.

  • HDS-solmujen käyttöön antamiesi DNS-palvelimien on kyettävä ratkaisemaan KDC-keskuksesi (Key Distribution Center).

  • Voit rekisteröidä Microsoft SQL Serverin HDS-tietokantainstanssin palvelupääkäyttäjänimeksi (Service Principal Name, SPN) Active Directoryyn. Katso Rekisteröi palvelupääkäyttäjän nimi Kerberos-yhteyksiä varten.

    HDS-asennustyökalun, HDS-launcherin ja paikallisen KMS:n on käytettävä Windows-todennusta avainsäilytystietokannan käyttämiseen. Ne käyttävät ISO-konfiguraation tietoja SPN:n muodostamiseen, kun ne pyytävät pääsyä Kerberos-todennuksen avulla.

Ulkoiset liitäntävaatimukset

Määritä palomuuri sallimaan seuraavat HDS-sovellusten yhteydet:

Sovellus

Protokolla

Portti

Suunta sovelluksesta

Kohde

Hybriditietoturvasolmut

TCP

443

Lähtevä HTTPS ja WSS

  • Webex-palvelimet:

    • *.wbx2.com

    • *.ciscospark.com

  • Kaikki Common Identity -isännät

  • Muut URL-osoitteet, jotka on lueteltu hybriditietoturvan osalta osoitteessa Additional URLs for Webex Hybrid Services -taulukossa Webex-palveluiden verkkovaatimukset

HDS-asennustyökalu

TCP

443

Lähtevä HTTPS

  • *.wbx2.com

  • Kaikki Common Identity -isännät

  • hub.docker.com

Hybriditietoturvasolmut toimivat NAT:n (Network Access Translation) kanssa tai palomuurin takana, kunhan NAT tai palomuuri sallii vaaditut lähtevät yhteydet edellisessä taulukossa esitettyihin toimialueen kohteisiin. Hybriditietoturvasolmuihin saapuvien yhteyksien porttien ei pitäisi näkyä internetistä. Tietokeskuksessasi asiakkaat tarvitsevat hallinnollisia tarkoituksia varten pääsyn Hybrid Data Security -solmujen TCP-portteihin 443 ja 22.

Yhteisen identiteetin (CI) isäntien URL-osoitteet ovat aluekohtaisia. Nämä ovat nykyiset CI-isännät:

Alue

Yleiset identiteetin isäntä-URL-osoitteet

Americas

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Euroopan unioni

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Arabiemiirikunnat

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Välityspalvelimen vaatimukset

  • Tuemme virallisesti seuraavia välityspalvelinratkaisuja, jotka voidaan integroida hybriditietoturvasolmujen kanssa.

    • Läpinäkyvä välityspalvelin-Cisco Web Security Appliance (WSA).

    • Eksplisiittinen proxy-Squid.

      HTTPS-liikennettä tarkastavat Squid-välityspalvelimet voivat häiritä websocket (wss:) -yhteyksien muodostamista. Voit kiertää tämän ongelman osoitteessa Configure Squid Proxies for Hybrid Data Security.

  • Tuemme seuraavia todennustyyppiyhdistelmiä nimenomaisille välityspalvelimille:

    • Ei todennusta HTTP:llä tai HTTPS:llä

    • Perustodennus HTTP:llä tai HTTPS:llä

    • Digest-todennus vain HTTPS:n kanssa

  • Läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-selkeän välityspalvelimen osalta sinulla on oltava kopio välityspalvelimen juurivarmenteesta. Tämän oppaan käyttöönotto-ohjeissa kerrotaan, miten kopio ladataan hybriditietoturvasolmujen luotettavuusvarastoihin.

  • HDS-solmuja isännöivä verkko on määritettävä siten, että portista 443 lähtevä TCP-liikenne reititetään välityspalvelimen kautta.

  • Verkkoliikennettä tarkastavat välityspalvelimet voivat häiritä verkkoliikenneyhteyksiä. Jos tämä ongelma ilmenee, ongelman voi ratkaista ohittamalla (tarkastamatta) liikenteen osoitteisiin wbx2.com ja ciscospark.com .

Täytä hybridi-tietoturvan edellytykset.

Varmista tämän tarkistuslistan avulla, että olet valmis asentamaan ja määrittämään Hybrid Data Security -klusterin.
1

Varmista, että kumppaniorganisaatiossasi on Multi-Tenant HDS -ominaisuus käytössä, ja hanki tilitiedot tilille, jolla on kumppanin täysi järjestelmänvalvojan ja järjestelmänvalvojan oikeudet. Varmista, että Webex-asiakasorganisaatiossasi on käytössä Pro Pack for Cisco Webex Control Hub. Ota yhteyttä Cisco-kumppaniin tai asiakaspäällikköön saadaksesi apua tässä prosessissa.

Asiakasorganisaatioilla ei saa olla olemassa olevaa HDS-käyttöönottoa.

2

Valitse toimialueen nimi HDS-käyttöönotollesi (esimerkiksi hds.company.com) ja hanki varmenne-ketju, joka sisältää X.509-varmenteen, yksityisen avaimen ja mahdolliset välivarmenteet. Varmenteiden ketjun on täytettävä vaatimukset, jotka on esitetty osoitteessa X.509 Certificate Requirements.

3

Valmistele identtiset virtuaaliset isännät, jotka perustat hybridi-tietoturvasolmuiksi klusteriin. Tarvitset vähintään kaksi erillistä isäntäkonetta (suositellaan kolmea), jotka sijaitsevat samassa suojatussa datakeskuksessa ja jotka täyttävät vaatimukset, jotka on esitetty osoitteessa Virtual Host Requirements.

4

Valmistele tietokantapalvelin, joka toimii klusterin keskeisenä tietovarastona, Tietokantapalvelimen vaatimukset mukaisesti. Tietokantapalvelin on sijoitettava samaan turvalliseen datakeskukseen virtuaalisten isäntien kanssa.

  1. Luo tietokanta avainten tallentamista varten. (Sinun on luotava tämä tietokanta - älä käytä oletustietokantaa.) Kun HDS-sovellukset asennetaan, ne luovat tietokantakaavion.).

  2. Kerää tiedot, joita solmut käyttävät kommunikoidessaan tietokantapalvelimen kanssa:

    • isännän nimi tai IP-osoite (host) ja portti.

    • tietokannan nimi (dbname), johon avaimet tallennetaan.

    • sen käyttäjän käyttäjätunnus ja salasana, jolla on kaikki oikeudet avainten tallennustietokantaan.

5

Jos haluat nopean palautumisen katastrofista, voit perustaa varmuuskopioympäristön toiseen datakeskukseen. Varmuuskopiointiympäristö peilaa tuotantoympäristöä, joka koostuu VM:istä ja varmuuskopioidusta tietokantapalvelimesta. Jos esimerkiksi tuotannossa on 3 VM:ää, joilla on HDS-solmuja, varmuuskopiointiympäristössä pitäisi olla 3 VM:ää.

6

Määritä syslog-isäntä keräämään lokit klusterin solmuista. Kerää sen verkko-osoite ja syslog-portti (oletusarvo on UDP 514).

7

Luo turvallinen varmuuskopiointikäytäntö hybriditietoturvasolmuja, tietokantapalvelinta ja syslog-isäntää varten. Jos haluat estää tietojen menetyksen, jota ei voida palauttaa, sinun on varmuuskopioitava tietokanta ja hybridi-dataturvallisuussolmuja varten luotu määritys-ISO-tiedosto.

Koska hybriditietoturvasolmut tallentavat sisällön salauksessa ja salauksen purkamisessa käytettävät avaimet, toimivan käyttöönoton laiminlyönti johtaa UNRECOVERABLE LOSS kyseisen sisällön menetykseen.

Webex App -asiakkaat tallentavat avaimet välimuistiin, joten katkos ei välttämättä näy heti, mutta se näkyy ajan myötä. Tilapäisiä katkoksia on mahdotonta estää, mutta ne ovat palautettavissa. Jos tietokanta tai konfigurointi-ISO-tiedosto kuitenkin menetetään kokonaan (varmuuskopioita ei ole saatavilla), asiakastietoja ei voida palauttaa. Hybriditietoturvasolmujen ylläpitäjien odotetaan ylläpitävän usein varmuuskopioita tietokannasta ja konfigurointi-ISO-tiedostosta ja olevan valmiita rakentamaan hybriditietoturvatietokeskuksen uudelleen, jos tapahtuu katastrofaalinen vika.

8

Varmista, että palomuurin kokoonpano sallii Hybrid Data Security -solmujen yhteyden Ulkoisen yhteyden vaatimukset mukaisesti.

9

Asenna Docker ( https://www.docker.com) mihin tahansa paikalliseen koneeseen, jossa on tuettu käyttöjärjestelmä (Microsoft Windows 10 Professional tai Enterprise 64-bittinen tai Mac OSX Yosemite 10.10.3 tai uudempi), jossa on verkkoselain, joka voi käyttää sitä osoitteessa http://127.0.0.1:8080.

Docker-instanssin avulla lataat ja suoritat HDS Setup Tool -työkalun, joka luo paikalliset määritystiedot kaikille Hybrid Data Security -solmuille. Saatat tarvita Docker Desktop -lisenssin. Katso lisätietoja osoitteesta Docker Desktop -vaatimukset .

Jotta HDS Setup Tool voidaan asentaa ja käyttää, paikallisella koneella on oltava osoitteessa External connectivity requirements esitetyt liitettävyysvaatimukset.

10

Jos integroit välityspalvelimen Hybrid Data Securityyn, varmista, että se täyttää Proxy Server Requirements-vaatimukset.

Hybriditietoturvaklusterin perustaminen

Hybriditietoturvan käyttöönoton tehtävävirta

Ennen kuin aloitat

1

Suorita alkuasetukset ja lataa asennustiedostot

Lataa OVA-tiedosto paikalliselle koneellesi myöhempää käyttöä varten.

2

Luo konfigurointi-ISO HDS-isäntäkoneille.

Käytä HDS Setup Tool -työkalua luodaksesi ISO-kokoonpanotiedoston Hybriditietoturva -solmuja varten.

3

Asenna HDS Host OVA

Luo virtuaalikone OVA-tiedostosta ja suorita alkumääritykset, kuten verkkoasetukset.

Mahdollisuus määrittää verkkoasetukset OVA-käyttöönoton aikana on testattu ESXi 6.5:n kanssa. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

4

Hybriditietoturva VM:n määrittäminen

Kirjaudu VM-konsoliin ja määritä kirjautumistiedot. Määritä solmun verkkoasetukset, jos et määrittänyt niitä OVA-käyttöönoton yhteydessä.

5

Lataa ja asenna HDS-konfiguraatio-ISO-tiedosto.

Määritä VM HDS Setup Tool -työkalulla luodusta ISO-kokoonpanotiedostosta.

6

HDS-solmun määrittäminen välityspalvelimen integrointia varten

Jos verkkoympäristö edellyttää välityspalvelinkonfiguraatiota, määritä solmun käyttämä välityspalvelintyyppi ja lisää tarvittaessa välityspalvelinvarmenne luottamussäilöön.

7

Rekisteröi klusterin ensimmäinen solmu

Rekisteröi VM Cisco Webex -pilvipalveluun Hybriditietoturva -solmuksi.

8

Luo ja rekisteröi lisää solmuja

Viimeistele klusterin asennus.

9

Aktivoi Multi-Tenant HDS Partner Hubissa.

Aktivoi HDS ja hallinnoi vuokralaisorganisaatioita Partner Hubissa.

Suorita alkuasetukset ja lataa asennustiedostot

Tässä tehtävässä lataat OVA-tiedoston koneellesi (ei palvelimille, jotka olet määrittänyt hybridi-tietoturvasolmuiksi). Käytät tätä tiedostoa myöhemmin asennusprosessissa.

1

Kirjaudu sisään osoitteessa Partner Hub ja valitse sitten Palvelut.

2

Etsi Pilvipalvelut-osiosta Hybriditietoturva -kortti ja valitse sitten Määritä.

3

Napsauta Lisää resurssi ja napsauta Lataa .OVA-tiedosto Asenna ja määritä ohjelmisto -kortilla.

Ohjelmistopaketin vanhemmat versiot (OVA) eivät ole yhteensopivia uusimpien Hybriditietoturva -päivitysten kanssa. Tämä voi aiheuttaa ongelmia sovelluksen päivittämisen aikana. Varmista, että lataat OVA-tiedoston uusimman version.

Voit myös ladata OVA:n milloin tahansa osoitteesta Help . Napsauta Asetukset > Ohje > Lataa Hybriditietoturva -ohjelmisto.

OVA-tiedoston lataaminen alkaa automaattisesti. Tallenna tiedosto johonkin paikkaan koneellasi.
4

Voit myös tarkistaa, onko tästä oppaasta saatavilla uudempi versio, valitsemalla Katso hybriditietoturvan käyttöönotto-opas .

Luo konfigurointi-ISO HDS-isäntäkoneille.

Hybriditietoturva -asennusprosessi luo ISO-tiedoston. Tämän jälkeen voit määrittää Hybriditietoturva -isäntäsovelluksen ISO-version avulla.

Ennen kuin aloitat
1

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

2

Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti:

docker login -u hdscustomersro
3

Kirjoita salasanakehotteeseen tämä hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Lataa uusin vakaa imago ympäristöllesi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:

  • Tavallisissa ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • FedRAMP-ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080".

6

Setup-työkalu ei tue yhteyden muodostamista localhostiin http://localhost:8080 kautta. Käytä http://127.0.0.1:8080 muodostaaksesi yhteyden localhostiin.

Siirry verkkoselaimella osoitteeseen localhost, http://127.0.0.1:8080, ja kirjoita kehotteeseen Partner Hubin admin-käyttäjätunnus.

Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää asettaakseen oikean ympäristön kyseiselle tilille. Tämän jälkeen työkalu näyttää tavallisen kirjautumiskehotteen.

7

Anna pyydettäessä Partner Hubin ylläpitäjän kirjautumistiedot ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn hybriditietoturvan edellyttämiin palveluihin.

8

Napsauta Setup Tool -katsaussivulla Get Started.

9

ISO Import -sivulla on seuraavat vaihtoehdot:

  • Ei- Jos luot ensimmäistä HDS-solmua, sinulla ei ole ISO-tiedostoa ladattavaksi.
  • Kyllä- Jos olet jo luonut HDS-solmuja, valitse ISO-tiedosto selaimesta ja lataa se.
10

Tarkista, että X.509-varmenne täyttää osoitteessa X.509-varmenteen vaatimukset esitetyt vaatimukset.

  • Jos et ole aiemmin ladannut varmenteita, lataa X.509-varmenne, syötä salasana ja napsauta Jatka.
  • Jos varmenne on OK, valitse Jatka.
  • Jos varmenteesi on vanhentunut tai haluat korvata sen, valitse Ei varten Jatka edellisen ISO:n HDS-varmenteiden ketjun ja yksityisen avaimen käyttöä?. Lataa uusi X.509-varmenne, syötä salasana ja napsauta Jatka.
11

Anna tietokantaosoite ja tili, jonka avulla HDS voi käyttää avaintietovarastoa:

  1. Valitse Tietokantatyyppi (PostgreSQL tai Microsoft SQL Server).

    Jos valitset Microsoft SQL Server, saat Authentication Type -kentän.

  2. (Vain Microsoft SQL Server ) Valitse Todennustyyppi:

    • Perustodennus: Tarvitset paikallisen SQL Server -tilin nimen Käyttäjänimi -kenttään.

    • Windows-todennus: Tarvitset Windows-tilin muodossa username@DOMAIN kenttään Username .

  3. Kirjoita tietokantapalvelimen osoite muodossa : tai :.

    Esimerkki:
    dbhost.example.org:1433 tai 198.51.100.17:1433

    Voit käyttää IP-osoitetta perustodennukseen, jos solmut eivät voi käyttää DNS:ää isäntänimen ratkaisemiseen.

    Jos käytät Windows-tunnistautumista, sinun on annettava täyteen määritetty verkkotunnus muodossa dbhost.example.org:1433.

  4. Kirjoita tietokannan nimi.

  5. Kirjoita Käyttäjätunnus ja Salasana käyttäjälle, jolla on kaikki oikeudet avaintallennustietokantaan.

12

Valitse TLS-tietokantayhteystapa:

Tila

Kuvaus

Prefer TLS (oletusasetus)

HDS-solmut eivät vaadi TLS-yhteyttä tietokantapalvelimeen. Jos otat TLS:n käyttöön tietokantapalvelimessa, solmut yrittävät muodostaa salatun yhteyden.

Vaadi TLS

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

Vaadi TLS ja tarkista varmenteen allekirjoittaja

Tätä tilaa ei voi käyttää SQL Server -tietokantoihin.

  • HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

  • TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa tietokannan juurivarmenteessa olevaan varmentajaan. Jos ne eivät täsmää, solmu katkaisee yhteyden.

Lataa tätä vaihtoehtoa varten tarvittava juurivarmenne Tietokannan juurisertifikaatti -pudotusvalikon alapuolella olevalla ohjaimella.

Vaadi TLS ja tarkista varmenteen allekirjoittaja ja isäntänimi.

  • HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

  • TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa tietokannan juurivarmenteessa olevaan varmentajaan. Jos ne eivät täsmää, solmu katkaisee yhteyden.

  • Solmut tarkistavat myös, että palvelinvarmenteessa oleva isäntänimi vastaa tietokannan isäntä ja portti -kentässä olevaa isäntänimeä. Nimien on täsmälleen täsmättävä, tai solmu katkaisee yhteyden.

Lataa tätä vaihtoehtoa varten tarvittava juurivarmenne Tietokannan juurisertifikaatti -pudotusvalikon alapuolella olevalla ohjaimella.

Kun lataat juurivarmenteen (tarvittaessa) ja napsautat Jatka, HDS Setup Tool testaa TLS-yhteyden tietokantapalvelimeen. Työkalu tarkistaa tarvittaessa myös varmenteen allekirjoittajan ja isäntänimen. Jos testi epäonnistuu, työkalu näyttää virheilmoituksen, jossa kuvataan ongelma. Voit valita, jätätkö virheen huomiotta ja jatkatko asennusta. (Yhteyseroista johtuen HDS-solmut saattavat pystyä muodostamaan TLS-yhteyden, vaikka HDS Setup Tool -kone ei pystyisi onnistuneesti testaamaan sitä.)

13

Määritä Syslogd-palvelin Järjestelmälokit-sivulla:

  1. Kirjoita syslog-palvelimen URL-osoite.

    Jos palvelin ei ole DNS-ratkaisukelpoinen HDS-klusterin solmuista, käytä URL-osoitteessa IP-osoitetta.

    Esimerkki:
    udp://10.92.43.23:514 osoittaa kirjautumisen Syslogd-isäntään 10.92.43.23 UDP-porttiin 514.

  2. Jos olet määrittänyt palvelimesi käyttämään TLS-salausta, tarkista Onko syslog-palvelimesi määritetty SSL-salausta varten?.

    Jos valitset tämän valintaruudun, varmista, että annat TCP-osoitteen, kuten tcp://10.92.43.23:514.

  3. Valitse ISO-tiedostolle sopiva asetus Valitse syslog-tietueen lopetus -pudotusvalikosta: Valitse tai Newline käytetään Graylog- ja Rsyslog TCP -palveluissa.

    • Nollatavu -- \x00

    • Newline -- \n-Valitse tämä valinta Graylog- ja Rsyslog TCP -palveluille.

  4. Napsauta Jatka.

14

(Valinnainen) Voit muuttaa joidenkin tietokantayhteysparametrien oletusarvoa osoitteessa Lisäasetukset. Yleensä tämä parametri on ainoa, jota kannattaa muuttaa:

app_datasource_connection_pool_maxKoko: 10
15

Napsauta Jatka Palauta palvelutilien salasana -näytössä.

Palvelutilien salasanojen käyttöikä on yhdeksän kuukautta. Käytä tätä näyttöä, kun salasanasi ovat umpeutumassa tai haluat nollata ne aiempien ISO-tiedostojen mitätöimiseksi.

16

Klikkaa Lataa ISO-tiedosto. Tallenna tiedosto paikkaan, josta se on helppo löytää.

17

Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmään.

Pidä varmuuskopio turvassa. Tämä tiedosto sisältää tietokannan sisällön pääsalausavaimen. Rajoita käyttöoikeus vain niille Hybriditietoturvan järjestelmänvalvojille, joiden pitäisi tehdä määritysmuutoksia.

18

Voit sammuttaa Setup-työkalun kirjoittamalla CTRL+C.

Mitä tehdä seuraavaksi

Varmuuskopioi konfigurointi-ISO-tiedosto. Tarvitset sitä luodaksesi lisää solmuja toipumista varten tai tehdessäsi kokoonpanomuutoksia. Jos menetät kaikki ISO-tiedoston kopiot, menetät myös pääavaimen. Avainten palauttaminen PostgreSQL- tai Microsoft SQL Server -tietokannasta ei ole mahdollista.

Meillä ei ole koskaan kopiota tästä avaimesta, emmekä voi auttaa, jos kadotat sen.

Asenna HDS Host OVA

Luo virtuaalikone OVA-tiedostosta tämän menettelyn avulla.
1

Kirjaudu ESXi-virtuaali-isäntäkoneeseen VMware vSphere -asiakasohjelman avulla.

2

Valitse File > Ota käyttöön OVF-malli.

3

Määritä ohjatussa toiminnossa aiemmin lataamasi OVA-tiedoston sijainti ja napsauta sitten Next.

4

Kirjoita Valitse nimi ja kansio -sivulla Virtuaalikoneen nimi solmulle (esimerkiksi "HDS_Node_1"), valitse sijainti, jossa virtuaalikoneen solmun käyttöönotto voi sijaita, ja napsauta sitten Seuraava.

5

Valitse Valitse laskentaresurssi -sivulla kohdelaskentaresurssi ja napsauta sitten Seuraava.

Validointitarkistus suoritetaan. Kun se on valmis, mallin tiedot tulevat näkyviin.

6

Tarkista mallin tiedot ja napsauta sitten Next.

7

Jos sinua pyydetään valitsemaan resurssikokoonpano sivulla Configuration , valitse 4 CPU ja valitse sitten Next.

8

Valitse Valitse tallennustila -sivulla Seuraava hyväksyäksesi oletusarvoisen levymuodon ja VM-tallennuskäytännön.

9

Valitse Valitse verkot -sivulla verkkovaihtoehto luettelosta, joka tarjoaa VM:lle halutun yhteyden.

10

Määritä seuraavat verkkoasetukset sivulla Customize template :

  • Isäntänimi- Kirjoita solmun FQDN (isäntänimi ja toimialue) tai yksisanainen isäntänimi.

    • Verkkotunnuksen ei tarvitse vastata verkkotunnusta, jota käytit X.509-varmenteen hankkimiseen.

    • Jotta rekisteröinti pilvipalveluun onnistuisi, käytä solmulle asettamassasi FQDN- tai isäntänimessä vain pieniä kirjaimia. Suuraakkosia ei tueta tällä hetkellä.

    • FQDN-nimen kokonaispituus saa olla enintään 64 merkkiä.

  • IP-osoite- Syötä solmun sisäisen liitännän IP-osoite.

    Solmulla pitäisi olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.

  • Mask- Syötä aliverkon peiteosoite pistemääräisenä. Esimerkiksi 255.255.255.255.0.
  • Yhdyskäytävä-Kirjoita yhdyskäytävän IP-osoite. Yhdyskäytävä on verkon solmu, joka toimii yhteyspisteenä toiseen verkkoon.
  • DNS-palvelimet-Kirjoita pilkulla erotettu luettelo DNS-palvelimista, jotka huolehtivat verkkotunnusten muuntamisesta numeerisiksi IP-osoitteiksi. (Enintään 4 DNS-merkintää on sallittu.)
  • NTP-palvelimet-Kirjoita organisaatiosi NTP-palvelin tai muu organisaatiossasi käytettävä ulkoinen NTP-palvelin. Oletusarvoiset NTP-palvelimet eivät välttämättä toimi kaikissa yrityksissä. Voit myös käyttää pilkulla erotettua luetteloa useiden NTP-palvelimien syöttämiseen.

  • Aseta kaikki solmut samaan aliverkkoon tai VLAN:iin, jotta kaikki klusterin solmut ovat tavoitettavissa verkon asiakkaista hallinnollisia tarkoituksia varten.

Voit halutessasi ohittaa verkkoasetusten määrityksen ja määrittää asetukset solmun konsolissa kohdan Hybriditietoturvan VM:n määrittäminen ohjeiden mukaisesti.

Mahdollisuus määrittää verkkoasetukset OVA-käyttöönoton aikana on testattu ESXi 6.5:n kanssa. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

11

Napsauta hiiren kakkospainikkeella solmun VM:ää ja valitse sitten Power > Power On.

Hybriditietoturva -ohjelmisto asennetaan vieraana VM-isäntään. Olet nyt valmis kirjautumaan konsoliin ja määrittämään solmun.

Vianmääritysvinkkejä

Saattaa esiintyä muutaman minuutin viive, ennen kuin solmupisteiden säiliöt tulevat käyttöön. Konsolissa näkyy siltapalomuuriviesti ensimmäisen käynnistyksen aikana, jolloin et voi kirjautua sisään.

Hybriditietoturva VM:n määrittäminen

Tällä menettelyllä voit kirjautua Hybriditietoturva -solmun VM-konsoliin ensimmäistä kertaa ja määrittää kirjautumistiedot. Voit myös määrittää solmun verkkoasetukset konsolin avulla, jos et määrittänyt niitä OVA-käyttöönoton yhteydessä.

1

Valitse VMware vSphere -asiakasohjelmassa Hybriditietoturva -solmun VM ja valitse Console -välilehti.

VM käynnistyy ja näyttöön tulee kirjautumiskehote. Jos kirjautumiskehote ei tule näkyviin, paina Enter.
2

Kirjaudu sisään ja vaihda tunnistetiedot seuraavilla oletustunnuksilla: käyttäjätunnus ja salasana:

  1. Kirjaudu sisään: admin

  2. Salasana: cisco

Koska kirjaudut VM:ään ensimmäistä kertaa, sinun on vaihdettava järjestelmänvalvojan salasana.

3

Jos olet jo määrittänyt verkkoasetukset kohdassa Asenna HDS Host OVA, ohita tämän ohjeen loppuosa. Muussa tapauksessa valitse päävalikosta Muokkaa kokoonpanoa .

4

Määritä staattinen konfiguraatio, jossa on IP-osoite, maski, yhdyskäytävä ja DNS-tiedot. Solmulla pitäisi olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.

5

(Valinnainen) Muuta isäntänimeä, toimialuetta tai NTP-palvelinta (-palvelimia) tarvittaessa verkkokäytäntösi mukaiseksi.

Verkkotunnuksen ei tarvitse vastata verkkotunnusta, jota käytit X.509-varmenteen hankkimiseen.

6

Tallenna verkkokokoonpano ja käynnistä VM uudelleen, jotta muutokset tulevat voimaan.

Lataa ja asenna HDS-konfiguraatio-ISO-tiedosto.

Määritä virtuaalikone HDS Setup Tool -työkalulla luodusta ISO-tiedostosta tämän menettelyn avulla.

Ennen kuin aloitat

Koska ISO-tiedostossa on pääavain, se tulisi asettaa näkyville vain "tarvitsee tietää" -periaatteella, jotta hybriditietoturva-VM:t ja mahdolliset järjestelmänvalvojat, jotka saattavat joutua tekemään muutoksia, pääsevät siihen käsiksi. Varmista, että vain kyseiset järjestelmänvalvojat voivat käyttää tietovarastoa.

1

Lataa ISO-tiedosto tietokoneeltasi:

  1. Napsauta VMware vSphere -asiakasohjelman vasemmassa navigointipaneelissa ESXi-palvelinta.

  2. Valitse Configuration-välilehden Hardware (Laitteisto) -luettelosta Storage (Tallennus).

  3. Napsauta Datastores-luettelossa hiiren kakkospainikkeella VM-tietovarastoa ja valitse Selaa Datastorea.

  4. Napsauta Upload Files -kuvaketta ja valitse sitten Upload File.

  5. Siirry paikkaan, josta latasit ISO-tiedoston tietokoneellesi, ja napsauta Avaa.

  6. Hyväksy lataus/download-toiminnon varoitus napsauttamalla Yes ja sulje tietovarasto-valintaikkuna.

2

Kiinnitä ISO-tiedosto:

  1. Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia.

  2. Hyväksy rajoitettujen muokkausasetusten varoitus napsauttamalla OK .

  3. Napsauta CD/DVD-asema 1, valitse vaihtoehto mount from a datastore ISO file ja selaa paikkaan, johon latasit kokoonpanon ISO-tiedoston.

  4. Tarkista Kytketty ja Kytke virta päälle.

  5. Tallenna muutokset ja käynnistä virtuaalikone uudelleen.

Mitä tehdä seuraavaksi

Jos tietotekniikkakäytäntösi edellyttää, voit vaihtoehtoisesti poistaa ISO-tiedoston liittämisen sen jälkeen, kun kaikki solmut ovat ottaneet käyttöön määritysmuutokset. Katso lisätietoja osoitteesta (Valinnainen) Unmount ISO After HDS Configuration .

HDS-solmun määrittäminen välityspalvelimen integrointia varten

Jos verkkoympäristö edellyttää välityspalvelinta, määritä tällä tavalla, minkä tyyppinen välityspalvelin haluat integroida Hybriditietoturvayn. Jos valitset läpinäkyvän tarkastavan välityspalvelimen tai nimenomaisen HTTPS-välityspalvelimen, voit ladata ja asentaa juurivarmenteen solmun käyttöliittymän avulla. Voit myös tarkistaa välityspalvelinyhteyden käyttöliittymästä ja korjata mahdollisia ongelmia.

Ennen kuin aloitat

1

Kirjoita HDS-solmun asetusten URL-osoite https://[HDS-solmun IP- tai FQDN]/setup verkkoselaimessa, syötä solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.

2

Siirry osoitteeseen Trust Store & Proxy ja valitse sitten vaihtoehto:

  • Ei välityspalvelinta- Oletusvaihtoehto ennen välityspalvelimen integroimista. Varmenteen päivitystä ei tarvita.
  • Läpinäkyvä ei-tarkastava välityspalvelin-Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen ei-tarkastavan välityspalvelimen kanssa. Varmenteen päivitystä ei tarvita.
  • Läpinäkyvä välityspalvelimen tarkastaminen-Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. Hybriditietoturva -käyttöönotossa ei tarvita HTTPS-konfiguraatiomuutoksia, mutta HDS-solmut tarvitsevat juurivarmenteen, jotta ne luottavat välityspalvelimeen. Tietotekniikka käyttää tyypillisesti tarkastavia välityspalvelimia valvomaan käytäntöjä, jotka koskevat sitä, millä verkkosivustoilla voi vierailla ja minkä tyyppistä sisältöä ei saa käyttää. Tämäntyyppinen välityspalvelin purkaa kaiken tietoliikenteesi (jopa HTTPS).
  • Explicit Proxy-Explisiittisellä välityspalvelimella kerrot asiakkaalle (HDS-solmut), mitä välityspalvelinta käyttää, ja tämä vaihtoehto tukee useita todennustyyppejä. Kun olet valinnut tämän vaihtoehdon, sinun on annettava seuraavat tiedot:

    1. Välityspalvelimen IP/FQDN-osoite, jota voidaan käyttää välityspalvelimen koneen tavoittamiseen.

    2. Välitysportti- Portin numero, jota välityspalvelin käyttää kuunnellakseen välitettyä liikennettä.

    3. Proxy Protocol-Valitse http (tarkastelee ja valvoo kaikkia asiakkaalta vastaanotettuja pyyntöjä) tai https (tarjoaa kanavan palvelimelle ja asiakas vastaanottaa ja vahvistaa palvelimen varmenteen). Valitse vaihtoehto sen mukaan, mitä välityspalvelimesi tukee.

    4. Todennustyyppi-Valitse yksi seuraavista todennustyypeistä:

      • Ei mitään - Muita todennuksia ei tarvita.

        Käytettävissä HTTP- tai HTTPS-välityspalvelimille.

      • Basic-Käytetään HTTP-käyttäjäagenttia antamaan käyttäjätunnus ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.

        Käytettävissä HTTP- tai HTTPS-välityspalvelimille.

        Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjänimi ja salasana.

      • Digest-Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Soveltaa hash-funktiota käyttäjänimeen ja salasanaan ennen lähettämistä verkon yli.

        Käytettävissä vain HTTPS-välityspalvelimille.

        Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjänimi ja salasana.

Noudata seuraavia vaiheita, kun kyseessä on läpinäkyvä tarkastava välityspalvelin, HTTP-selkeä välityspalvelin, jossa on perustodennus, tai HTTPS-selkeä välityspalvelin.

3

Napsauta Lataa juurivarmenne tai loppuyksikön varmenne ja siirry sitten valitsemaan välityspalvelimen juurivarmenne.

Varmenne on ladattu, mutta sitä ei ole vielä asennettu, koska solmun on käynnistettävä uudelleen varmenteen asentamiseksi. Saat lisätietoja napsauttamalla varmenteen myöntäjän nimen vieressä olevaa nuolta tai napsauttamalla Poista , jos teit virheen ja haluat ladata tiedoston uudelleen.

4

Testaa solmun ja välityspalvelimen välinen verkkoyhteys napsauttamalla Tarkista välityspalvelinyhteys .

Jos yhteystesti epäonnistuu, näyttöön tulee virheilmoitus, jossa kerrotaan syy ja miten voit korjata ongelman.

Jos näet viestin, jonka mukaan ulkoinen DNS-resoluutio ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen. Tämä ehto on odotettavissa monissa eksplisiittisissä välityspalvelinkokoonpanoissa. Voit jatkaa asetusten määrittämistä, ja solmu toimii Estetty ulkoinen DNS-resoluutio -tilassa. Jos luulet, että kyseessä on virhe, suorita nämä vaiheet ja katso sitten Ota estetty ulkoinen DNS-resoluutiotila pois käytöstä.

5

Kun yhteystesti on läpäissyt, jos vain https:n välityspalvelimeksi on asetettu explicit proxy, kytke päälle . Reititä kaikki porttien 443/444 https-pyynnöt tästä solmusta explicit proxyn kautta. Tämä asetus vaatii 15 sekuntia tullakseen voimaan.

6

Napsauta Asenna kaikki varmenteet luottamussäilöön (tulee näkyviin, jos kyseessä on HTTPS-selkeän välityspalvelimen tai läpinäkyvä tarkastava välityspalvelin) tai Käynnistä uudelleen (tulee näkyviin, jos kyseessä on HTTP-selkeän välityspalvelimen), lue kehote ja napsauta sitten Asenna , jos olet valmis.

Solmu käynnistyy uudelleen muutamassa minuutissa.

7

Kun solmu on käynnistetty uudelleen, kirjaudu tarvittaessa uudelleen sisään ja avaa sitten Overview -sivu tarkistaaksesi yhteystarkastukset ja varmistaaksesi, että ne ovat kaikki vihreässä tilassa.

Välityspalvelinyhteyden tarkistus testaa vain webex.com-sivuston aliverkkotunnuksen. Jos yhteysongelmia ilmenee, yleinen ongelma on, että jotkin asennusohjeissa luetelluista pilvitoimialueista on estetty välityspalvelimessa.

Rekisteröi klusterin ensimmäinen solmu

Tässä tehtävässä otetaan yleinen solmu, jonka loit kohdassa Hybriditietoturvan VM:n määrittäminen, rekisteröidään solmu Webex-pilveen ja muutetaan se Hybriditietoturvan solmuksi.

Kun rekisteröit ensimmäisen solmun, luot klusterin, johon solmu liitetään. Klusteri sisältää yhden tai useamman solmun, jotka on sijoitettu tarjoamaan redundanssia.

Ennen kuin aloitat

  • Kun aloitat solmun rekisteröinnin, sinun on saatettava se päätökseen 60 minuutin kuluessa tai sinun on aloitettava alusta.

  • Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen admin.webex.com-sivustolle.

1

Kirjaudu sisään osoitteessa https://admin.webex.com.

2

Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

3

Etsi Cloud Services -osiosta Hybriditietoturva -kortti ja napsauta Set up.

4

Valitse avautuvalla sivulla Lisää resurssi.

5

Kirjoita kortin Add a node ensimmäiseen kenttään nimi klusterille, johon haluat määrittää Hybriditietoturva -solmun.

Suosittelemme, että nimeät klusterin sen mukaan, missä klusterin solmut sijaitsevat maantieteellisesti. Esimerkkejä: "San Francisco" tai "New York" tai "Dallas".

6

Kirjoita toiseen kenttään solmun sisäinen IP-osoite tai FQDN (fully qualified domain name) ja napsauta näytön alareunassa Add .

Tämän IP-osoitteen tai FQDN:n tulisi vastata IP-osoitetta tai isäntänimeä ja toimialuetta, joita käytit kohdassa Hybriditietoturva VM:n määrittäminen.

Näyttöön tulee viesti, jossa ilmoitetaan, että voit rekisteröidä solmun Webexiin.
7

Napsauta Go to Node.

Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmujen yhteystesteihin. Jos kaikki testit ovat onnistuneet, näkyviin tulee Salli pääsy hybriditietoturvasolmulle -sivu. Siellä vahvistat, että haluat antaa Webex-organisaatiollesi oikeudet käyttää solmua.

8

Tarkista Salli pääsy hybriditietoturvasolmuun -valintaruutu ja napsauta sitten Continue.

Tilisi on vahvistettu ja "Rekisteröinti valmis" -viesti osoittaa, että solmusi on nyt rekisteröity Webex-pilveen.
9

Napsauta linkkiä tai sulje välilehti, niin pääset takaisin Partner Hub Hybriditietoturva -sivulle.

Hybriditietoturva -sivulla Resurssit -välilehdellä näkyy uusi klusteri, joka sisältää rekisteröimäsi solmun. Solmu lataa automaattisesti uusimman ohjelmiston pilvestä.

Luo ja rekisteröi lisää solmuja

Jos haluat lisätä klusteriin lisää solmuja, luot yksinkertaisesti uusia VM:iä ja asennat saman konfigurointi-ISO-tiedoston ja rekisteröit solmun. Suosittelemme, että sinulla on vähintään 3 solmua.

Ennen kuin aloitat

  • Kun aloitat solmun rekisteröinnin, sinun on saatettava se päätökseen 60 minuutin kuluessa tai sinun on aloitettava alusta.

  • Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen admin.webex.com-sivustolle.

1

Luo uusi virtuaalikone OVA:sta toistamalla vaiheet osoitteessa Asenna HDS Host OVA.

2

Määritä uuden VM:n alkukokoonpano toistamalla kohdasta Määritä Hybrid Data Security VM löytyvät vaiheet.

3

Toista uudessa VM:ssä vaiheet osoitteessa Lataa ja asenna HDS-kokoonpanon ISO.

4

Jos otat käyttöön välityspalvelimen, toista kohdan Määritä HDS-solmu välityspalvelinintegraatiota varten vaiheet tarpeen mukaan uutta solmua varten.

5

Rekisteröi solmu.

  1. Valitse https://admin.webex.com-sivustolla Palvelut näytön vasemmassa reunassa olevasta valikosta.

  2. Etsi Cloud Services -osiosta Hybriditietoturva -kortti ja napsauta Näytä kaikki.

    Hybriditietoturvaresurssit-sivu tulee näkyviin.

  3. Äskettäin luotu klusteri näkyy sivulla Resurssit .

  4. Klikkaa klusteria nähdäksesi klusteriin määritetyt solmut.

  5. Napsauta Add a node näytön oikeassa reunassa.

  6. Kirjoita solmun sisäinen IP-osoite tai FQDN (fully qualified domain name) ja napsauta Add.

    Avautuu sivu, jossa on viesti, jonka mukaan voit rekisteröidä solmun Webex-pilveen. Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmujen yhteystesteihin. Jos kaikki testit ovat onnistuneet, näkyviin tulee Salli pääsy hybriditietoturvasolmulle -sivu. Siellä vahvistat, että haluat antaa organisaatiollesi oikeudet käyttää solmua.

  7. Tarkista Salli pääsy hybriditietoturvasolmuun -valintaruutu ja napsauta sitten Continue.

    Tilisi on vahvistettu ja "Rekisteröinti valmis" -viesti osoittaa, että solmusi on nyt rekisteröity Webex-pilveen.

  8. Napsauta linkkiä tai sulje välilehti, niin pääset takaisin Partner Hub Hybriditietoturva -sivulle.

    Node added ponnahdusviesti näkyy myös Partner Hubin näytön alareunassa.

    Solmusi on rekisteröity.

Hallitse vuokralaisorganisaatioita Multi-Tenant Hybrid Data Security -palvelussa.

Aktivoi Multi-Tenant HDS Partner Hubissa.

Tällä tehtävällä varmistetaan, että kaikki asiakasorganisaatioiden käyttäjät voivat alkaa hyödyntää HDS:n On-Premises-salausavaimia ja muita tietoturvapalveluja.

Ennen kuin aloitat

Varmista, että olet saanut valmiiksi Multi-Tenant HDS -klusterin määrityksen, jossa on tarvittava määrä solmuja.

1

Kirjaudu sisään osoitteessa https://admin.webex.com.

2

Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

3

Etsi Pilvipalvelut-osiosta Hybrid Data Security ja napsauta Muokkaa asetuksia.

4

Napsauta Aktivoi HDS HDS Status -kortilla Aktivoi HDS .

Lisää vuokralaisorganisaatioita Partner Hubiin

Tässä tehtävässä määrität asiakasorganisaatiot hybridi-tietoturvaklusteriin.

1

Kirjaudu sisään osoitteessa https://admin.webex.com.

2

Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

3

Etsi Cloud Services -osiosta Hybrid Data Security ja napsauta View all.

4

Napsauta klusteria, johon haluat määrittää asiakkaan.

5

Siirry välilehdelle Assigned customers .

6

Napsauta Lisää asiakkaita.

7

Valitse avattavasta valikosta asiakas, jonka haluat lisätä.

8

Napsauta Add, asiakas lisätään klusteriin.

9

Toista vaiheet 6-8 lisätäksesi useita asiakkaita klusteriin.

10

Kun olet lisännyt asiakkaat, napsauta näytön alareunassa Done .

Mitä tehdä seuraavaksi

Käynnistä HDS-asennustyökalu, kuten kohdassa on kuvattu. Create Customer Main Keys (CMKs) using the HDS Setup tool (Luo asiakkaan pääavaimet (CMK:t) HDS-asennustyökalun avulla), jotta saat asennusprosessin päätökseen.

Luo asiakkaan pääavaimet (CMK) HDS Setup -työkalulla.

Ennen kuin aloitat

Määritä asiakkaat sopivaan klusteriin, kuten kohdassa Add tenant organizations in Partner Hub on kuvattu. Suorita HDS Setup -työkalu, jotta saat äskettäin lisättyjen asiakasorganisaatioiden määritysprosessin päätökseen.

  • HDS Setup -työkalu toimii Docker-säiliönä paikallisella koneella. Voit käyttää sitä suorittamalla Dockerin kyseisellä koneella. Asennusprosessi edellyttää Partner Hub -tilin tunnistetietoja, joilla on organisaatiosi täydet järjestelmänvalvojan oikeudet.

    Jos HDS Setup -työkalu toimii ympäristössäsi välityspalvelimen takana, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien avulla, kun käynnistät Docker-säiliön vaiheessa 5. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:

    Kuvaus

    Muuttuja

    HTTP-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTP_PROXY=http://SERVER_IP:PORTTI IP:PORTTI

    HTTPS-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTPS_PROXY=http://SERVER_IP:PORTTI

    HTTP-välityspalvelin todennuksen kanssa

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

    HTTPS-välityspalvelin todennuksella

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

  • Luomasi konfigurointi-ISO-tiedosto sisältää pääavaimen, jolla PostgreSQL- tai Microsoft SQL Server -tietokanta salataan. Tarvitset uusimman kopion tästä tiedostosta aina, kun teet määritysmuutoksia, kuten näitä:

    • Tietokannan tunnistetiedot

    • Todistuksen päivitykset

    • Muutokset valtuutuskäytäntöön

  • Jos aiot salata tietokantayhteyksiä, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:ää varten.

Hybrid Data Security -asennusprosessi luo ISO-tiedoston. Tämän jälkeen voit määrittää Hybrid Data Security -isäntäsovelluksen ISO-version avulla.

1

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

2

Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti:

docker login -u hdscustomersro
3

Kirjoita salasanakehotteeseen tämä hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Lataa uusin vakaa imago ympäristöllesi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:

  • Tavallisissa ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • FedRAMP-ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080".

6

Setup-työkalu ei tue yhteyden muodostamista localhostiin http://localhost:8080 kautta. Käytä http://127.0.0.1:8080 muodostaaksesi yhteyden localhostiin.

Siirry verkkoselaimella osoitteeseen localhost, http://127.0.0.1:8080, ja kirjoita kehotteeseen Partner Hubin admin-käyttäjätunnus.

Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää asettaakseen oikean ympäristön kyseiselle tilille. Tämän jälkeen työkalu näyttää tavallisen kirjautumiskehotteen.

7

Anna pyydettäessä Partner Hubin ylläpitäjän kirjautumistiedot ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn hybriditietoturvan edellyttämiin palveluihin.

8

Napsauta Setup Tool -katsaussivulla Get Started.

9

Valitse ISO Import -sivulla Yes.

10

Valitse ISO-tiedosto selaimessa ja lataa se.

Varmista yhteys tietokantaan CMK:n hallintaa varten.
11

Siirry Vuokralaisen CMK:n hallinta -välilehdelle, josta löydät seuraavat kolme tapaa hallita vuokralaisen CMK:ta.

  • Create CMK for all ORGs tai Create CMK - Napsauta tätä painiketta näytön yläreunassa olevassa bannerissa luodaksesi CMK:t kaikille äskettäin lisätyille organisaatioille.
  • Napsauta Manage CMKs -painiketta näytön oikeassa reunassa ja napsauta Create CMKs luodaksesi CMK:t kaikille äskettäin lisätyille organisaatioille.
  • Napsauta ... tietyn organisaation CMK-hallinnan odottavan tilan lähellä taulukossa ja napsauta Create CMK luodaksesi CMK:n kyseiselle organisaatiolle.
12

Kun CMK:n luominen on onnistunut, tila muuttuu taulukossa CMK:n hallinta vireillä -tilasta CMK hallinnoitu-tilaan.

13

Jos CMK:n luominen ei onnistu, näyttöön tulee virheilmoitus.

Poista vuokralaisorganisaatiot

Ennen kuin aloitat

Poistamisen jälkeen asiakasorganisaatioiden käyttäjät eivät voi hyödyntää HDS:ää salaustarpeisiinsa ja menettävät kaikki olemassa olevat tilat. Ennen asiakasorganisaatioiden poistamista ota yhteyttä Cisco-kumppaniin tai asiakaspäällikköön.

1

Kirjaudu sisään osoitteessa https://admin.webex.com.

2

Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

3

Etsi Cloud Services -osiosta Hybrid Data Security ja napsauta View all.

4

Napsauta Resurssit -välilehdellä klusteria, josta haluat poistaa asiakasorganisaatiot.

5

Valitse avautuvalla sivulla Assigned Customers.

6

Napsauta näkyviin tulevasta asiakasorganisaatioiden luettelosta ... sen asiakasorganisaation oikealla puolella, jonka haluat poistaa, ja napsauta Poista klusterista.

Mitä tehdä seuraavaksi

Suorita poistoprosessi loppuun peruuttamalla asiakasorganisaatioiden CMK-tunnukset osoitteessa Revoke CMKs of tenants removed from HDS.

HDS:stä poistettujen vuokralaisten CMK-tunnusten peruuttaminen.

Ennen kuin aloitat

Poista asiakkaat kyseisestä klusterista, kuten kohdassa Remove tenant organizations on kuvattu. Suorita HDS-asennustyökalu, jotta poistettujen asiakasorganisaatioiden poistoprosessi saadaan päätökseen.

  • HDS Setup -työkalu toimii Docker-säiliönä paikallisella koneella. Voit käyttää sitä suorittamalla Dockerin kyseisellä koneella. Asennusprosessi edellyttää Partner Hub -tilin tunnistetietoja, joilla on organisaatiosi täydet järjestelmänvalvojan oikeudet.

    Jos HDS Setup -työkalu toimii ympäristössäsi välityspalvelimen takana, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien avulla, kun käynnistät Docker-säiliön vaiheessa 5. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:

    Kuvaus

    Muuttuja

    HTTP-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTP_PROXY=http://SERVER_IP:PORTTI IP:PORTTI

    HTTPS-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTPS_PROXY=http://SERVER_IP:PORTTI

    HTTP-välityspalvelin todennuksen kanssa

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

    HTTPS-välityspalvelin todennuksella

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

  • Luomasi konfigurointi-ISO-tiedosto sisältää pääavaimen, jolla PostgreSQL- tai Microsoft SQL Server -tietokanta salataan. Tarvitset uusimman kopion tästä tiedostosta aina, kun teet määritysmuutoksia, kuten näitä:

    • Tietokannan tunnistetiedot

    • Todistuksen päivitykset

    • Muutokset valtuutuskäytäntöön

  • Jos aiot salata tietokantayhteyksiä, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:ää varten.

Hybrid Data Security -asennusprosessi luo ISO-tiedoston. Tämän jälkeen voit määrittää Hybrid Data Security -isäntäsovelluksen ISO-version avulla.

1

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

2

Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti:

docker login -u hdscustomersro
3

Kirjoita salasanakehotteeseen tämä hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Lataa uusin vakaa imago ympäristöllesi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:

  • Tavallisissa ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • FedRAMP-ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080".

6

Setup-työkalu ei tue yhteyden muodostamista localhostiin http://localhost:8080 kautta. Käytä http://127.0.0.1:8080 muodostaaksesi yhteyden localhostiin.

Siirry verkkoselaimella osoitteeseen localhost, http://127.0.0.1:8080, ja kirjoita kehotteeseen Partner Hubin admin-käyttäjätunnus.

Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää asettaakseen oikean ympäristön kyseiselle tilille. Tämän jälkeen työkalu näyttää tavallisen kirjautumiskehotteen.

7

Anna pyydettäessä Partner Hubin ylläpitäjän kirjautumistiedot ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn hybriditietoturvan edellyttämiin palveluihin.

8

Napsauta Setup Tool -katsaussivulla Get Started.

9

Valitse ISO Import -sivulla Yes.

10

Valitse ISO-tiedosto selaimessa ja lataa se.

11

Siirry Vuokralaisen CMK:n hallinta -välilehdelle, josta löydät seuraavat kolme tapaa hallita vuokralaisen CMK:ta.

  • Revoke CMK for all ORGs or Revoke CMK - Napsauta tätä painiketta näytön yläreunassa olevassa bannerissa peruuttaaksesi kaikkien poistettujen organisaatioiden CMK:t.
  • Napsauta Manage CMKs -painiketta näytön oikeassa reunassa ja napsauta Revoke CMKs peruuttaaksesi kaikkien poistettujen organisaatioiden CMK:t.
  • Napsauta ... lähellä CMK, joka peruutetaan tietyn organisaation tilaa taulukossa ja napsauta Revoke CMK peruuttaaksesi CMK:n kyseiseltä organisaatiolta.
12

Kun CMK:n peruuttaminen on onnistunut, asiakasorganisaatio ei enää näy taulukossa.

13

Jos CMK:n peruuttaminen ei onnistu, näyttöön tulee virheilmoitus.

Testaa hybriditietoturvan käyttöönottoa

Testaa hybriditietoturvan käyttöönottoa

Tällä menettelyllä voit testata Multi-Tenant Hybrid Data Security -salausskenaarioita.

Ennen kuin aloitat

  • Määritä Multi-Tenant Hybrid Data Security -käyttöönotto.

  • Varmista, että sinulla on pääsy syslogiin, jotta voit tarkistaa, että avainpyynnöt kulkevat Multi-Tenant Hybrid Data Security -käyttöönottoon.

1

Avaimet tietylle tilalle asettaa tilan luoja. Kirjaudu Webex-sovellukseen yhtenä asiakasorganisaation käyttäjistä ja luo tila.

Jos poistat hybriditietoturva-asennuksen käytöstä, käyttäjien luomien tilojen sisältöön ei enää pääse käsiksi, kun salausavainten asiakaskeskeytetyt kopiot on korvattu.

2

Lähetä viestejä uuteen tilaan.

3

Tarkista syslog-tulosteesta, että avainpyynnöt kulkevat Hybrid Data Security -käyttöönottoon.

  1. Jos haluat tarkistaa, että käyttäjä on ensin luonut suojatun kanavan KMS:ään, suodata kms.data.method=create ja kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Löydät seuraavan kaltaisen merkinnän (tunnukset on lyhennetty luettavuuden vuoksi):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] vastaanotettu, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Jos haluat tarkistaa, onko käyttäjä pyytänyt olemassa olevaa avainta KMS:stä, suodata kms.data.method=retrieve ja kms.data.type=KEY:

    Sinun pitäisi löytää seuraava merkintä:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] vastaanotettu, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Jos haluat tarkistaa, onko käyttäjä pyytänyt uuden KMS-avaimen luomista, suodata kms.data.method=create ja kms.data.type=KEY_COLLECTION:

    Sinun pitäisi löytää seuraava merkintä:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] vastaanotettu, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Jos haluat tarkistaa, onko käyttäjä pyytänyt uuden KMS-resurssiobjektin (KRO) luomista, kun tila tai muu suojattu resurssi luodaan, suodata kms.data.method=create ja kms.data.type=RESOURCE_COLLECTION:

    Sinun pitäisi löytää seuraava merkintä: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] vastaanotettu, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Hybriditietojen tietoturvan tilan seuranta

Partner Hubin tilaindikaattori näyttää, onko Multi-Tenant Hybrid Data Security -käyttöönotossa kaikki kunnossa. Jos haluat ennakoivampia hälytyksiä, tilaa sähköposti-ilmoitukset. Sinulle ilmoitetaan, kun palveluun vaikuttavia hälytyksiä tai ohjelmistopäivityksiä tulee.
1

Valitse Partner Hubissa vasemmalla puolella olevasta valikosta Palvelut .

2

Etsi Pilvipalvelut-osiosta Hybrid Data Security ja napsauta Muokkaa asetuksia.

Hybriditietojen suojausasetukset -sivu tulee näkyviin.
3

Kirjoita Sähköposti-ilmoitukset-osioon yksi tai useampi sähköpostiosoite pilkuilla erotettuna ja paina Enter.

Hallitse HDS-käyttöönottoa

Hallitse HDS:n käyttöönottoa

Käytä tässä kuvattuja tehtäviä Hybrid Data Security -käyttöönoton hallintaan.

Aseta klusterin päivitysaikataulu

Hybrid Data Securityn ohjelmistopäivitykset tehdään automaattisesti klusteritasolla, mikä varmistaa, että kaikissa solmuissa on aina sama ohjelmistoversio. Päivitykset tehdään klusterin päivitysaikataulun mukaisesti. Kun ohjelmistopäivitys tulee saataville, voit päivittää klusterin manuaalisesti ennen suunniteltua päivitysaikaa. Voit määrittää tietyn päivitysaikataulun tai käyttää oletusaikataulua 3:00 AM Daily United States: Amerikka/Los Angeles. Voit myös tarvittaessa lykätä tulevaa päivitystä.

Päivityksen aikataulun asettaminen:

1

Kirjaudu sisään osoitteessa Partner Hub.

2

Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

3

Etsi Cloud Services -osiosta Hybrid Data Security ja napsauta Set up (Määritä).

4

Valitse klusteri Hybriditietoturvaresurssit-sivulla.

5

Napsauta Cluster Settings -välilehteä.

6

Valitse klusterin asetukset -sivun kohdassa Päivitysaikataulu päivitysaikataulun kellonaika ja aikavyöhyke.

Huomautus: Aikavyöhykkeen alla näkyy seuraava saatavilla oleva päivityspäivämäärä ja -aika. Voit tarvittaessa siirtää päivityksen seuraavalle päivälle napsauttamalla Postpone by 24 hours.

Solmun kokoonpanon muuttaminen

Joskus sinun on ehkä muutettava Hybrid Data Security -solmun kokoonpanoa esimerkiksi seuraavista syistä:

  • x.509-varmenteiden muuttaminen vanhentumisen tai muiden syiden vuoksi.

    Emme tue varmenteen CN-verkkotunnuksen nimen muuttamista. Verkkotunnuksen on vastattava klusterin rekisteröinnissä käytettyä alkuperäistä verkkotunnusta.

  • Tietokanta-asetusten päivittäminen PostgreSQL- tai Microsoft SQL Server -tietokannan kopion vaihtamiseksi.

    Emme tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin tai päinvastoin. Jos haluat vaihtaa tietokantaympäristön, aloita uusi Hybrid Data Security -käyttöönotto.

  • Uuden kokoonpanon luominen uuden datakeskuksen valmistelemiseksi.

Hybrid Data Security käyttää turvallisuussyistä myös palvelutilien salasanoja, joiden käyttöikä on yhdeksän kuukautta. Kun HDS-asennustyökalu on luonut nämä salasanat, otat ne käyttöön kussakin HDS-solmussa ISO-määritystiedostossa. Kun organisaatiosi salasanojen voimassaolo lähestyy päättymistään, saat Webex-tiimiltä ilmoituksen, jossa pyydetään palauttamaan konetilisi salasana. (Sähköpostiviestissä on teksti: "Päivitä salasana konetilin API:n avulla."). Jos salasanasi eivät ole vielä vanhentuneet, työkalu antaa sinulle kaksi vaihtoehtoa:

  • Pehmeä nollaus- Vanha ja uusi salasana toimivat molemmat enintään 10 päivän ajan. Käytä tätä ajanjaksoa solmujen ISO-tiedoston korvaamiseen asteittain.

  • Hard reset- Vanhat salasanat lakkaavat toimimasta välittömästi.

Jos salasanasi vanhenevat ilman nollausta, se vaikuttaa HDS-palveluun ja edellyttää välitöntä kovaa nollausta ja ISO-tiedoston vaihtamista kaikissa solmuissa.

Tämän menettelyn avulla voit luoda uuden ISO-konfiguraatiotiedoston ja soveltaa sitä klusteriin.

Ennen kuin aloitat

  • HDS Setup -työkalu toimii Docker-säiliönä paikallisella koneella. Voit käyttää sitä suorittamalla Dockerin kyseisellä koneella. Asennusprosessi edellyttää Partner Hub -tilin tunnistetietoja, joilla on kumppanin täydet järjestelmänvalvojan oikeudet .

    Jos HDS Setup -työkalu toimii ympäristössäsi välityspalvelimen takana, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien avulla, kun käynnistät Docker-säiliön osoitteessa 1.e. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:

    Kuvaus

    Muuttuja

    HTTP-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTP_PROXY=http://SERVER_IP:PORTTI IP:PORTTI

    HTTPS-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTPS_PROXY=http://SERVER_IP:PORTTI

    HTTP-välityspalvelin todennuksen kanssa

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

    HTTPS-välityspalvelin todennuksella

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

  • Tarvitset kopion nykyisestä kokoonpanon ISO-tiedostosta, jotta voit luoda uuden kokoonpanon. ISO-tietokanta sisältää pääavaimen, jolla PostgreSQL- tai Microsoft SQL Server -tietokanta salataan. Tarvitset ISO-tietoa, kun teet määritysmuutoksia, kuten tietokannan valtuustiedot, varmenteen päivitykset tai valtuutuskäytännön muutokset.

1

Suorita HDS-asennustyökalu Dockerin avulla paikallisella koneella.

  1. Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

    Tavallisissa ympäristöissä:

    docker rmi ciscocitg/hds-setup:stable

    FedRAMP-ympäristöissä:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Tämä vaihe puhdistaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

  2. Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti:

    docker login -u hdscustomersro

  3. Kirjoita salasanakehotteeseen tämä hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Lataa uusin vakaa imago ympäristöllesi:

    Tavallisissa ympäristöissä:

    docker pull ciscocitg/hds-setup:stable

    FedRAMP-ympäristöissä:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Varmista, että otat käyttöön uusimman asennustyökalun tätä toimenpidettä varten. Ennen 22. helmikuuta 2018 luoduissa työkalun versioissa ei ole salasanan palautusnäyttöjä.

  5. Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:

    • Tavallisissa ympäristöissä ilman välityspalvelinta:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • FedRAMP-ympäristöissä ilman välityspalvelinta:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080".

  6. Ota selaimella yhteys osoitteeseen localhost, http://127.0.0.1:8080.

    Setup-työkalu ei tue yhteyden muodostamista localhostiin http://localhost:8080 kautta. Käytä http://127.0.0.1:8080 muodostaaksesi yhteyden localhostiin.

  7. Anna pyydettäessä Partner Hub -asiakkaan kirjautumistiedot ja jatka sitten klikkaamalla Accept .

  8. Tuo nykyinen kokoonpano ISO-tiedosto.

  9. Suorita työkalu loppuun ja lataa päivitetty tiedosto noudattamalla ohjeita.

    Voit sammuttaa Setup-työkalun kirjoittamalla CTRL+C.

  10. Luo varmuuskopio päivitetystä tiedostosta toiseen datakeskukseen.

2

Jos sinulla on vain yksi HDS-solmu, jossa on käytössä, luo uusi Hybrid Data Security -solmun VM ja rekisteröi se käyttämällä uutta konfigurointi-ISO-tiedostoa. Tarkempia ohjeita on osoitteessa Create and register more nodes.

  1. Asenna HDS-isännän OVA.

  2. Määritä HDS VM.

  3. Kiinnitä päivitetty kokoonpanotiedosto.

  4. Rekisteröi uusi solmu Partner Hubissa.

3

Asenna ISO-tiedosto olemassa oleviin HDS-solmuihin, joissa on käytössä vanhempi konfiguraatiotiedosto. Suorita seuraavat toimenpiteet jokaiselle solmulle vuorotellen ja päivitä jokainen solmu ennen seuraavan solmun sammuttamista:

  1. Sammuta virtuaalikone.

  2. Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia.

  3. Napsauta CD/DVD-asema 1, valitse vaihtoehto mount from an ISO file (kiinnitä ISO-tiedostosta) ja selaa paikkaan, josta latasit uuden kokoonpanon ISO-tiedoston.

  4. Tarkista Kytke virta päälle.

  5. Tallenna muutokset ja käynnistä virtuaalikone.

4

Toista vaihe 3 korvataksesi kokoonpano jokaisessa jäljellä olevassa solmussa, jossa on käytössä vanha kokoonpano.

Sammuta estetty ulkoinen DNS-resoluutiotila

Kun rekisteröit solmun tai tarkistat solmun välityspalvelinkokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex -pilveen. Jos solmun DNS-palvelin ei pysty ratkaisemaan julkisia DNS-nimiä, solmu siirtyy automaattisesti estetty ulkoinen DNS-resoluutio -tilaan.

Jos solmut pystyvät ratkaisemaan julkiset DNS-nimet sisäisten DNS-palvelimien kautta, voit poistaa tämän tilan käytöstä suorittamalla välityspalvelinyhteystestin uudelleen kussakin solmussa.

Ennen kuin aloitat

Varmista, että sisäiset DNS-palvelimesi pystyvät ratkaisemaan julkisia DNS-nimiä ja että solmusi voivat kommunikoida niiden kanssa.
1

Avaa verkkoselaimessa Hybrid Data Security -solmun käyttöliittymä (esimerkiksi IP-osoite/asetukset, https://192.0.2.0/setup), ), syötä solmulle määrittämäsi järjestelmänvalvojan tunnukset ja napsauta sitten Kirjaudu sisään.

2

Siirry osoitteeseen Overview (oletussivu).

Kun se on käytössä, Estetty ulkoinen DNS-resoluutio on asetettu Kyllä.

3

Siirry Trust Store & Proxy -sivulle.

4

Napsauta Tarkista välityspalvelinyhteys.

Jos näet viestin, jonka mukaan ulkoinen DNS-resoluutio ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen, ja se pysyy tässä tilassa. Muussa tapauksessa, kun olet käynnistänyt solmun uudelleen ja palannut sivulle Overview , Blocked External DNS Resolution (estetty ulkoinen DNS-resoluutio) -asetuksen pitäisi olla ei.

Mitä tehdä seuraavaksi

Toista välityspalvelinyhteyden testaus Hybrid Data Security -klusterin jokaisessa solmussa.

Poista solmu

Tällä menettelyllä voit poistaa Hybrid Data Security -solmun Webex-pilvestä. Kun olet poistanut solmun klusterista, poista virtuaalikone, jotta suojaustietoihin ei pääse enää käsiksi.
1

Kirjaudu tietokoneen VMware vSphere -asiakasohjelmalla ESXi-virtuaali-isäntäkoneeseen ja sammuta virtuaalikone.

2

Poista solmu:

  1. Kirjaudu sisään Partner Hubiin ja valitse sitten Palvelut.

  2. Valitse Hybriditietoturva-kortissa Näytä kaikki , jolloin Hybriditietoturvaresurssit-sivu tulee näkyviin.

  3. Valitse klusteri näyttääksesi sen yleiskatsauspaneelin.

  4. Napsauta solmua, jonka haluat poistaa.

  5. Napsauta oikealle avautuvassa paneelissa Deregister this node .

  6. Voit myös poistaa solmun rekisteröinnin napsauttamalla ... solmun oikealla puolella ja valitsemalla Poista tämä solmu.

3

Poista VM vSphere-asiakasohjelmassa. (Napsauta hiiren kakkospainikkeella VM:ää vasemmassa navigointipaneelissa ja valitse Poista.)

Jos et poista VM:ää, muista poistaa konfigurointi-ISO-tiedosto. Ilman ISO-tiedostoa et voi käyttää VM:ää turvatietojen käyttämiseen.

Katastrofista palautuminen varalla olevan datakeskuksen avulla

Hybriditietoturvaklusterin tarjoama kriittisin palvelu on avainten luominen ja tallentaminen, joita käytetään viestien ja muun Webex-pilveen tallennetun sisällön salaamiseen. Jokaisen organisaatiossa olevan käyttäjän, joka on määritetty hybriditietoturvan käyttäjäksi, uudet avainten luontipyynnöt ohjataan klusteriin. Klusteri on myös vastuussa luomiensa avainten palauttamisesta kaikille käyttäjille, joilla on oikeus hakea niitä, esimerkiksi keskusteluavaruuden jäsenille.

Koska klusterin kriittisenä tehtävänä on tarjota nämä avaimet, on ehdottoman tärkeää, että klusteri pysyy toiminnassa ja että asianmukaisia varmuuskopioita ylläpidetään. Hybriditietoturvatietokannan tai skeemassa käytetyn konfigurointi-ISO-tietokannan menetys johtaa asiakassisällön KORJAAMATTOMAAN HÄVIÖÖN. Seuraavat käytännöt ovat pakollisia tällaisten menetysten estämiseksi:

Jos katastrofi aiheuttaa sen, että ensisijaisen tietokeskuksen HDS-käyttöönotto ei ole käytettävissä, noudata tätä menettelyä siirtyäksesi manuaalisesti varakeskukseen.

Ennen kuin aloitat

Poista kaikkien solmujen rekisteröinti Partner Hubista, kuten kohdassa Remove a Node on mainittu. Käytä uusinta ISO-tiedostoa, joka on määritetty aiemmin aktiivisena olleen klusterin solmuja varten, suorittaaksesi alla mainitun vikasietoisen siirtomenettelyn.
1

Käynnistä HDS Setup -työkalu ja noudata kohdassa Create a Configuration ISO for the HDS Hosts mainittuja ohjeita.

2

Suorita konfigurointiprosessi loppuun ja tallenna ISO-tiedosto paikkaan, josta se on helppo löytää.

3

Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmään. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää tietokannan sisällön pääsalausavaimen. Rajoita käyttöoikeus vain niille Hybrid Data Securityn järjestelmänvalvojille, joiden pitäisi tehdä määritysmuutoksia.

4

Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia.

5

Napsauta Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.

Varmista, että Connected ja Connect at power on on valittuna, jotta päivitetyt konfiguraatiomuutokset tulevat voimaan solmujen käynnistämisen jälkeen.

6

Kytke HDS-solmuun virta ja varmista, ettei hälytyksiä ole kuulunut vähintään 15 minuuttiin.

7

Rekisteröi solmu Partner-keskukseen. Katso Rekisteröi klusterin ensimmäinen solmu.

8

Toista prosessi jokaiselle valmiustietokeskuksen solmulle.

Mitä tehdä seuraavaksi

Jos ensisijainen datakeskus aktivoituu uudelleen vikatilanteen jälkeen, poista varalla olevan datakeskuksen solmujen rekisteröinti ja toista ISO:n määrittäminen ja ensisijaisen datakeskuksen solmujen rekisteröinti edellä mainitulla tavalla.

(Valinnainen) Irrota ISO-levy HDS-konfiguraation jälkeen

HDS:n vakiokokoonpanossa ISO-levy on asennettuna. Jotkut asiakkaat eivät kuitenkaan halua jättää ISO-tiedostoja jatkuvasti asennettuna. Voit poistaa ISO-tiedoston liitännän sen jälkeen, kun kaikki HDS-solmut ovat ottaneet uuden kokoonpanon käyttöön.

Voit edelleen käyttää ISO-tiedostoja kokoonpanomuutosten tekemiseen. Kun luot uuden ISO-tietolevyn tai päivität ISO-tietolevyn asetustyökalun avulla, päivitetty ISO-tietolevy on asennettava kaikkiin HDS-solmuihin. Kun kaikki solmusi ovat ottaneet konfiguraatiomuutokset käyttöön, voit purkaa ISO-levyn uudelleen tällä tavalla.

Ennen kuin aloitat

Päivitä kaikki HDS-solmut versioon 2021.01.22.4720 tai uudempaan.

1

Sammuta yksi HDS-solmuistasi.

2

Valitse vCenter Server Appliance -laitteessa HDS-solmu.

3

Valitse Muokkaa asetuksia > CD/DVD-asema ja poista valinta Datastore ISO File.

4

Kytke HDS-solmuun virta ja varmista, että hälytyksiä ei ole tullut vähintään 20 minuuttiin.

5

Toista tämä vuorotellen jokaiselle HDS-solmulle.

Vianmääritys hybridi tietoturva

Näytä hälytykset ja vianmääritys

Hybriditietoturvakäytön katsotaan olevan käyttökelvoton, jos kaikki klusterin solmut eivät ole tavoitettavissa tai jos klusteri toimii niin hitaasti, että pyynnöt keskeytyvät. Jos käyttäjät eivät pääse Hybrid Data Security -klusteriin, he kokevat seuraavia oireita:

  • Uusia tiloja ei voida luoda (uusia avaimia ei voida luoda).

  • Viestien ja tilojen otsikot eivät onnistu salauksen purkamisessa:

    • Tilaan on lisätty uusia käyttäjiä (ei pysty hakemaan avaimia).

    • Tilan nykyiset käyttäjät käyttävät uutta asiakasta (eivät pysty hakemaan avaimia).

  • Tilan nykyiset käyttäjät jatkavat menestyksekästä toimintaa niin kauan kuin heidän asiakkaillaan on salausavainten välimuisti.

On tärkeää, että valvot hybriditietoturvaklusteriasi asianmukaisesti ja käsittelet kaikki hälytykset nopeasti, jotta vältät palveluhäiriöt.

Hälytykset

Jos hybriditietoturva-asetuksissa on ongelmia, Partner Hub näyttää hälytyksiä organisaation ylläpitäjälle ja lähettää sähköpostiviestejä määritettyyn sähköpostiosoitteeseen. Hälytykset kattavat monia yleisiä skenaarioita.

Taulukko 1. Yleiset ongelmat ja niiden ratkaisemiseen tarvittavat vaiheet

Hälytys

Toiminta

Paikallisen tietokannan käyttöhäiriö.

Tarkista tietokantavirheet tai lähiverkko-ongelmat.

Paikallisen tietokantayhteyden epäonnistuminen.

Tarkista, että tietokantapalvelin on käytettävissä ja että solmun määrityksessä käytettiin oikeaa palvelutilin tunnistetietoja.

Pilvipalvelun käyttöhäiriö.

Tarkista, että solmut voivat käyttää Webex-palvelimia osoitteessa Ulkoiset yhteysvaatimukset määritellyllä tavalla.

Pilvipalvelun rekisteröinnin uusiminen.

Pilvipalveluihin rekisteröityminen lopetettiin. Rekisteröinnin uusiminen on käynnissä.

Pilvipalvelun rekisteröinti lopetettu.

Rekisteröinti pilvipalveluihin lopetettu. Palvelu suljetaan.

Palvelua ei ole vielä aktivoitu.

Aktivoi HDS Partner Hubissa.

Määritetty verkkotunnus ei vastaa palvelimen varmennetta.

Varmista, että palvelimen varmenne vastaa määritettyä palvelun aktivointialuetta.

Todennäköisin syy on se, että varmenteen CN-nimike on äskettäin vaihdettu ja se on nyt eri kuin alkuperäisen asennuksen aikana käytetty CN-nimike.

Pilvipalveluiden todennus epäonnistui.

Tarkista palvelutilin tunnusten oikeellisuus ja mahdollinen vanhentuminen.

Paikallista avainsäilytystiedostoa ei onnistuttu avaamaan.

Tarkista paikallisen avainsäilytystiedoston eheys ja salasanan oikeellisuus.

Paikallisen palvelimen varmenne on virheellinen.

Tarkista palvelimen varmenteen voimassaoloaika ja varmista, että sen on myöntänyt luotettava varmentaja.

Ei pysty lähettämään mittareita.

Tarkista paikallisverkon pääsy ulkoisiin pilvipalveluihin.

/media/configdrive/hds-hakemistoa ei ole olemassa.

Tarkista virtuaalisen isäntäkoneen ISO-kiinnityskonfiguraatio. Tarkista, että ISO-tiedosto on olemassa, että se on määritetty liitettäväksi uudelleenkäynnistyksen yhteydessä ja että se liitetään onnistuneesti.

Vuokralaisen organisaation asetuksia ei ole saatu valmiiksi lisättyjen organisaatioiden osalta.

Viimeistele asennus luomalla CMK:t äskettäin lisätyille vuokralaisorganisaatioille HDS Setup Tool -työkalun avulla.

Vuokralaisen organisaation asetuksia ei ole saatu valmiiksi poistettujen organisaatioiden osalta.

Viimeistele asennus peruuttamalla HDS Setup Tool -työkalulla poistettujen vuokralaisorganisaatioiden CMK-tunnukset.

Vianmääritys hybridi tietoturva

Käytä seuraavia yleisiä ohjeita, kun ratkaiset Hybrid Data Securityn ongelmia.
1

Tarkista Partner Hubista mahdolliset hälytykset ja korjaa kaikki sieltä löytyvät kohteet. Katso viitteeksi alla oleva kuva.

2

Tarkista syslog-palvelimen tulosteet Hybrid Data Security -käyttöönoton toiminnan osalta. Suodata sanoja kuten "Varoitus" ja "Virhe" vianmäärityksen helpottamiseksi.

3

Ota yhteyttä Ciscon tukeen.

Muut huomautukset

Hybriditietoturvan tunnetut ongelmat

  • Jos sammutat Hybrid Data Security -klusterin (poistamalla sen Partner Hubissa tai sammuttamalla kaikki solmut), menetät määritys-ISO-tiedoston tai menetät pääsyn avainsäilytystietokantaan, asiakasorganisaatioiden Webex App -käyttäjät eivät voi enää käyttää henkilöluettelossaan olevia tiloja, jotka on luotu KMS-avaimilla. Meillä ei ole tällä hetkellä ratkaisua tai korjausta tähän ongelmaan, ja kehotamme sinua olemaan sammuttamatta HDS-palveluja, kun ne käsittelevät aktiivisia käyttäjätilejä.

  • Asiakas, jolla on olemassa oleva ECDH-yhteys KMS-järjestelmään, säilyttää yhteyden tietyn ajan (todennäköisesti tunnin).

Käytä OpenSSL:ää PKCS12-tiedoston luomiseen

Ennen kuin aloitat

  • OpenSSL on yksi työkalu, jota voidaan käyttää PKCS12-tiedoston saattamiseen oikeaan muotoon HDS-asennustyökalun lataamista varten. On muitakin tapoja tehdä tämä, emmekä me tue tai suosittele yhtä tapaa toisen sijaan.

  • Jos päätät käyttää OpenSSL:ää, annamme tämän ohjeen, jonka avulla voit luoda tiedoston, joka täyttää X.509-varmenteen vaatimukset osoitteessa X.509 Certificate Requirements. Ymmärrä nämä vaatimukset ennen kuin jatkat.

  • Asenna OpenSSL tuettuun ympäristöön. Katso ohjelmisto ja dokumentaatio osoitteesta https://www.openssl.org .

  • Luo yksityinen avain.

  • Aloita tämä toimenpide, kun saat palvelinvarmenteen varmentajalta.

1

Kun saat palvelinvarmenteen varmentajalta, tallenna se osoitteeseen hdsnode.pem.

2

Näytä varmenne tekstinä ja tarkista tiedot.

openssl x509 -text -noout -in hdsnode.pem

3

Luo tekstieditorilla varmennepakettitiedosto nimeltä hdsnode-bundle.pem. Pakettitiedoston on sisällettävä palvelinvarmenne, mahdolliset välivarmentajan varmenteet ja päävarmentajan varmenteet alla olevassa muodossa:

-----BEGIN CERTIFICATE----- ### Palvelinsertifikaatti. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----

4

Luo .p12-tiedosto, jonka nimi on kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Tarkista palvelimen varmenteen tiedot.

  1. openssl pkcs12 -in hdsnode.p12

  2. Kirjoita kehotteeseen salasana salataksesi yksityisen avaimen niin, että se näkyy tulosteessa. Tarkista sitten, että yksityinen avain ja ensimmäinen varmenne sisältävät rivit friendlyName: kms-private-key.

    Esimerkki:

    bash$ openssl pkcs12 -in hdsnode.p12 Anna tuontisalasana: MAC tarkistettu OK Laukun attribuutit friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Keskeiset ominaisuudet:  Syötä PEM-salasana: Verifying - Syötä PEM-salasana: -----BEGIN ENCRYPTED PRIVATE KEY-----  -----END ENCRYPTED PRIVATE KEY----- Laukun ominaisuudet friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE----- Laukku Attribuutit friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE-----

Mitä tehdä seuraavaksi

Palaa osoitteeseen Suorita Hybriditietoturvan edellytykset. Käytät hdsnode.p12 -tiedostoa ja sille asettamaasi salasanaa kohdassa Luo konfigurointi-ISO HDS-isäntäasemille.

Voit käyttää näitä tiedostoja uudelleen uuden varmenteen pyytämiseen, kun alkuperäinen varmenne vanhenee.

HDS-solmujen ja pilvipalvelun välinen liikenne

Lähtevien mittareiden keräysliikenne

Hybriditietoturvasolmut lähettävät tiettyjä mittareita Webex-pilveen. Näihin kuuluvat järjestelmän metriikat, jotka koskevat kasan enimmäismäärää, käytettyä kasaa, suorittimen kuormitusta ja säikeiden lukumäärää, synkronisten ja asynkronisten säikeiden metriikat, salausyhteyksien kynnysarvoa, viiveaikaa tai pyyntöjonon pituutta koskevien hälytysten metriikat, tietovaraston metriikat ja salausyhteyksien metriikat. Solmut lähettävät salatun avainmateriaalin kaistan ulkopuolisen (pyynnöstä erillisen) kanavan kautta.

Saapuva liikenne

Hybriditietoturvasolmut vastaanottavat Webex-pilvestä seuraavanlaista saapuvaa liikennettä:

  • Asiakkaiden salauspyynnöt, jotka salauspalvelu ohjaa eteenpäin.

  • Solmuohjelmiston päivitykset

Määritä Squid-välityspalvelimet hybridi-dataturvallisuutta varten

Websocket ei voi muodostaa yhteyttä Squid-proxyn kautta

HTTPS-liikennettä tarkastavat Squid-välityspalvelimet voivat häiritä Hybrid Data Securityn edellyttämien websocket-yhteyksien (wss:) muodostamista. Näissä osioissa annetaan ohjeita siitä, miten Squidin eri versiot voidaan konfiguroida sivuuttamaan wss: liikenne palvelujen moitteettoman toiminnan varmistamiseksi.

Kalmarit 4 ja 5

Lisää on_unsupported_protocol -direktiivi osoitteeseen squid.conf:

on_unsupported_protocol tunneli kaikki

Squid 3.5.27

Testasimme onnistuneesti Hybrid Data Securitya seuraavien sääntöjen avulla, jotka lisättiin osoitteeseen squid.conf. Nämä säännöt voivat muuttua, kun kehitämme ominaisuuksia ja päivitämme Webex-pilveä.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Uudet ja muuttuneet tiedot

Uudet ja muuttuneet tiedot

Tämä taulukko kattaa uudet ominaisuudet tai toiminnot, muutokset olemassa olevaan sisältöön ja kaikki merkittävät virheet, jotka on korjattu osoitteessa Deployment Guide for Multi-Tenant Hybrid Data Security.

Päiväys

Tehdyt muutokset

tammikuu 08, 2025

Lisätty huomautus kohtaan Suorita alkuasetukset ja lataa asennustiedostot , jossa todetaan, että asennusprosessin tärkeä vaihe on napsauttamalla Partner Hubin HDS-kortin Set up .

tammikuu 07, 2025

Päivitetty Virtual Host -vaatimukset, Hybrid Data Security Deployment Task Flow ja Install the HDS Host OVA osoittamaan ESXi 7.0:n uudet vaatimukset.

13. joulukuuta 2024

Julkaistu ensimmäisen kerran.

Multi-Tenant Hybrid Data Security -tietoturvan poistaminen käytöstä

Multi-Tenant HDS:n deaktivointitehtävän kulku

Voit poistaa Multi-Tenant HDS:n käytöstä kokonaan noudattamalla seuraavia ohjeita.

Ennen kuin aloitat

Tämän tehtävän saa suorittaa vain kumppanin täysivaltainen järjestelmänvalvoja.
1

Poista kaikki asiakkaat kaikista klustereistasi, kuten kohdassa Remove tenant organizations on mainittu.

2

Peruuta kaikkien asiakkaiden CMK:t, kuten mainitaan osoitteessa Peruuta HDS:stä poistettujen vuokralaisten CMK:t..

3

Poista kaikki solmut kaikista klustereistasi, kuten kohdassa Remove a Node on mainittu.

4

Poista kaikki klusterit Partner Hubista jommallakummalla seuraavista kahdesta menetelmästä.

  • Napsauta poistettavaa klusteria ja valitse yleiskatsaussivun oikeassa yläkulmassa Delete this Cluster .
  • Napsauta Resurssit-sivulla ... klusterin oikealla puolella ja valitse Poista klusteri.
5

Napsauta Asetukset -välilehteä Hybriditietojen suojauksen yleiskatsaussivulla ja napsauta Deactivate HDS HDS Status -kortissa.

Aloita Multi-Tenant Hybrid Data Security -palvelun käyttäminen

Multi-Tenant Hybrid Data Security - yleiskatsaus

Webex Appin suunnittelussa on alusta alkaen keskitytty ensisijaisesti tietoturvaan. Tämän turvallisuuden kulmakivi on päästä päähän -sisällön salaus, jonka Webex App -asiakkaat mahdollistavat avaintenhallintapalvelun (Key Management Service, KMS) kanssa. KMS vastaa niiden salausavainten luomisesta ja hallinnasta, joita asiakkaat käyttävät viestien ja tiedostojen dynaamiseen salaamiseen ja salauksen purkamiseen.

Oletusarvoisesti kaikki Webex App -asiakkaat saavat päästä päähän -salauksen, jonka dynaamiset avaimet on tallennettu pilven KMS-järjestelmään, Ciscon tietoturva-alueelle. Hybrid Data Security siirtää KMS:n ja muut tietoturvaan liittyvät toiminnot yrityksen datakeskukseen, joten salatun sisällön avaimet eivät ole kenelläkään muulla kuin sinulla.

Multi-Tenant Hybrid Data Security antaa organisaatioille mahdollisuuden hyödyntää HDS:ää luotettavan paikallisen kumppanin kautta, joka voi toimia palveluntarjoajana ja hallita tiloissa tapahtuvaa salausta ja muita tietoturvapalveluja. Tämä asetus antaa kumppaniorganisaatiolle täydellisen hallinnan salausavainten käyttöönotosta ja hallinnasta ja varmistaa, että asiakasorganisaatioiden käyttäjätiedot ovat turvassa ulkopuoliselta käytöltä. Kumppaniorganisaatiot asentavat HDS-instansseja ja luovat HDS-klustereita tarpeen mukaan. Kukin instanssi voi tukea useita asiakasorganisaatioita toisin kuin tavallinen HDS-käyttöönotto, joka on rajoitettu yhteen organisaatioon.

Vaikka kumppaniorganisaatiot hallitsevat käyttöönottoa ja hallintaa, niillä ei ole pääsyä asiakkaiden tuottamiin tietoihin ja sisältöön. Tämä käyttöoikeus on rajoitettu asiakasorganisaatioihin ja niiden käyttäjiin.

Näin myös pienemmät organisaatiot voivat hyödyntää HDS:ää, koska luotettava paikallinen kumppani omistaa avaintenhallintapalvelun ja tietoturvainfrastruktuurin, kuten datakeskukset.

Miten Multi-Tenant Hybrid Data Security tarjoaa tietojen suvereenisuutta ja tiedonhallintaa

  • Käyttäjän luoma sisältö on suojattu ulkopuoliselta käytöltä, kuten pilvipalvelujen tarjoajilta.
  • Paikalliset luotetut kumppanit hallinnoivat niiden asiakkaiden salausavaimia, joihin niillä on jo vakiintunut suhde.
  • Mahdollisuus paikalliseen tekniseen tukeen, jos kumppani tarjoaa sitä.
  • Tukee kokousten, viestien ja puhelujen sisältöä.

Tämän asiakirjan tarkoituksena on auttaa kumppaniorganisaatioita perustamaan ja hallitsemaan asiakkaita Multi-Tenant Hybrid Data Security -järjestelmässä.

Roolit monitilaaja-hybriditietoturvassa

  • Kumppanin täysi järjestelmänvalvoja - Voi hallita kaikkien kumppanin hallinnoimien asiakkaiden asetuksia. Voit myös määrittää ylläpitäjärooleja organisaation nykyisille käyttäjille ja määrittää tietyt asiakkaat kumppanien ylläpitäjien hallinnoitaviksi.
  • Kumppanin järjestelmänvalvoja - Voi hallita niiden asiakkaiden asetuksia, jotka järjestelmänvalvoja on määrittänyt tai jotka on osoitettu käyttäjälle.
  • Täysi järjestelmänvalvoja - Kumppaniorganisaation järjestelmänvalvoja, jolla on valtuudet suorittaa tehtäviä, kuten organisaation asetusten muuttaminen, lisenssien hallinta ja roolien jakaminen.
  • Kaikkien asiakasorganisaatioiden kokonaisvaltainen Multi-Tenant HDS -asennus ja -hallinta - Kumppanilta vaaditaan täydet järjestelmänvalvojan ja täyden järjestelmänvalvojan oikeudet.
  • Määritettyjen vuokralaisorganisaatioiden hallinta - Kumppanin järjestelmänvalvojan ja täyden järjestelmänvalvojan oikeudet vaaditaan.

Turvallisuusalueen arkkitehtuuri

Webexin pilviarkkitehtuurissa erityyppiset palvelut on jaettu erillisiin alueisiin eli luottamusalueisiin, kuten alla on kuvattu.

Erillisalueet (ilman hybriditietoturvaa)

Jotta hybriditietoturvaa voidaan ymmärtää paremmin, tarkastellaan ensin tätä puhdasta pilvitapausta, jossa Cisco tarjoaa kaikki toiminnot pilvialueillaan. Identiteettipalvelu, joka on ainoa paikka, jossa käyttäjät voidaan suoraan yhdistää henkilökohtaisiin tietoihinsa, kuten sähköpostiosoitteeseen, on loogisesti ja fyysisesti erillään tietoturva-alueesta datakeskuksessa B. Molemmat ovat puolestaan erillään alueesta, johon salattu sisältö lopulta tallennetaan, datakeskuksessa C.

Tässä kaaviossa asiakas on käyttäjän kannettavassa tietokoneessa oleva Webex-sovellus, joka on todennettu tunnistuspalvelun avulla. Kun käyttäjä laatii viestin lähetettäväksi tilaan, seuraavat vaiheet tapahtuvat:

  1. Asiakas luo suojatun yhteyden avaintenhallintapalveluun (KMS) ja pyytää sitten avainta viestin salaamista varten. Suojattu yhteys käyttää ECDH:ta, ja KMS salaa avaimen AES-256-pääavaimella.

  2. Viesti salataan ennen kuin se lähtee asiakkaalta. Asiakas lähettää sen indeksointipalveluun, joka luo salattuja hakuindeksejä sisällön myöhempien hakujen helpottamiseksi.

  3. Salattu viesti lähetetään vaatimustenmukaisuuden tarkistamista varten vaatimustenmukaisuuspalveluun.

  4. Salattu viesti tallennetaan tallennuskenttään.

Kun otat käyttöön hybriditietoturvan, siirrät tietoturvatoiminnot (KMS, indeksointi ja vaatimustenmukaisuus) toimitilakeskukseen. Muut Webexin muodostavat pilvipalvelut (kuten identiteetti ja sisällön tallennus) pysyvät Ciscon vastuulla.

Yhteistyö muiden organisaatioiden kanssa

Organisaatiosi käyttäjät saattavat käyttää Webex App -sovellusta säännöllisesti yhteistyöhön muiden organisaatioiden ulkopuolisten osallistujien kanssa. Kun joku käyttäjistäsi pyytää avainta tilaan, joka on organisaatiosi omistuksessa (koska sen on luonut joku käyttäjistäsi), KMS lähettää avaimen asiakkaalle ECDH-suojatun kanavan kautta. Kun tilan avain on kuitenkin toisen organisaation hallussa, KMS-järjestelmäsi reitittää pyynnön Webex-pilveen erillisen ECDH-kanavan kautta saadakseen avaimen asianmukaiselta KMS-järjestelmältä ja palauttaa avaimen sitten käyttäjälle alkuperäisen kanavan kautta.

Organisaatiossa A toimiva KMS-palvelu validoi yhteydet muiden organisaatioiden KMS-palveluihin x.509 PKI -varmenteiden avulla. Lisätietoja x.509-varmenteen luomisesta Multi-Tenant Hybrid Data Security -käyttöönoton yhteydessä on osoitteessa Prepare your Environment .

Hybriditietoturvan käyttöönottoa koskevat odotukset

Hybriditietoturvan käyttöönotto edellyttää merkittävää sitoutumista ja tietoisuutta riskeistä, joita salausavaimien omistamiseen liittyy.

Hybriditietoturvan käyttöönottamiseksi sinun on annettava seuraavat tiedot:

Jos Hybrid Data Securityn luomasi konfigurointi-ISO tai toimittamasi tietokanta katoaa kokonaan, avaimet menetetään. Avaimen menetys estää käyttäjiä purkamasta tilasisältöä ja muita Webex App -sovelluksen salattuja tietoja. Jos näin käy, voit rakentaa uuden käyttöönoton, mutta vain uusi sisältö on näkyvissä. Jotta vältät pääsyn menetyksen tietoihin, sinun on:

  • Hallitse tietokannan ja konfigurointi-ISO:n varmuuskopiointia ja palautusta.

  • Valmistaudu nopeaan palautukseen, jos tapahtuu katastrofi, kuten tietokannan levyn vikaantuminen tai tietokeskuksen katastrofi.

Avaimia ei voi siirtää takaisin pilvipalveluun HDS:n käyttöönoton jälkeen.

Korkean tason asennusprosessi

Tässä asiakirjassa käsitellään Multi-Tenant Hybrid Data Security -käyttöönoton asennusta ja hallintaa:

  • Hybrid Data Securityn perustaminen- Tähän sisältyy tarvittavan infrastruktuurin valmistelu ja Hybrid Data Security -ohjelmiston asentaminen, HDS-klusterin rakentaminen, vuokralaisorganisaatioiden lisääminen klusteriin ja niiden Customer Main Keys (CMK) -avaimien hallinta. Näin asiakasorganisaatioiden kaikki käyttäjät voivat käyttää Hybrid Data Security -klusteriasi tietoturvatoimintoihin.

    Asetus-, aktivointi- ja hallintavaiheita käsitellään yksityiskohtaisesti kolmessa seuraavassa luvussa.

  • Ylläpidä hybriditietoturvan käyttöönottoa- Webex-pilvi tarjoaa automaattisesti jatkuvia päivityksiä. Tietotekniikkaosastosi voi tarjota tason yksi tukea tälle käyttöönotolle ja ottaa tarvittaessa käyttöön Ciscon tuen. Voit käyttää näytön ilmoituksia ja määrittää sähköpostipohjaisia hälytyksiä Partner Hubissa.

  • Ymmärrä yleisiä hälytyksiä, vianmääritysvaiheita ja tunnettuja ongelmia-Jos Hybrid Data Securityn käyttöönotossa tai käytössä ilmenee ongelmia, tämän oppaan viimeinen luku ja Tunnetut ongelmat -liite voivat auttaa sinua ongelman määrittämisessä ja korjaamisessa.

Hybriditietoturvan käyttöönottomalli

Hybrid Data Security otetaan käyttöön yrityksen datakeskuksessa erillisissä virtuaalisissa isännöintiasemissa sijaitsevien solmujen klusterina. Solmut kommunikoivat Webex-pilven kanssa suojattujen websockettien ja suojatun HTTP:n kautta.

Asennusprosessin aikana annamme sinulle OVA-tiedoston, jonka avulla voit asentaa virtuaalilaitteen toimittamillesi VM-tietokoneille. HDS Setup Tool -työkalun avulla luot mukautetun klusterin kokoonpanon ISO-tiedoston, jonka asennat kuhunkin solmuun. Hybrid Data Security -klusteri käyttää toimittamaasi Syslogd-palvelinta ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. (Syslogd- ja tietokantayhteyden tiedot määritetään HDS Setup Tool -työkalussa.)

Hybriditietoturvan käyttöönottomalli

Klusterissa voi olla vähintään kaksi solmua. Suosittelemme vähintään kolmea klusteria kohti. Useiden solmujen käyttö varmistaa, että palvelu ei keskeydy ohjelmistopäivityksen tai muun huoltotoimen aikana. (Webex-pilvi päivittää vain yhden solmun kerrallaan.)

Kaikki klusterin solmut käyttävät samaa avaintietovarastoa ja kirjaavat toiminnan samaan syslog-palvelimeen. Itse solmut ovat tilattomia, ja ne käsittelevät avainpyyntöjä round-robin -periaatteella pilven ohjeiden mukaisesti.

Solmuista tulee aktiivisia, kun rekisteröit ne Partner Hubissa. Voit poistaa yksittäisen solmun käytöstä poistamalla sen rekisteristä ja rekisteröimällä sen myöhemmin uudelleen, jos se on tarpeen.

Valmiustietokeskus katastrofista toipumista varten

Käyttöönoton aikana perustat suojatun varakeskuspalvelinkeskuksen. Tietokeskuksen katastrofin sattuessa voit siirtää käyttöönoton manuaalisesti varakeskukseen.

Ennen viansiirtoa datakeskuksessa A on aktiivisia HDS-solmuja ja ensisijainen PostgreSQL- tai Microsoft SQL Server -tietokanta, kun taas datakeskuksessa B on kopio ISO-tiedostosta, jossa on lisäkonfiguraatioita, organisaatioon rekisteröityjä VM:iä ja vara-tietokanta. Viansiirron jälkeen datakeskuksessa B on aktiivisia HDS-solmuja ja ensisijainen tietokanta, kun taas datakeskuksessa A on rekisteröimättömiä VM:iä ja kopio ISO-tiedostosta, ja tietokanta on valmiustilassa.
Manuaalinen viansiirto valmiustietokeskukseen

Aktiivisen ja varalla olevan tietokeskuksen tietokannat ovat synkronoituina keskenään, mikä minimoi viansiirtoon kuluvan ajan.

Aktiivisten hybriditietoturvasolmujen on aina oltava samassa tietokeskuksessa kuin aktiivinen tietokantapalvelin.

Proxy-tuki

Hybrid Data Security tukee nimenomaisia, läpinäkyviä tarkastuksia ja tarkastamattomia välityspalvelimia. Voit liittää nämä välityspalvelimet käyttöönottoasi, jotta voit suojata ja valvoa liikennettä yrityksestä pilvipalveluun. Voit käyttää solmujen alustan hallintakäyttöliittymää varmenteiden hallintaan ja yhteyden yleisen tilan tarkistamiseen sen jälkeen, kun olet määrittänyt välityspalvelimen solmuihin.

Hybriditietoturvasolmut tukevat seuraavia välityspalvelinvaihtoehtoja:

  • Ei välityspalvelinta- Oletusarvo, jos et käytä HDS-solmun Trust Store & Proxy -määritystä välityspalvelimen integroimiseksi. Varmenteen päivitystä ei tarvita.

  • Läpinäkyvä ei-tarkastava välityspalvelin-solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen ei-tarkastavan välityspalvelimen kanssa. Varmenteen päivitystä ei tarvita.

  • Läpinäkyvä tunnelointi tai välityspalvelimen tarkastaminen-solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. Solmujen HTTP- tai HTTPS-konfiguraatioita ei tarvitse muuttaa. Solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne voivat luottaa välittäjään. Tietotekniikka käyttää tyypillisesti tarkastavia välityspalvelimia valvomaan käytäntöjä, jotka koskevat sitä, millä verkkosivustoilla voi vierailla ja minkä tyyppistä sisältöä ei saa käyttää. Tämäntyyppinen välityspalvelin purkaa kaiken liikennöintisi (jopa HTTPS).

  • Eksplisiittinen välityspalvelin- Eksplisiittisellä välityspalvelimella kerrot HDS-solmuille, mitä välityspalvelinta ja todennusjärjestelmää käytetään. Jos haluat määrittää nimenomaisen välityspalvelimen, sinun on annettava seuraavat tiedot kussakin solmussa:

    1. Proxy IP/FQDN-osoite, jolla välityskone voidaan tavoittaa.

    2. Välitysportti- Portin numero, jota välityspalvelin käyttää kuunnellakseen välitettyä liikennettä.

    3. Välityspalvelinprotokolla-Valikoima seuraavista protokollista riippuu siitä, mitä välityspalvelimesi tukee:

      • HTTP-näkökulma: Näkee ja valvoo kaikkia asiakkaan lähettämiä pyyntöjä.

      • HTTPS-Varaa kanavan palvelimelle. Asiakas vastaanottaa palvelimen varmenteen ja vahvistaa sen.

    4. Todennustyyppi-Valitse yksi seuraavista todennustyypeistä:

      • Ei ole- Muita todennuksia ei tarvita.

        Käytettävissä, jos valitset välityspalvelinprotokollaksi joko HTTP:n tai HTTPS:n.

      • Basic-Käytetään HTTP-käyttäjäagenttia antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.

        Käytettävissä, jos valitset välityspalvelinprotokollaksi joko HTTP:n tai HTTPS:n.

        Vaatii käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.

      • Digest-Käytetään tilin vahvistamiseen ennen arkaluontoisten tietojen lähettämistä. Soveltaa hash-funktiota käyttäjänimeen ja salasanaan ennen lähettämistä verkon yli.

        Käytettävissä vain, jos valitset välityspalvelinprotokollaksi HTTPS.

        Vaatii käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.

Esimerkki hybridi-tietoturvasolmuista ja välityspalvelimesta

Tässä kaaviossa on esimerkki Hybrid Data Securityn, verkon ja välityspalvelimen välisestä yhteydestä. Läpinäkyvä tarkastus ja HTTPS:n nimenomainen tarkastus -välityspalvelinvaihtoehdoissa sama juurivarmenne on asennettava välityspalvelimeen ja Hybrid Data Security -solmuun.

Estetty ulkoinen DNS-resoluutiotila (eksplisiittiset välityspalvelinkonfiguraatiot)

Kun rekisteröit solmun tai tarkistat solmun välityspalvelinkokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex -pilveen. Käyttöönotoissa, joissa on nimenomaiset välityspalvelinmääritykset, jotka eivät salli ulkoista DNS-resoluutiota sisäisille asiakkaille, jos solmu ei voi kysyä DNS-palvelimilta, se siirtyy automaattisesti estetty ulkoinen DNS-resoluutio -tilaan. Tässä tilassa solmun rekisteröinti ja muut välityspalvelimen yhteystestit voivat jatkua.

Ympäristön valmistelu

Monen käyttäjän hybriditietoturvaa koskevat vaatimukset

Cisco Webexin lisenssivaatimukset

Multi-Tenant Hybrid Data Securityn käyttöönotto:

  • Kumppanijärjestöt: Ota yhteyttä Cisco-kumppaniin tai tilipalvelun johtajaan ja varmista, että Multi-Tenant-ominaisuus on käytössä.

  • Vuokralaisjärjestöt: Sinulla on oltava Pro Pack for Cisco Webex Control Hub. (Katso https://www.cisco.com/go/pro-pack.)

Docker Desktop -vaatimukset

Ennen kuin asennat HDS-solmut, tarvitset Docker Desktopin asennusohjelman suorittamista varten. Docker päivitti hiljattain lisensointimalliaan. Organisaatiosi saattaa vaatia maksullisen Docker Desktop -tilauksen. Lisätietoja on Dockerin blogikirjoituksessa " Docker päivittää ja laajentaa tuotetilauksia".

X.509-varmenteen vaatimukset

Varmenteketjun on täytettävä seuraavat vaatimukset:

Taulukko 1. X.509-varmenteen vaatimukset hybriditietoturvan käyttöönottoa varten

Vaatimus

Tiedot

  • Luotettavan varmentajan (CA) allekirjoittama.

Oletusarvoisesti luotamme Mozillan luettelossa oleviin varmentajiin (lukuun ottamatta WoSignia ja StartComia) osoitteessa https://wiki.mozilla.org/CA:IncludedCAs.

  • Karhut Common Name (CN) -verkkotunnus, joka yksilöi hybriditietoturvan käyttöönoton

  • Ei ole jokerimerkkivarmenne

CN:n ei tarvitse olla tavoitettavissa eikä sen tarvitse olla elävä isäntä. Suosittelemme, että käytät organisaatiotasi kuvaavaa nimeä, esimerkiksi hds.company.com.

CN ei saa sisältää *-merkkiä (jokerimerkki).

CN:ää käytetään Hybrid Data Security -solmujen varmentamiseen Webex App -asiakkaille. Kaikki klusterin Hybrid Data Security -solmut käyttävät samaa varmentetta. KMS tunnistaa itsensä CN-toimialueen avulla, ei minkään x.509v3 SAN-kenttiin määritellyn toimialueen avulla.

Kun olet rekisteröinyt solmun tällä varmenteella, emme tue CN-verkkotunnuksen nimen muuttamista.

  • Muu kuin SHA1-allekirjoitus

KMS-ohjelmisto ei tue SHA1-allekirjoituksia yhteyksien vahvistamiseksi muiden organisaatioiden KMS-järjestelmiin.

  • Muotoiltu salasanalla suojatuksi PKCS #12-tiedostoksi.

  • Käytä ystävällistä nimeä kms-private-key merkitäksesi ladattavan varmenteen, yksityisen avaimen ja mahdolliset välivarmenteet.

Voit käyttää OpenSSL:n kaltaista muunninta varmenteen muodon muuttamiseen.

Sinun on annettava salasana, kun käynnistät HDS-asennustyökalun.

KMS-ohjelmisto ei noudata avaimen käyttöä tai laajennettua avaimen käyttöä koskevia rajoituksia. Jotkin varmentajat vaativat, että kuhunkin varmenteeseen sovelletaan laajennettuja avainkäyttörajoituksia, kuten palvelimen todennusta. Voit käyttää palvelimen todennusta tai muita asetuksia.

Virtuaalisen isännän vaatimukset

Virtuaalisilla isännöintiasemilla, jotka perustat hybridi-tietoturvasolmuiksi klusteriin, on seuraavat vaatimukset:

  • Vähintään kaksi erillistä isäntäkonetta (suositellaan kolmea), jotka sijaitsevat samassa suojatussa tietokeskuksessa.

  • VMware ESXi 7.0 (tai uudempi) asennettuna ja käynnissä.

    Sinun on päivitettävä, jos käytössäsi on aikaisempi ESXi-versio.

  • Vähintään 4 vCPU:ta, 8 Gt keskusmuistia, 30 Gt paikallista kiintolevytilaa palvelinta kohden.

Tietokantapalvelimen vaatimukset

Luo uusi tietokanta avainten tallennusta varten. Älä käytä oletustietokantaa. Kun HDS-sovellukset asennetaan, ne luovat tietokantakaavion.

Tietokantapalvelimessa on kaksi vaihtoehtoa. Vaatimukset ovat seuraavat:

Taulukko 2. Tietokantapalvelimen vaatimukset tietokantatyypeittäin

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14, 15 tai 16 asennettuna ja käynnissä.

  • SQL Server 2016, 2017 tai 2019 (Enterprise tai Standard) asennettuna.

    SQL Server 2016 vaatii Service Pack 2:n ja kumulatiivisen päivityksen 2 tai uudemman.

Vähintään 8 vCPU:ta, 16 Gt keskusmuistia, riittävästi kiintolevytilaa ja valvonta sen varmistamiseksi, että sitä ei ylitetä (suositellaan 2 TB, jos haluat käyttää tietokantaa pitkään ilman, että tallennustilaa tarvitsee lisätä).

Vähintään 8 vCPU:ta, 16 Gt keskusmuistia, riittävästi kiintolevytilaa ja valvonta sen varmistamiseksi, että sitä ei ylitetä (suositellaan 2 TB, jos haluat käyttää tietokantaa pitkään ilman, että tallennustilaa tarvitsee lisätä).

HDS-ohjelmisto asentaa tällä hetkellä seuraavat ajuriversiot yhteydenpitoa varten tietokantapalvelimen kanssa:

PostgreSQL

Microsoft SQL Server

Postgres JDBC -ajuri 42.2.5

SQL Server JDBC -ajuri 4.6

Tämä ajuriversio tukee SQL Server Always On -palvelinta ( Always On Failover Cluster Instances ja Always On -saatavuusryhmät).

Lisävaatimukset Windows-todennusta varten Microsoft SQL Serveriä vastaan

Jos haluat, että HDS-solmut käyttävät Windows-todennusta Microsoft SQL Serverin avainsäilytystietokantaan pääsemiseksi, tarvitset ympäristössäsi seuraavat asetukset:

  • HDS-solmut, Active Directory -infrastruktuuri ja MS SQL Server on synkronoitava NTP:n avulla.

  • HDS-solmujen käyttöön annetulla Windows-tilillä on oltava tietokannan luku/kirjoitusoikeus.

  • HDS-solmujen käyttöön antamiesi DNS-palvelimien on kyettävä ratkaisemaan KDC-keskuksesi (Key Distribution Center).

  • Voit rekisteröidä Microsoft SQL Serverin HDS-tietokantainstanssin palvelupääkäyttäjänimeksi (Service Principal Name, SPN) Active Directoryyn. Katso Rekisteröi palvelupääkäyttäjän nimi Kerberos-yhteyksiä varten.

    HDS-asennustyökalun, HDS-launcherin ja paikallisen KMS:n on käytettävä Windows-todennusta avainsäilytystietokannan käyttämiseen. Ne käyttävät ISO-konfiguraation tietoja SPN:n muodostamiseen, kun ne pyytävät pääsyä Kerberos-todennuksen avulla.

Ulkoiset liitäntävaatimukset

Määritä palomuuri sallimaan seuraavat HDS-sovellusten yhteydet:

Sovellus

Protokolla

Portti

Suunta sovelluksesta

Kohde

Hybriditietoturvasolmut

TCP

443

Lähtevä HTTPS ja WSS

  • Webex-palvelimet:

    • *.wbx2.com

    • *.ciscospark.com

  • Kaikki Common Identity -isännät

  • Muut URL-osoitteet, jotka on lueteltu hybriditietoturvan osalta osoitteessa Additional URLs for Webex Hybrid Services -taulukossa Webex-palvelujen verkkovaatimukset

HDS-asennustyökalu

TCP

443

Lähtevä HTTPS

  • *.wbx2.com

  • Kaikki Common Identity -isännät

  • hub.docker.com

Hybriditietoturvasolmut toimivat NAT:n (Network Access Translation) kanssa tai palomuurin takana, kunhan NAT tai palomuuri sallii vaaditut lähtevät yhteydet edellisessä taulukossa esitettyihin toimialueen kohteisiin. Hybriditietoturvasolmuihin saapuvien yhteyksien porttien ei pitäisi näkyä internetistä. Tietokeskuksessasi asiakkaat tarvitsevat hallinnollisia tarkoituksia varten pääsyn hybriditietoturvasolmujen TCP-portteihin 443 ja 22.

Yhteisen identiteetin (CI) isäntien URL-osoitteet ovat aluekohtaisia. Nämä ovat nykyiset CI-isännät:

Alue

Yleiset identiteetin isäntä-URL-osoitteet

Americas

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Euroopan unioni

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Arabiemiirikunnat

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Välityspalvelimen vaatimukset

  • Tuemme virallisesti seuraavia välityspalvelinratkaisuja, jotka voidaan integroida hybriditietoturvasolmujen kanssa.

    • Läpinäkyvä välityspalvelin-Cisco Web Security Appliance (WSA).

    • Eksplisiittinen proxy-Squid.

      HTTPS-liikennettä tarkastavat Squid-välityspalvelimet voivat häiritä websocket (wss:) -yhteyksien muodostamista. Voit kiertää tämän ongelman osoitteessa Configure Squid Proxies for Hybrid Data Security.

  • Tuemme seuraavia todennustyyppiyhdistelmiä nimenomaisille välityspalvelimille:

    • Ei todennusta HTTP:llä tai HTTPS:llä

    • Perustodennus HTTP:llä tai HTTPS:llä

    • Digest-todennus vain HTTPS:n kanssa

  • Läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-selkeän välityspalvelimen osalta sinulla on oltava kopio välityspalvelimen juurivarmenteesta. Tämän oppaan käyttöönotto-ohjeissa kerrotaan, miten kopio ladataan hybriditietoturvasolmujen luotettavuusvarastoihin.

  • HDS-solmuja isännöivä verkko on määritettävä siten, että portista 443 lähtevä TCP-liikenne reititetään välityspalvelimen kautta.

  • Verkkoliikennettä tarkastavat välityspalvelimet voivat häiritä verkkoliikenneyhteyksiä. Jos tämä ongelma ilmenee, ongelman voi ratkaista ohittamalla (tarkastamatta) liikenteen osoitteisiin wbx2.com ja ciscospark.com .

Täytä hybridi-tietoturvan edellytykset.

Varmista tämän tarkistuslistan avulla, että olet valmis asentamaan ja määrittämään Hybrid Data Security -klusterin.
1

Varmista, että kumppaniorganisaatiossasi on Multi-Tenant HDS -ominaisuus käytössä, ja hanki tilitiedot tilille, jolla on kumppanin täysi järjestelmänvalvojan ja järjestelmänvalvojan oikeudet. Varmista, että Webex-asiakasorganisaatiossasi on käytössä Pro Pack for Cisco Webex Control Hub. Ota yhteyttä Cisco-kumppaniin tai asiakaspäällikköön saadaksesi apua tässä prosessissa.

Asiakasorganisaatioilla ei saa olla olemassa olevaa HDS-käyttöönottoa.

2

Valitse toimialueen nimi HDS-käyttöönotollesi (esimerkiksi hds.company.com) ja hanki varmenne-ketju, joka sisältää X.509-varmenteen, yksityisen avaimen ja mahdolliset välivarmenteet. Varmenteiden ketjun on täytettävä vaatimukset, jotka on esitetty osoitteessa X.509 Certificate Requirements.

3

Valmistele identtiset virtuaaliset isännät, jotka perustat hybridi-tietoturvasolmuiksi klusteriin. Tarvitset vähintään kaksi erillistä isäntäkonetta (suositellaan kolmea), jotka sijaitsevat samassa suojatussa datakeskuksessa ja jotka täyttävät vaatimukset, jotka on esitetty osoitteessa Virtual Host Requirements.

4

Valmistele tietokantapalvelin, joka toimii klusterin keskeisenä tietovarastona, Tietokantapalvelimen vaatimukset mukaisesti. Tietokantapalvelin on sijoitettava samaan turvalliseen datakeskukseen virtuaalisten isäntien kanssa.

  1. Luo tietokanta avainten tallentamista varten. (Sinun on luotava tämä tietokanta - älä käytä oletustietokantaa.) Kun HDS-sovellukset asennetaan, ne luovat tietokantakaavion.).

  2. Kerää tiedot, joita solmut käyttävät kommunikoidessaan tietokantapalvelimen kanssa:

    • isännän nimi tai IP-osoite (host) ja portti.

    • tietokannan nimi (dbname), johon avaimet tallennetaan.

    • sen käyttäjän käyttäjätunnus ja salasana, jolla on kaikki oikeudet avainten tallennustietokantaan.

5

Jos haluat nopean palautumisen katastrofista, voit perustaa varmuuskopioympäristön toiseen datakeskukseen. Varmuuskopiointiympäristö peilaa tuotantoympäristöä, joka koostuu VM:istä ja varmuuskopioidusta tietokantapalvelimesta. Jos esimerkiksi tuotannossa on 3 VM:ää, joilla on HDS-solmuja, varmuuskopiointiympäristössä pitäisi olla 3 VM:ää.

6

Määritä syslog-isäntä keräämään lokit klusterin solmuista. Kerää sen verkko-osoite ja syslog-portti (oletusarvo on UDP 514).

7

Luo turvallinen varmuuskopiointikäytäntö hybriditietoturvasolmuja, tietokantapalvelinta ja syslog-isäntää varten. Jos haluat estää tietojen menetyksen, jota ei voida palauttaa, sinun on varmuuskopioitava ainakin tietokanta ja hybridi-tietoturvasolmuja varten luotu määritys-ISO-tiedosto.

Koska hybriditietoturvasolmut tallentavat sisällön salauksessa ja salauksen purkamisessa käytettävät avaimet, toimivan käyttöönoton laiminlyönti johtaa UNRECOVERABLE LOSS kyseisen sisällön menetykseen.

Webex App -asiakkaat tallentavat avaimet välimuistiin, joten katkos ei välttämättä näy heti, mutta se näkyy ajan myötä. Tilapäisiä katkoksia on mahdotonta estää, mutta ne ovat palautettavissa. Jos tietokanta tai konfigurointi-ISO-tiedosto kuitenkin menetetään kokonaan (varmuuskopioita ei ole saatavilla), asiakastietoja ei voida palauttaa. Hybriditietoturvasolmujen ylläpitäjien odotetaan ylläpitävän usein varmuuskopioita tietokannasta ja konfigurointi-ISO-tiedostosta ja olevan valmiita rakentamaan hybriditietoturvatietokeskuksen uudelleen, jos tapahtuu katastrofaalinen vika.

8

Varmista, että palomuurin kokoonpano sallii Hybrid Data Security -solmujen yhteyden Ulkoisen yhteyden vaatimukset mukaisesti.

9

Asenna Docker ( https://www.docker.com) mihin tahansa paikalliseen koneeseen, jossa on tuettu käyttöjärjestelmä (Microsoft Windows 10 Professional tai Enterprise 64-bittinen tai Mac OSX Yosemite 10.10.3 tai uudempi), jossa on verkkoselain, joka voi käyttää sitä osoitteessa http://127.0.0.1:8080.

Docker-instanssin avulla lataat ja suoritat HDS Setup Tool -työkalun, joka luo paikalliset määritystiedot kaikille Hybrid Data Security -solmuille. Saatat tarvita Docker Desktop -lisenssin. Katso lisätietoja osoitteesta Docker Desktop -vaatimukset .

Jotta HDS Setup Tool voidaan asentaa ja käyttää, paikallisella koneella on oltava osoitteessa External connectivity requirements esitetyt liitettävyysvaatimukset.

10

Jos integroit välityspalvelimen Hybrid Data Securityyn, varmista, että se täyttää Proxy Server Requirements-vaatimukset.

Hybriditietoturvaklusterin perustaminen

Hybriditietoturvan käyttöönoton tehtävävirta

Ennen kuin aloitat

1

Suorita alkuasetukset ja lataa asennustiedostot

Lataa OVA-tiedosto paikalliselle koneellesi myöhempää käyttöä varten.

2

Luo konfigurointi-ISO HDS-isäntäkoneille.

Käytä HDS Setup Tool -työkalua luodaksesi ISO-kokoonpanotiedoston Hybrid Data Security -solmuja varten.

3

Asenna HDS Host OVA

Luo virtuaalikone OVA-tiedostosta ja suorita alkumääritykset, kuten verkkoasetukset.

Mahdollisuus määrittää verkkoasetukset OVA-käyttöönoton aikana on testattu ESXi 7.0:lla. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

4

Hybriditietoturva VM:n määrittäminen

Kirjaudu VM-konsoliin ja määritä kirjautumistiedot. Määritä solmun verkkoasetukset, jos et määrittänyt niitä OVA-käyttöönoton yhteydessä.

5

Lataa ja asenna HDS-konfiguraatio-ISO-tiedosto.

Määritä VM HDS Setup Tool -työkalulla luodusta ISO-kokoonpanotiedostosta.

6

HDS-solmun määrittäminen välityspalvelimen integrointia varten

Jos verkkoympäristö edellyttää välityspalvelinkonfiguraatiota, määritä solmun käyttämä välityspalvelintyyppi ja lisää tarvittaessa välityspalvelinvarmenne luottamussäilöön.

7

Rekisteröi klusterin ensimmäinen solmu

Rekisteröi VM Cisco Webex -pilvipalveluun Hybrid Data Security -solmuksi.

8

Luo ja rekisteröi lisää solmuja

Viimeistele klusterin asennus.

9

Aktivoi Multi-Tenant HDS Partner Hubissa.

Aktivoi HDS ja hallinnoi vuokralaisorganisaatioita Partner Hubissa.

Suorita alkuasetukset ja lataa asennustiedostot

Tässä tehtävässä lataat OVA-tiedoston koneellesi (ei palvelimille, jotka olet määrittänyt hybridi-tietoturvasolmuiksi). Käytät tätä tiedostoa myöhemmin asennusprosessissa.

1

Kirjaudu sisään osoitteessa Partner Hub ja valitse sitten Palvelut.

2

Etsi Pilvipalvelut-osiosta Hybrid Data Security -kortti ja valitse sitten Määritä.

Käyttöönottoprosessin kannalta on tärkeää, että napsautat Partner Hubissa Set up . Älä jatka asennusta suorittamatta tätä vaihetta.

3

Napsauta Lisää resurssi ja napsauta Lataa .OVA-tiedosto Asenna ja määritä ohjelmisto -kortilla.

Ohjelmistopaketin vanhemmat versiot (OVA) eivät ole yhteensopivia uusimpien Hybrid Data Security -päivitysten kanssa. Tämä voi aiheuttaa ongelmia sovelluksen päivittämisen aikana. Varmista, että lataat OVA-tiedoston uusimman version.

Voit myös ladata OVA:n milloin tahansa osoitteesta Help . Napsauta Asetukset > Ohje > Lataa Hybrid Data Security -ohjelmisto.

OVA-tiedoston lataaminen alkaa automaattisesti. Tallenna tiedosto johonkin paikkaan koneellasi.
4

Voit myös tarkistaa, onko tästä oppaasta saatavilla uudempi versio, valitsemalla Katso hybriditietoturvan käyttöönotto-opas .

Luo konfigurointi-ISO HDS-isäntäkoneille.

Hybrid Data Security -asennusprosessi luo ISO-tiedoston. Tämän jälkeen voit määrittää Hybrid Data Security -isäntäsovelluksen ISO-version avulla.

Ennen kuin aloitat
1

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

2

Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti:

docker login -u hdscustomersro
3

Kirjoita salasanakehotteeseen tämä hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Lataa uusin vakaa imago ympäristöllesi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:

  • Tavallisissa ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • FedRAMP-ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080".

6

Setup-työkalu ei tue yhteyden muodostamista localhostiin http://localhost:8080 kautta. Käytä http://127.0.0.1:8080 muodostaaksesi yhteyden localhostiin.

Siirry verkkoselaimella osoitteeseen localhost, http://127.0.0.1:8080, ja kirjoita kehotteeseen Partner Hubin admin-käyttäjätunnus.

Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää asettaakseen oikean ympäristön kyseiselle tilille. Tämän jälkeen työkalu näyttää tavallisen kirjautumiskehotteen.

7

Anna pyydettäessä Partner Hubin ylläpitäjän kirjautumistiedot ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn hybriditietoturvan edellyttämiin palveluihin.

8

Napsauta Setup Tool -katsaussivulla Get Started.

9

ISO Import -sivulla on seuraavat vaihtoehdot:

  • Ei- Jos luot ensimmäistä HDS-solmua, sinulla ei ole ISO-tiedostoa ladattavaksi.
  • Kyllä- Jos olet jo luonut HDS-solmuja, valitse ISO-tiedosto selaimesta ja lataa se.
10

Tarkista, että X.509-varmenne täyttää osoitteessa X.509-varmenteen vaatimukset esitetyt vaatimukset.

  • Jos et ole aiemmin ladannut varmenteita, lataa X.509-varmenne, syötä salasana ja napsauta Jatka.
  • Jos varmenne on OK, valitse Jatka.
  • Jos varmenteesi on vanhentunut tai haluat korvata sen, valitse Ei varten Jatka edellisen ISO:n HDS-varmenteiden ketjun ja yksityisen avaimen käyttöä?. Lataa uusi X.509-varmenne, syötä salasana ja napsauta Jatka.
11

Anna tietokantaosoite ja tili, jonka avulla HDS voi käyttää avaintietovarastoa:

  1. Valitse Tietokantatyyppi (PostgreSQL tai Microsoft SQL Server).

    Jos valitset Microsoft SQL Server, saat Authentication Type -kentän.

  2. (Vain Microsoft SQL Server ) Valitse Todennustyyppi:

    • Perustodennus: Tarvitset paikallisen SQL Server -tilin nimen Käyttäjänimi -kenttään.

    • Windows-todennus: Tarvitset Windows-tilin muodossa username@DOMAIN kenttään Username .

  3. Kirjoita tietokantapalvelimen osoite muodossa : tai :.

    Esimerkki:
    dbhost.example.org:1433 tai 198.51.100.17:1433

    Voit käyttää IP-osoitetta perustodennukseen, jos solmut eivät voi käyttää DNS:ää isäntänimen ratkaisemiseen.

    Jos käytät Windows-tunnistautumista, sinun on annettava täyteen määritetty verkkotunnus muodossa dbhost.example.org:1433.

  4. Kirjoita tietokannan nimi.

  5. Kirjoita Käyttäjätunnus ja Salasana käyttäjälle, jolla on kaikki oikeudet avaintallennustietokantaan.

12

Valitse TLS-tietokantayhteystapa:

Tila

Kuvaus

Prefer TLS (oletusasetus)

HDS-solmut eivät vaadi TLS-yhteyttä tietokantapalvelimeen. Jos otat TLS:n käyttöön tietokantapalvelimessa, solmut yrittävät muodostaa salatun yhteyden.

Vaadi TLS

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

Vaadi TLS ja tarkista varmenteen allekirjoittaja

Tätä tilaa ei voi käyttää SQL Server -tietokantoihin.

  • HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

  • TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa tietokannan juurivarmenteessa olevaan varmentajaan. Jos ne eivät täsmää, solmu katkaisee yhteyden.

Lataa tätä vaihtoehtoa varten tarvittava juurivarmenne Database root certificate -pudotusvalikon alapuolella olevalla ohjaimella.

Vaadi TLS ja tarkista varmenteen allekirjoittaja ja isäntänimi.

  • HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

  • TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa tietokannan juurivarmenteessa olevaan varmentajaan. Jos ne eivät täsmää, solmu katkaisee yhteyden.

  • Solmut tarkistavat myös, että palvelinvarmenteessa oleva isäntänimi vastaa tietokannan isäntä ja portti -kentässä olevaa isäntänimeä. Nimien on täsmälleen täsmättävä, tai solmu katkaisee yhteyden.

Lataa tätä vaihtoehtoa varten tarvittava juurivarmenne Database root certificate -pudotusvalikon alapuolella olevalla ohjaimella.

Kun lataat juurivarmenteen (tarvittaessa) ja napsautat Jatka, HDS Setup Tool testaa TLS-yhteyden tietokantapalvelimeen. Työkalu tarkistaa tarvittaessa myös varmenteen allekirjoittajan ja isäntänimen. Jos testi epäonnistuu, työkalu näyttää virheilmoituksen, jossa kuvataan ongelma. Voit valita, jätätkö virheen huomiotta ja jatkatko asennusta. (Yhteyseroista johtuen HDS-solmut saattavat pystyä muodostamaan TLS-yhteyden, vaikka HDS Setup Tool -kone ei pystyisi onnistuneesti testaamaan sitä.)

13

Määritä Syslogd-palvelin Järjestelmälokit-sivulla:

  1. Kirjoita syslog-palvelimen URL-osoite.

    Jos palvelin ei ole DNS-ratkaisukelpoinen HDS-klusterin solmuista, käytä URL-osoitteessa IP-osoitetta.

    Esimerkki:
    udp://10.92.43.23:514 osoittaa kirjautumisen Syslogd-isäntään 10.92.43.23 UDP-porttiin 514.

  2. Jos olet määrittänyt palvelimesi käyttämään TLS-salausta, tarkista Onko syslog-palvelimesi määritetty SSL-salausta varten?.

    Jos valitset tämän valintaruudun, varmista, että annat TCP-osoitteen, kuten tcp://10.92.43.23:514.

  3. Valitse ISO-tiedostolle sopiva asetus Choose syslog record termination -pudotusvalikosta: Valitse tai Newline käytetään Graylog- ja Rsyslog TCP -palveluissa.

    • Nollatavu -- \x00

    • Newline -- \n-Valitse tämä valinta Graylog- ja Rsyslog TCP -palveluille.

  4. Napsauta Jatka.

14

(Valinnainen) Voit muuttaa joidenkin tietokantayhteysparametrien oletusarvoa osoitteessa Lisäasetukset. Yleensä tämä parametri on ainoa, jota kannattaa muuttaa:

app_datasource_connection_pool_maxKoko: 10
15

Napsauta Jatka Reset Service Accounts Password -näytössä.

Palvelutilien salasanojen käyttöikä on yhdeksän kuukautta. Käytä tätä näyttöä, kun salasanasi ovat umpeutumassa tai haluat nollata ne aiempien ISO-tiedostojen mitätöimiseksi.

16

Klikkaa Lataa ISO-tiedosto. Tallenna tiedosto paikkaan, josta se on helppo löytää.

17

Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmään.

Pidä varmuuskopio turvassa. Tämä tiedosto sisältää tietokannan sisällön pääsalausavaimen. Rajoita käyttöoikeus vain niille Hybrid Data Securityn järjestelmänvalvojille, joiden pitäisi tehdä määritysmuutoksia.

18

Voit sammuttaa Setup-työkalun kirjoittamalla CTRL+C.

Mitä tehdä seuraavaksi

Varmuuskopioi konfigurointi-ISO-tiedosto. Tarvitset sitä luodaksesi lisää solmuja toipumista varten tai tehdessäsi kokoonpanomuutoksia. Jos menetät kaikki ISO-tiedoston kopiot, menetät myös pääavaimen. Avainten palauttaminen PostgreSQL- tai Microsoft SQL Server -tietokannasta ei ole mahdollista.

Meillä ei ole koskaan kopiota tästä avaimesta, emmekä voi auttaa, jos kadotat sen.

Asenna HDS Host OVA

Luo virtuaalikone OVA-tiedostosta tämän menettelyn avulla.
1

Kirjaudu ESXi-virtuaali-isäntäkoneeseen VMware vSphere -asiakasohjelman avulla.

2

Valitse File > Deploy OVF Template.

3

Määritä ohjatussa toiminnossa aiemmin lataamasi OVA-tiedoston sijainti ja napsauta sitten Next.

4

Kirjoita Valitse nimi ja kansio -sivulla Virtuaalikoneen nimi solmulle (esimerkiksi "HDS_Node_1"), valitse sijainti, jossa virtuaalikoneen solmun käyttöönotto voi sijaita, ja napsauta sitten Seuraava.

5

Valitse Valitse laskentaresurssi -sivulla kohdelaskentaresurssi ja napsauta sitten Seuraava.

Validointitarkistus suoritetaan. Kun se on valmis, mallin tiedot tulevat näkyviin.

6

Tarkista mallin tiedot ja napsauta sitten Next.

7

Jos sinua pyydetään valitsemaan resurssikokoonpano sivulla Configuration , valitse 4 CPU ja valitse sitten Next.

8

Valitse Valitse tallennustila -sivulla Seuraava hyväksyäksesi oletusarvoisen levymuodon ja VM-tallennuskäytännön.

9

Valitse Valitse verkot -sivulla verkkovaihtoehto luettelosta, joka tarjoaa VM:lle halutun yhteyden.

10

Määritä seuraavat verkkoasetukset sivulla Customize template :

  • Isäntänimi- Kirjoita solmun FQDN (isäntänimi ja toimialue) tai yksisanainen isäntänimi.

    • Verkkotunnuksen ei tarvitse vastata verkkotunnusta, jota käytit X.509-varmenteen hankkimiseen.

    • Jotta rekisteröinti pilvipalveluun onnistuisi, käytä solmulle asettamassasi FQDN- tai isäntänimessä vain pieniä kirjaimia. Suuraakkosia ei tällä hetkellä tueta.

    • FQDN-nimen kokonaispituus saa olla enintään 64 merkkiä.

  • IP-osoite- Syötä solmun sisäisen liitännän IP-osoite.

    Solmulla pitäisi olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.

  • Mask- Syötä aliverkon peiteosoite pistemääräisenä. Esimerkiksi 255.255.255.255.0.
  • Yhdyskäytävä-Kirjoita yhdyskäytävän IP-osoite. Yhdyskäytävä on verkon solmu, joka toimii yhteyspisteenä toiseen verkkoon.
  • DNS-palvelimet-Kirjoita pilkulla erotettu luettelo DNS-palvelimista, jotka huolehtivat verkkotunnusten muuntamisesta numeerisiksi IP-osoitteiksi. (Enintään 4 DNS-merkintää on sallittu.)
  • NTP-palvelimet-Kirjoita organisaatiosi NTP-palvelin tai muu organisaatiossasi käytettävä ulkoinen NTP-palvelin. Oletusarvoiset NTP-palvelimet eivät välttämättä toimi kaikissa yrityksissä. Voit myös käyttää pilkulla erotettua luetteloa useiden NTP-palvelimien syöttämiseen.

  • Aseta kaikki solmut samaan aliverkkoon tai VLAN:iin, jotta kaikki klusterin solmut ovat tavoitettavissa verkon asiakkaista hallinnollisia tarkoituksia varten.

Voit halutessasi ohittaa verkkoasetusten määrityksen ja määrittää asetukset solmun konsolissa kohdan Hybriditietoturva-VM:n määrittäminen ohjeiden mukaisesti.

Mahdollisuus määrittää verkkoasetukset OVA-käyttöönoton aikana on testattu ESXi 7.0:lla. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

11

Napsauta hiiren kakkospainikkeella solmun VM:ää ja valitse sitten Power > Power On.

Hybrid Data Security -ohjelmisto asennetaan vieraana VM-isäntään. Olet nyt valmis kirjautumaan konsoliin ja määrittämään solmun.

Vianmääritysvinkkejä

Saattaa esiintyä muutaman minuutin viive, ennen kuin solmupisteiden säiliöt tulevat esiin. Konsolissa näkyy siltapalomuuriviesti ensimmäisen käynnistyksen aikana, jolloin et voi kirjautua sisään.

Hybriditietoturva VM:n määrittäminen

Tällä menettelyllä voit kirjautua Hybrid Data Security -solmun VM-konsoliin ensimmäistä kertaa ja määrittää kirjautumistiedot. Voit myös määrittää solmun verkkoasetukset konsolin avulla, jos et määrittänyt niitä OVA-käyttöönoton yhteydessä.

1

Valitse VMware vSphere -asiakasohjelmassa Hybrid Data Security -solmun VM ja valitse Console -välilehti.

VM käynnistyy ja näyttöön tulee kirjautumiskehote. Jos kirjautumiskehote ei tule näkyviin, paina Enter.
2

Kirjaudu sisään ja vaihda tunnistetiedot seuraavilla oletustunnuksilla: käyttäjätunnus ja salasana:

  1. Kirjaudu sisään: admin

  2. Salasana: cisco

Koska kirjaudut VM:ään ensimmäistä kertaa, sinun on vaihdettava järjestelmänvalvojan salasana.

3

Jos olet jo määrittänyt verkkoasetukset kohdassa Install the HDS Host OVA, ohita tämän ohjeen loppuosa. Muussa tapauksessa valitse päävalikosta Edit Configuration .

4

Määritä staattinen konfiguraatio, jossa on IP-osoite, maski, yhdyskäytävä ja DNS-tiedot. Solmulla pitäisi olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.

5

(Valinnainen) Muuta isäntänimeä, toimialuetta tai NTP-palvelinta (-palvelimia) tarvittaessa verkkokäytäntösi mukaiseksi.

Verkkotunnuksen ei tarvitse vastata verkkotunnusta, jota käytit X.509-varmenteen hankkimiseen.

6

Tallenna verkkokokoonpano ja käynnistä VM uudelleen, jotta muutokset tulevat voimaan.

Lataa ja asenna HDS-konfiguraatio-ISO-tiedosto.

Määritä virtuaalikone HDS Setup Tool -työkalulla luodusta ISO-tiedostosta tämän menettelyn avulla.

Ennen kuin aloitat

Koska ISO-tiedostossa on pääavain, se tulisi paljastaa vain, jos se on tarpeen, jotta hybriditietoturva-VM:t ja mahdolliset järjestelmänvalvojat, jotka saattavat joutua tekemään muutoksia, pääsevät siihen käsiksi. Varmista, että vain kyseiset järjestelmänvalvojat voivat käyttää tietovarastoa.

1

Lataa ISO-tiedosto tietokoneeltasi:

  1. Napsauta VMware vSphere -asiakasohjelman vasemmassa navigointipaneelissa ESXi-palvelinta.

  2. Valitse Configuration-välilehden Hardware (Laitteisto) -luettelosta Storage (Tallennus).

  3. Napsauta Datastores-luettelossa hiiren kakkospainikkeella VM-tietovarastoa ja valitse Browse Datastore.

  4. Napsauta Upload Files -kuvaketta ja valitse sitten Upload File.

  5. Siirry paikkaan, josta latasit ISO-tiedoston tietokoneellesi, ja napsauta Avaa.

  6. Hyväksy lataus/download-toiminnon varoitus napsauttamalla Yes ja sulje tietovarasto-valintaikkuna.

2

Kiinnitä ISO-tiedosto:

  1. Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia.

  2. Hyväksy rajoitettujen muokkausasetusten varoitus napsauttamalla OK .

  3. Napsauta CD/DVD-asema 1, valitse vaihtoehto mount from a datastore ISO file ja selaa paikkaan, johon latasit kokoonpanon ISO-tiedoston.

  4. Tarkista Kytketty ja Kytke virta päälle.

  5. Tallenna muutokset ja käynnistä virtuaalikone uudelleen.

Mitä tehdä seuraavaksi

Jos tietotekniikkakäytäntösi edellyttää, voit vaihtoehtoisesti poistaa ISO-tiedoston liittämisen sen jälkeen, kun kaikki solmut ovat ottaneet käyttöön määritysmuutokset. Katso lisätietoja osoitteesta (Valinnainen) Unmount ISO After HDS Configuration .

HDS-solmun määrittäminen välityspalvelimen integrointia varten

Jos verkkoympäristö edellyttää välityspalvelinta, määritä tällä tavalla, minkä tyyppinen välityspalvelin haluat integroida Hybrid Data Securityyn. Jos valitset läpinäkyvän tarkastavan välityspalvelimen tai nimenomaisen HTTPS-välityspalvelimen, voit ladata ja asentaa juurivarmenteen solmun käyttöliittymän avulla. Voit myös tarkistaa välityspalvelinyhteyden käyttöliittymästä ja korjata mahdollisia ongelmia.

Ennen kuin aloitat

1

Kirjoita HDS-solmun asetusten URL-osoite https://[HDS-solmun IP- tai FQDN]/setup verkkoselaimessa, syötä solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.

2

Siirry osoitteeseen Trust Store & Proxy ja valitse sitten vaihtoehto:

  • Ei välityspalvelinta- Oletusvaihtoehto ennen välityspalvelimen integroimista. Varmenteen päivitystä ei tarvita.
  • Läpinäkyvä ei-tarkastava välityspalvelin-Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen ei-tarkastavan välityspalvelimen kanssa. Varmenteen päivitystä ei tarvita.
  • Läpinäkyvä välityspalvelimen tarkastaminen-Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. Hybrid Data Security -käyttöönotossa ei tarvita HTTPS-konfiguraatiomuutoksia, mutta HDS-solmut tarvitsevat juurivarmenteen, jotta ne luottavat välityspalvelimeen. Tietotekniikka käyttää tyypillisesti tarkastavia välityspalvelimia valvomaan käytäntöjä, jotka koskevat sitä, millä verkkosivustoilla voi vierailla ja minkä tyyppistä sisältöä ei saa käyttää. Tämäntyyppinen välityspalvelin purkaa kaiken liikennöintisi (jopa HTTPS).
  • Explicit Proxy-Explisiittisellä välityspalvelimella kerrot asiakkaalle (HDS-solmut), mitä välityspalvelinta käyttää, ja tämä vaihtoehto tukee useita todennustyyppejä. Kun olet valinnut tämän vaihtoehdon, sinun on annettava seuraavat tiedot:

    1. Proxy IP/FQDN-osoite, jolla välityskone voidaan tavoittaa.

    2. Välitysportti- Portin numero, jota välityspalvelin käyttää kuunnellakseen välitettyä liikennettä.

    3. Proxy Protocol-Valitse http (tarkastelee ja valvoo kaikkia asiakkaalta vastaanotettuja pyyntöjä) tai https (tarjoaa kanavan palvelimelle ja asiakas vastaanottaa ja vahvistaa palvelimen varmenteen). Valitse vaihtoehto sen mukaan, mitä välityspalvelimesi tukee.

    4. Todennustyyppi-Valitse yksi seuraavista todennustyypeistä:

      • Ei ole- Muita todennuksia ei tarvita.

        Käytettävissä HTTP- tai HTTPS-välityspalvelimille.

      • Basic-Käytetään HTTP-käyttäjäagenttia antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.

        Käytettävissä HTTP- tai HTTPS-välityspalvelimille.

        Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjänimi ja salasana.

      • Digest-Käytetään tilin vahvistamiseen ennen arkaluontoisten tietojen lähettämistä. Soveltaa hash-funktiota käyttäjänimeen ja salasanaan ennen lähettämistä verkon yli.

        Käytettävissä vain HTTPS-välityspalvelimille.

        Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjänimi ja salasana.

Noudata seuraavia vaiheita, kun kyseessä on läpinäkyvä tarkastava välityspalvelin, HTTP-selkeä välityspalvelin, jossa on perustodennus, tai HTTPS-selkeä välityspalvelin.

3

Napsauta Upload a Root Certificate or End Entity Certificate ja siirry sitten valitsemaan välityspalvelimen juurivarmenne.

Varmenne on ladattu, mutta sitä ei ole vielä asennettu, koska solmun on käynnistettävä uudelleen varmenteen asentamiseksi. Saat lisätietoja napsauttamalla varmenteen myöntäjän nimen vieressä olevaa nuolta tai napsauttamalla Poista , jos teit virheen ja haluat ladata tiedoston uudelleen.

4

Testaa solmun ja välityspalvelimen välinen verkkoyhteys napsauttamalla Check Proxy Connection .

Jos yhteystesti epäonnistuu, näyttöön tulee virheilmoitus, jossa kerrotaan syy ja miten voit korjata ongelman.

Jos näet viestin, jonka mukaan ulkoinen DNS-resoluutio ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen. Tämä ehto on odotettavissa monissa eksplisiittisissä välityspalvelinkokoonpanoissa. Voit jatkaa asetusten määrittämistä, ja solmu toimii Estetty ulkoinen DNS-resoluutio -tilassa. Jos luulet, että kyseessä on virhe, suorita nämä vaiheet ja katso sitten Ota estetty ulkoinen DNS-resoluutiotila pois käytöstä.

5

Kun yhteystesti on läpäisty, jos vain https:n välityspalvelimeksi on asetettu explicit proxy, kytke päälle . Reititä kaikki porttien 443/444 https-pyynnöt tästä solmusta explicit proxyn kautta. Tämä asetus vaatii 15 sekuntia tullakseen voimaan.

6

Napsauta Asenna kaikki varmenteet luottamussäilöön (tulee näkyviin, jos kyseessä on HTTPS-selkeän välityspalvelimen tai läpinäkyvän tarkastavan välityspalvelimen käyttö) tai Käynnistä uudelleen (tulee näkyviin, jos kyseessä on HTTP-selkeän välityspalvelimen käyttö), lue kehote ja napsauta sitten Asenna , jos olet valmis.

Solmu käynnistyy uudelleen muutamassa minuutissa.

7

Kun solmu on käynnistetty uudelleen, kirjaudu tarvittaessa uudelleen sisään ja avaa sitten Overview -sivu tarkistaaksesi yhteystarkastukset ja varmistaaksesi, että ne ovat kaikki vihreässä tilassa.

Välityspalvelinyhteyden tarkistus testaa vain webex.com-sivuston aliverkkotunnuksen. Jos yhteysongelmia ilmenee, yleinen ongelma on, että jotkin asennusohjeissa luetelluista pilvialueen verkkotunnuksista on estetty välityspalvelimessa.

Rekisteröi klusterin ensimmäinen solmu

Tässä tehtävässä otetaan yleinen solmu, jonka loit kohdassa Hybriditietoturvan VM:n määrittäminen, rekisteröidään solmu Webex-pilveen ja muutetaan se Hybriditietoturvan solmuksi.

Kun rekisteröit ensimmäisen solmun, luot klusterin, johon solmu liitetään. Klusteri sisältää yhden tai useamman solmun, jotka on sijoitettu tarjoamaan redundanssia.

Ennen kuin aloitat

  • Kun aloitat solmun rekisteröinnin, sinun on saatettava se päätökseen 60 minuutin kuluessa tai sinun on aloitettava alusta.

  • Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen admin.webex.com-sivustolle.

1

Kirjaudu sisään osoitteessa https://admin.webex.com.

2

Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

3

Etsi Cloud Services -osiosta Hybrid Data Security -kortti ja napsauta Set up.

4

Valitse avautuvalla sivulla Add a resource.

5

Kirjoita kortin Add a node ensimmäiseen kenttään nimi klusterille, johon haluat määrittää Hybrid Data Security -solmun.

Suosittelemme, että nimeät klusterin sen mukaan, missä klusterin solmut sijaitsevat maantieteellisesti. Esimerkkejä: "San Francisco" tai "New York" tai "Dallas".

6

Kirjoita toiseen kenttään solmun sisäinen IP-osoite tai FQDN (fully qualified domain name) ja napsauta näytön alareunassa Add .

Tämän IP-osoitteen tai FQDN:n tulisi vastata IP-osoitetta tai isäntänimeä ja toimialuetta, joita käytit kohdassa Hybrid Data Security VM:n määrittäminen.

Näyttöön tulee viesti, jossa ilmoitetaan, että voit rekisteröidä solmun Webexiin.
7

Napsauta Go to Node.

Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmujen yhteystesteihin. Jos kaikki testit ovat onnistuneet, Salli pääsy hybridi-tietoturvasolmulle -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa Webex-organisaatiollesi oikeudet käyttää solmua.

8

Tarkista Allow Access to Your Hybrid Data Security Node -valintaruutu ja napsauta sitten Continue.

Tilisi on vahvistettu ja "Rekisteröinti valmis" -viesti osoittaa, että solmusi on nyt rekisteröity Webex-pilveen.
9

Napsauta linkkiä tai sulje välilehti, niin pääset takaisin Partner Hub Hybrid Data Security -sivulle.

Hybrid Data Security -sivulla Resurssit -välilehdellä näkyy uusi klusteri, joka sisältää rekisteröimäsi solmun. Solmu lataa automaattisesti uusimman ohjelmiston pilvestä.

Luo ja rekisteröi lisää solmuja

Jos haluat lisätä klusteriin lisää solmuja, luot yksinkertaisesti uusia VM:iä ja asennat saman konfigurointi-ISO-tiedoston ja rekisteröit solmun. Suosittelemme, että sinulla on vähintään 3 solmua.

Ennen kuin aloitat

  • Kun aloitat solmun rekisteröinnin, sinun on saatettava se päätökseen 60 minuutin kuluessa tai sinun on aloitettava alusta.

  • Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen admin.webex.com-sivustolle.

1

Luo uusi virtuaalikone OVA:sta toistamalla vaiheet osoitteessa Install the HDS Host OVA.

2

Määritä uuden VM:n alkukokoonpano toistamalla kohdasta Set up the Hybrid Data Security VM löytyvät vaiheet.

3

Toista uudessa VM:ssä vaiheet osoitteessa Lataa ja asenna HDS-kokoonpanon ISO.

4

Jos otat käyttöön välityspalvelimen, toista kohdan Configure the HDS Node for Proxy Integration vaiheet tarpeen mukaan uutta solmua varten.

5

Rekisteröi solmu.

  1. Valitse https://admin.webex.com-sivustolla Palvelut näytön vasemmassa reunassa olevasta valikosta.

  2. Etsi Cloud Services -osiosta Hybrid Data Security -kortti ja napsauta View all.

    Hybriditietoturvaresurssit-sivu tulee näkyviin.

  3. Äskettäin luotu klusteri näkyy sivulla Resurssit .

  4. Klikkaa klusteria nähdäksesi klusteriin määritetyt solmut.

  5. Napsauta Add a node näytön oikeassa reunassa.

  6. Kirjoita solmun sisäinen IP-osoite tai FQDN (fully qualified domain name) ja napsauta Add.

    Avautuu sivu, jossa on viesti, jonka mukaan voit rekisteröidä solmun Webex-pilveen. Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmujen yhteystesteihin. Jos kaikki testit ovat onnistuneet, Salli pääsy hybridi-tietoturvasolmulle -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa organisaatiollesi oikeudet käyttää solmua.

  7. Tarkista Allow Access to Your Hybrid Data Security Node -valintaruutu ja napsauta sitten Continue.

    Tilisi on vahvistettu ja "Rekisteröinti valmis" -viesti osoittaa, että solmusi on nyt rekisteröity Webex-pilveen.

  8. Napsauta linkkiä tai sulje välilehti, niin pääset takaisin Partner Hub Hybrid Data Security -sivulle.

    Node added ponnahdusviesti näkyy myös Partner Hubin näytön alareunassa.

    Solmusi on rekisteröity.

Hallitse vuokralaisorganisaatioita Multi-Tenant Hybrid Data Security -palvelussa.

Aktivoi Multi-Tenant HDS Partner Hubissa.

Tällä tehtävällä varmistetaan, että kaikki asiakasorganisaatioiden käyttäjät voivat alkaa hyödyntää HDS:n On-Premises-salausavaimia ja muita tietoturvapalveluja.

Ennen kuin aloitat

Varmista, että olet saanut valmiiksi Multi-Tenant HDS -klusterin määrityksen, jossa on tarvittava määrä solmuja.

1

Kirjaudu sisään osoitteessa https://admin.webex.com.

2

Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

3

Etsi Pilvipalvelut-osiosta Hybrid Data Security ja napsauta Muokkaa asetuksia.

4

Napsauta Aktivoi HDS HDS Status -kortilla Aktivoi HDS .

Lisää vuokralaisorganisaatioita Partner Hubiin

Tässä tehtävässä määrität asiakasorganisaatiot hybridi-tietoturvaklusteriin.

1

Kirjaudu sisään osoitteessa https://admin.webex.com.

2

Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

3

Etsi Cloud Services -osiosta Hybrid Data Security ja napsauta View all.

4

Napsauta klusteria, johon haluat määrittää asiakkaan.

5

Siirry välilehdelle Assigned customers .

6

Napsauta Lisää asiakkaita.

7

Valitse avattavasta valikosta asiakas, jonka haluat lisätä.

8

Napsauta Add, asiakas lisätään klusteriin.

9

Toista vaiheet 6-8 lisätäksesi useita asiakkaita klusteriin.

10

Kun olet lisännyt asiakkaat, napsauta näytön alareunassa Done .

Mitä tehdä seuraavaksi

Käynnistä HDS-asennustyökalu, kuten kohdassa on kuvattu. Create Customer Main Keys (CMKs) using the HDS Setup tool (Luo asiakkaan pääavaimet (CMK:t) HDS-asennustyökalun avulla), jotta saat asennusprosessin päätökseen.

Luo asiakkaan pääavaimet (CMK) HDS Setup -työkalulla.

Ennen kuin aloitat

Määritä asiakkaat sopivaan klusteriin, kuten kohdassa Add tenant organizations in Partner Hub on kuvattu. Suorita HDS Setup -työkalu, jotta saat äskettäin lisättyjen asiakasorganisaatioiden määritysprosessin päätökseen.

  • HDS Setup -työkalu toimii Docker-säiliönä paikallisella koneella. Voit käyttää sitä suorittamalla Dockerin kyseisellä koneella. Asennusprosessi edellyttää Partner Hub -tilin tunnistetietoja, joilla on organisaatiosi täydet järjestelmänvalvojan oikeudet.

    Jos HDS Setup -työkalu toimii ympäristössäsi välityspalvelimen takana, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien avulla, kun käynnistät Docker-säiliön vaiheessa 5. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:

    Kuvaus

    Muuttuja

    HTTP-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTP_PROXY=http://SERVER_IP:PORTTI IP:PORTTI

    HTTPS-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTPS_PROXY=http://SERVER_IP:PORTTI

    HTTP-välityspalvelin todennuksen kanssa

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

    HTTPS-välityspalvelin todennuksella

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

  • Luomasi konfigurointi-ISO-tiedosto sisältää pääavaimen, jolla PostgreSQL- tai Microsoft SQL Server -tietokanta salataan. Tarvitset uusimman kopion tästä tiedostosta aina, kun teet määritysmuutoksia, kuten näitä:

    • Tietokannan tunnistetiedot

    • Todistuksen päivitykset

    • Muutokset valtuutuskäytäntöön

  • Jos aiot salata tietokantayhteyksiä, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:ää varten.

Hybrid Data Security -asennusprosessi luo ISO-tiedoston. Tämän jälkeen voit määrittää Hybrid Data Security -isäntäsovelluksen ISO-version avulla.

1

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

2

Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti:

docker login -u hdscustomersro
3

Kirjoita salasanakehotteeseen tämä hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Lataa uusin vakaa imago ympäristöllesi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:

  • Tavallisissa ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • FedRAMP-ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080".

6

Setup-työkalu ei tue yhteyden muodostamista localhostiin http://localhost:8080 kautta. Käytä http://127.0.0.1:8080 muodostaaksesi yhteyden localhostiin.

Siirry verkkoselaimella osoitteeseen localhost, http://127.0.0.1:8080, ja kirjoita kehotteeseen Partner Hubin admin-käyttäjätunnus.

Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää asettaakseen oikean ympäristön kyseiselle tilille. Tämän jälkeen työkalu näyttää tavallisen kirjautumiskehotteen.

7

Anna pyydettäessä Partner Hubin ylläpitäjän kirjautumistiedot ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn hybriditietoturvan edellyttämiin palveluihin.

8

Napsauta Setup Tool -katsaussivulla Get Started.

9

Valitse ISO Import -sivulla Yes.

10

Valitse ISO-tiedosto selaimessa ja lataa se.

Varmista yhteys tietokantaan CMK:n hallintaa varten.
11

Siirry Vuokralaisen CMK:n hallinta -välilehdelle, jossa on seuraavat kolme tapaa hallita vuokralaisen CMK:ta.

  • Create CMK for all ORGs tai Create CMK - Napsauta tätä painiketta näytön yläreunassa olevassa bannerissa luodaksesi CMK:t kaikille äskettäin lisätyille organisaatioille.
  • Napsauta Manage CMKs -painiketta näytön oikeassa reunassa ja napsauta Create CMKs luodaksesi CMK:t kaikille äskettäin lisätyille organisaatioille.
  • Napsauta ... tietyn organisaation CMK-hallinnan odottavan tilan lähellä taulukossa ja napsauta Create CMK luodaksesi CMK:n kyseiselle organisaatiolle.
12

Kun CMK:n luominen on onnistunut, tila muuttuu taulukossa CMK:n hallinta vireillä -tilasta CMK hallinnoitu-tilaan.

13

Jos CMK:n luominen ei onnistu, näyttöön tulee virheilmoitus.

Poista vuokralaisorganisaatiot

Ennen kuin aloitat

Poistamisen jälkeen asiakasorganisaatioiden käyttäjät eivät voi hyödyntää HDS:ää salaustarpeisiinsa ja menettävät kaikki olemassa olevat tilat. Ennen asiakasorganisaatioiden poistamista ota yhteyttä Cisco-kumppaniin tai asiakaspäällikköön.

1

Kirjaudu sisään osoitteessa https://admin.webex.com.

2

Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

3

Etsi Cloud Services -osiosta Hybrid Data Security ja napsauta View all.

4

Napsauta Resurssit -välilehdellä klusteria, josta haluat poistaa asiakasorganisaatiot.

5

Valitse avautuvalla sivulla Assigned Customers.

6

Napsauta näkyviin tulevasta asiakasorganisaatioiden luettelosta ... sen asiakasorganisaation oikealla puolella, jonka haluat poistaa, ja napsauta Poista klusterista.

Mitä tehdä seuraavaksi

Suorita poistoprosessi loppuun peruuttamalla asiakasorganisaatioiden CMK-tunnukset osoitteessa Revoke CMKs of tenants removed from HDS.

HDS:stä poistettujen vuokralaisten CMK-tunnusten peruuttaminen.

Ennen kuin aloitat

Poista asiakkaat kyseisestä klusterista, kuten kohdassa Remove tenant organizations on kuvattu. Suorita HDS-asennustyökalu, jotta poistettujen asiakasorganisaatioiden poistoprosessi saadaan päätökseen.

  • HDS Setup -työkalu toimii Docker-säiliönä paikallisella koneella. Voit käyttää sitä suorittamalla Dockerin kyseisellä koneella. Asennusprosessi edellyttää Partner Hub -tilin tunnistetietoja, joilla on organisaatiosi täydet järjestelmänvalvojan oikeudet.

    Jos HDS Setup -työkalu toimii ympäristössäsi välityspalvelimen takana, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien avulla, kun käynnistät Docker-säiliön vaiheessa 5. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:

    Kuvaus

    Muuttuja

    HTTP-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTP_PROXY=http://SERVER_IP:PORTTI IP:PORTTI

    HTTPS-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTPS_PROXY=http://SERVER_IP:PORTTI

    HTTP-välityspalvelin todennuksen kanssa

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

    HTTPS-välityspalvelin todennuksella

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

  • Luomasi konfigurointi-ISO-tiedosto sisältää pääavaimen, jolla PostgreSQL- tai Microsoft SQL Server -tietokanta salataan. Tarvitset uusimman kopion tästä tiedostosta aina, kun teet määritysmuutoksia, kuten näitä:

    • Tietokannan tunnistetiedot

    • Todistuksen päivitykset

    • Muutokset valtuutuskäytäntöön

  • Jos aiot salata tietokantayhteyksiä, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:ää varten.

Hybrid Data Security -asennusprosessi luo ISO-tiedoston. Tämän jälkeen voit määrittää Hybrid Data Security -isäntäsovelluksen ISO-version avulla.

1

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

2

Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti:

docker login -u hdscustomersro
3

Kirjoita salasanakehotteeseen tämä hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Lataa uusin vakaa imago ympäristöllesi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:

  • Tavallisissa ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • FedRAMP-ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080".

6

Setup-työkalu ei tue yhteyden muodostamista localhostiin http://localhost:8080 kautta. Käytä http://127.0.0.1:8080 muodostaaksesi yhteyden localhostiin.

Siirry verkkoselaimella osoitteeseen localhost, http://127.0.0.1:8080, ja kirjoita kehotteeseen Partner Hubin admin-käyttäjätunnus.

Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää asettaakseen oikean ympäristön kyseiselle tilille. Tämän jälkeen työkalu näyttää tavallisen kirjautumiskehotteen.

7

Anna pyydettäessä Partner Hubin ylläpitäjän kirjautumistiedot ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn hybriditietoturvan edellyttämiin palveluihin.

8

Napsauta Setup Tool -katsaussivulla Get Started.

9

Valitse ISO Import -sivulla Yes.

10

Valitse ISO-tiedosto selaimessa ja lataa se.

11

Siirry Vuokralaisen CMK:n hallinta -välilehdelle, jossa on seuraavat kolme tapaa hallita vuokralaisen CMK:ta.

  • Revoke CMK for all ORGs or Revoke CMK - Napsauta tätä painiketta näytön yläreunassa olevassa bannerissa peruuttaaksesi kaikkien poistettujen organisaatioiden CMK:t.
  • Napsauta Manage CMKs -painiketta näytön oikeassa reunassa ja napsauta Revoke CMKs peruuttaaksesi kaikkien poistettujen organisaatioiden CMK:t.
  • Napsauta ... lähellä CMK, joka peruutetaan tietyn organisaation tilaa taulukossa ja napsauta Revoke CMK peruuttaaksesi CMK:n kyseiseltä organisaatiolta.
12

Kun CMK:n peruuttaminen on onnistunut, asiakasorganisaatio ei enää näy taulukossa.

13

Jos CMK:n peruuttaminen ei onnistu, näyttöön tulee virheilmoitus.

Testaa hybriditietoturvan käyttöönottoa

Testaa hybriditietoturvan käyttöönottoa

Tällä menettelyllä voit testata Multi-Tenant Hybrid Data Security -salausskenaarioita.

Ennen kuin aloitat

  • Määritä Multi-Tenant Hybrid Data Security -käyttöönotto.

  • Varmista, että sinulla on pääsy syslogiin, jotta voit tarkistaa, että avainpyynnöt kulkevat Multi-Tenant Hybrid Data Security -käyttöönottoon.

1

Avaimet tietylle tilalle asettaa tilan luoja. Kirjaudu Webex-sovellukseen yhtenä asiakasorganisaation käyttäjistä ja luo tila.

Jos poistat hybriditietoturva-asennuksen käytöstä, käyttäjien luomien tilojen sisältöön ei enää pääse käsiksi, kun salausavainten asiakaskeskeytetyt kopiot on korvattu.

2

Lähetä viestejä uuteen tilaan.

3

Tarkista syslog-tulosteesta, että avainpyynnöt kulkevat Hybrid Data Security -käyttöönottoon.

  1. Jos haluat tarkistaa, että käyttäjä on ensin luonut suojatun kanavan KMS:ään, suodata kms.data.method=create ja kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Löydät seuraavan kaltaisen merkinnän (tunnukset on lyhennetty luettavuuden vuoksi):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] vastaanotettu, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Jos haluat tarkistaa, onko käyttäjä pyytänyt olemassa olevaa avainta KMS:stä, suodata kms.data.method=retrieve ja kms.data.type=KEY:

    Sinun pitäisi löytää seuraava merkintä:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] vastaanotettu, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Jos haluat tarkistaa, onko käyttäjä pyytänyt uuden KMS-avaimen luomista, suodata kms.data.method=create ja kms.data.type=KEY_COLLECTION:

    Sinun pitäisi löytää seuraava merkintä:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] vastaanotettu, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Jos haluat tarkistaa, onko käyttäjä pyytänyt uuden KMS-resurssiobjektin (KRO) luomista, kun tila tai muu suojattu resurssi luodaan, suodata kms.data.method=create ja kms.data.type=RESOURCE_COLLECTION:

    Sinun pitäisi löytää seuraava merkintä: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] vastaanotettu, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Hybriditietojen tietoturvan tilan seuranta

Partner Hubin tilaindikaattori näyttää, onko Multi-Tenant Hybrid Data Security -käyttöönotossa kaikki kunnossa. Jos haluat ennakoivampia hälytyksiä, tilaa sähköposti-ilmoitukset. Sinulle ilmoitetaan, kun palveluun vaikuttavia hälytyksiä tai ohjelmistopäivityksiä tulee.
1

Valitse Partner Hubissa vasemmalla puolella olevasta valikosta Palvelut .

2

Etsi Pilvipalvelut-osiosta Hybrid Data Security ja napsauta Muokkaa asetuksia.

Hybriditietojen suojausasetukset -sivu tulee näkyviin.
3

Kirjoita Sähköposti-ilmoitukset-osioon yksi tai useampi sähköpostiosoite pilkuilla erotettuna ja paina Enter.

Hallitse HDS-käyttöönottoa

Hallitse HDS:n käyttöönottoa

Käytä tässä kuvattuja tehtäviä Hybrid Data Security -käyttöönoton hallintaan.

Aseta klusterin päivitysaikataulu

Hybrid Data Securityn ohjelmistopäivitykset tehdään automaattisesti klusteritasolla, mikä varmistaa, että kaikissa solmuissa on aina sama ohjelmistoversio. Päivitykset tehdään klusterin päivitysaikataulun mukaisesti. Kun ohjelmistopäivitys tulee saataville, voit päivittää klusterin manuaalisesti ennen suunniteltua päivitysaikaa. Voit määrittää tietyn päivitysaikataulun tai käyttää oletusaikataulua 3:00 AM Daily United States: Amerikka/Los Angeles. Voit myös tarvittaessa lykätä tulevaa päivitystä.

Päivityksen aikataulun asettaminen:

1

Kirjaudu sisään Partner Hubiin.

2

Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

3

Etsi Cloud Services -osiosta Hybrid Data Security ja napsauta Set up (Määritä).

4

Valitse klusteri Hybriditietoturvaresurssit-sivulla.

5

Napsauta Cluster Settings -välilehteä.

6

Valitse klusterin asetukset -sivun kohdassa Päivitysaikataulu päivitysaikataulun kellonaika ja aikavyöhyke.

Huomautus: Aikavyöhykkeen alla näkyy seuraava saatavilla oleva päivityspäivä ja -aika. Voit tarvittaessa siirtää päivityksen seuraavalle päivälle napsauttamalla Postpone by 24 hours.

Solmun kokoonpanon muuttaminen

Joskus sinun on ehkä muutettava Hybrid Data Security -solmun kokoonpanoa esimerkiksi seuraavista syistä:

  • x.509-varmenteiden muuttaminen vanhentumisen tai muiden syiden vuoksi.

    Emme tue varmenteen CN-verkkotunnuksen nimen muuttamista. Verkkotunnuksen on vastattava klusterin rekisteröinnissä käytettyä alkuperäistä verkkotunnusta.

  • Tietokanta-asetusten päivittäminen PostgreSQL- tai Microsoft SQL Server -tietokannan kopion vaihtamiseksi.

    Emme tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin tai päinvastoin. Jos haluat vaihtaa tietokantaympäristön, aloita uusi Hybrid Data Security -käyttöönotto.

  • Uuden kokoonpanon luominen uuden datakeskuksen valmistelemiseksi.

Hybrid Data Security käyttää turvallisuussyistä myös palvelutilien salasanoja, joiden käyttöikä on yhdeksän kuukautta. Kun HDS-asennustyökalu on luonut nämä salasanat, otat ne käyttöön kussakin HDS-solmussa ISO-määritystiedostossa. Kun organisaatiosi salasanojen voimassaolo lähestyy päättymistään, saat Webex-tiimiltä ilmoituksen, jossa pyydetään palauttamaan konetilisi salasana. (Sähköpostiviestissä on teksti: "Päivitä salasana konetilin API:n avulla."). Jos salasanasi eivät ole vielä vanhentuneet, työkalu antaa sinulle kaksi vaihtoehtoa:

  • Pehmeä nollaus- Vanha ja uusi salasana toimivat molemmat enintään 10 päivän ajan. Käytä tätä ajanjaksoa ISO-tiedoston korvaamiseen solmuissa vähitellen.

  • Hard reset- Vanhat salasanat lakkaavat toimimasta välittömästi.

Jos salasanasi vanhenevat ilman nollausta, se vaikuttaa HDS-palveluun ja edellyttää välitöntä kovaa nollausta ja ISO-tiedoston vaihtamista kaikissa solmuissa.

Tämän menettelyn avulla voit luoda uuden ISO-konfiguraatiotiedoston ja soveltaa sitä klusteriin.

Ennen kuin aloitat

  • HDS Setup -työkalu toimii Docker-säiliönä paikallisella koneella. Voit käyttää sitä suorittamalla Dockerin kyseisellä koneella. Asennusprosessi edellyttää Partner Hub -tilin tunnistetietoja, joilla on kumppanin täydet järjestelmänvalvojan oikeudet .

    Jos HDS Setup -työkalu toimii ympäristössäsi välityspalvelimen takana, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien avulla, kun käynnistät Docker-säiliön osoitteessa 1.e. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:

    Kuvaus

    Muuttuja

    HTTP-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTP_PROXY=http://SERVER_IP:PORTTI IP:PORTTI

    HTTPS-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTPS_PROXY=http://SERVER_IP:PORTTI

    HTTP-välityspalvelin todennuksen kanssa

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

    HTTPS-välityspalvelin todennuksella

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

  • Tarvitset kopion nykyisestä kokoonpanon ISO-tiedostosta, jotta voit luoda uuden kokoonpanon. ISO-tietokanta sisältää pääavaimen, jolla PostgreSQL- tai Microsoft SQL Server -tietokanta salataan. Tarvitset ISO-tietoa, kun teet määritysmuutoksia, kuten tietokannan valtuustiedot, varmenteen päivitykset tai valtuutuskäytännön muutokset.

1

Suorita HDS-asennustyökalu Dockerin avulla paikallisella koneella.

  1. Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

    Tavallisissa ympäristöissä:

    docker rmi ciscocitg/hds-setup:stable

    FedRAMP-ympäristöissä:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Tämä vaihe puhdistaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

  2. Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti:

    docker login -u hdscustomersro

  3. Kirjoita salasanakehotteeseen tämä hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Lataa uusin vakaa imago ympäristöllesi:

    Tavallisissa ympäristöissä:

    docker pull ciscocitg/hds-setup:stable

    FedRAMP-ympäristöissä:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Varmista, että otat käyttöön uusimman asennustyökalun tätä toimenpidettä varten. Ennen 22. helmikuuta 2018 luoduissa työkalun versioissa ei ole salasanan palautusnäyttöjä.

  5. Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:

    • Tavallisissa ympäristöissä ilman välityspalvelinta:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • FedRAMP-ympäristöissä ilman välityspalvelinta:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080".

  6. Ota selaimella yhteys osoitteeseen localhost, http://127.0.0.1:8080.

    Setup-työkalu ei tue yhteyden muodostamista localhostiin http://localhost:8080 kautta. Käytä http://127.0.0.1:8080 muodostaaksesi yhteyden localhostiin.

  7. Anna pyydettäessä Partner Hub -asiakkaan kirjautumistiedot ja jatka sitten klikkaamalla Accept .

  8. Tuo nykyinen kokoonpano ISO-tiedosto.

  9. Suorita työkalu loppuun ja lataa päivitetty tiedosto noudattamalla ohjeita.

    Voit sammuttaa Setup-työkalun kirjoittamalla CTRL+C.

  10. Luo varmuuskopio päivitetystä tiedostosta toiseen datakeskukseen.

2

Jos sinulla on vain yksi HDS-solmu, jossa on käytössä, luo uusi Hybrid Data Security -solmun VM ja rekisteröi se käyttämällä uutta konfigurointi-ISO-tiedostoa. Tarkempia ohjeita on osoitteessa Create and register more nodes.

  1. Asenna HDS-isännän OVA.

  2. Määritä HDS VM.

  3. Kiinnitä päivitetty kokoonpanotiedosto.

  4. Rekisteröi uusi solmu Partner Hubissa.

3

Asenna ISO-tiedosto olemassa oleviin HDS-solmuihin, joissa on käytössä vanhempi kokoonpanotiedosto. Suorita seuraavat toimenpiteet jokaiselle solmulle vuorotellen ja päivitä jokainen solmu ennen seuraavan solmun sammuttamista:

  1. Sammuta virtuaalikone.

  2. Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia.

  3. Napsauta CD/DVD-asema 1, valitse vaihtoehto mount from an ISO file (kiinnitä ISO-tiedostosta) ja selaa paikkaan, josta latasit uuden kokoonpanon ISO-tiedoston.

  4. Tarkista Kytke virta päälle.

  5. Tallenna muutokset ja käynnistä virtuaalikone.

4

Toista vaihe 3 korvataksesi kokoonpano jokaisessa jäljellä olevassa solmussa, jossa on käytössä vanha kokoonpano.

Sammuta estetty ulkoinen DNS-resoluutiotila

Kun rekisteröit solmun tai tarkistat solmun välityspalvelinkokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex -pilveen. Jos solmun DNS-palvelin ei pysty ratkaisemaan julkisia DNS-nimiä, solmu siirtyy automaattisesti estetty ulkoinen DNS-resoluutio -tilaan.

Jos solmut pystyvät ratkaisemaan julkiset DNS-nimet sisäisten DNS-palvelimien kautta, voit poistaa tämän tilan käytöstä suorittamalla välityspalvelinyhteystestin uudelleen kussakin solmussa.

Ennen kuin aloitat

Varmista, että sisäiset DNS-palvelimesi pystyvät ratkaisemaan julkisia DNS-nimiä ja että solmusi voivat kommunikoida niiden kanssa.
1

Avaa verkkoselaimessa Hybrid Data Security -solmun käyttöliittymä (esimerkiksi IP-osoite/asetukset, https://192.0.2.0/setup), , syötä solmulle määrittämäsi järjestelmänvalvojan tunnukset ja napsauta sitten Kirjaudu sisään.

2

Siirry osoitteeseen Overview (oletussivu).

Kun se on käytössä, Estetty ulkoinen DNS-resoluutio on asetettu Kyllä.

3

Siirry Trust Store & Proxy -sivulle.

4

Napsauta Tarkista välityspalvelinyhteys.

Jos näet viestin, jonka mukaan ulkoinen DNS-resoluutio ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen, ja se pysyy tässä tilassa. Muussa tapauksessa, kun olet käynnistänyt solmun uudelleen ja palannut sivulle Overview , Blocked External DNS Resolution -asetuksen pitäisi olla ei.

Mitä tehdä seuraavaksi

Toista välityspalvelinyhteyden testaus Hybrid Data Security -klusterin jokaisessa solmussa.

Poista solmu

Tällä menettelyllä voit poistaa Hybrid Data Security -solmun Webex-pilvestä. Kun olet poistanut solmun klusterista, poista virtuaalikone, jotta suojaustietoihin ei pääse enää käsiksi.
1

Kirjaudu tietokoneen VMware vSphere -asiakasohjelmalla ESXi-virtuaali-isäntäkoneeseen ja sammuta virtuaalikone.

2

Poista solmu:

  1. Kirjaudu sisään Partner Hubiin ja valitse sitten Palvelut.

  2. Valitse Hybriditietoturva-kortissa Näytä kaikki , jolloin Hybriditietoturvaresurssit-sivu tulee näkyviin.

  3. Valitse klusteri näyttääksesi sen yleiskatsauspaneelin.

  4. Napsauta solmua, jonka haluat poistaa.

  5. Napsauta oikealle avautuvassa paneelissa Deregister this node .

  6. Voit myös poistaa solmun rekisteröinnin napsauttamalla ... solmun oikealla puolella ja valitsemalla Poista tämä solmu.

3

Poista VM vSphere-asiakasohjelmassa. (Napsauta hiiren kakkospainikkeella VM:ää vasemmassa navigointipaneelissa ja valitse Poista.)

Jos et poista VM:ää, muista poistaa konfigurointi-ISO-tiedosto. Ilman ISO-tiedostoa et voi käyttää VM:ää turvatietojen käyttämiseen.

Katastrofista palautuminen varalla olevan datakeskuksen avulla

Hybriditietoturvaklusterin tarjoama kriittisin palvelu on avainten luominen ja tallentaminen, joita käytetään viestien ja muun Webex-pilveen tallennetun sisällön salaamiseen. Jokaisen organisaatiossa olevan käyttäjän, joka on määritetty Hybrid Data Security -palveluun, uudet avainten luontipyynnöt ohjataan klusteriin. Klusteri on myös vastuussa luomiensa avainten palauttamisesta kaikille käyttäjille, joilla on oikeus hakea niitä, esimerkiksi keskusteluavaruuden jäsenille.

Koska klusterin kriittisenä tehtävänä on tarjota nämä avaimet, on ehdottoman tärkeää, että klusteri pysyy toiminnassa ja että asianmukaisia varmuuskopioita ylläpidetään. Hybriditietoturvatietokannan tai skeemassa käytetyn konfigurointi-ISO-tietokannan menetys johtaa asiakassisällön KORJAAMATTOMAAN HÄVIÖÖN. Seuraavat käytännöt ovat pakollisia tällaisten menetysten estämiseksi:

Jos katastrofi aiheuttaa sen, että ensisijaisen tietokeskuksen HDS-käyttöönotto ei ole käytettävissä, siirry manuaalisesti varakeskukseen vikasietoisesti tämän ohjeen mukaisesti.

Ennen kuin aloitat

Poista kaikkien solmujen rekisteröinti Partner Hubista, kuten kohdassa Remove a Node on mainittu. Käytä uusinta ISO-tiedostoa, joka on määritetty aiemmin aktiivisena olleen klusterin solmuja varten, suorittaaksesi alla mainitun vikasietoisen siirtomenettelyn.
1

Käynnistä HDS Setup -työkalu ja noudata kohdassa Create a Configuration ISO for the HDS Hosts mainittuja ohjeita.

2

Suorita konfigurointiprosessi loppuun ja tallenna ISO-tiedosto paikkaan, josta se on helppo löytää.

3

Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmään. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää tietokannan sisällön pääsalausavaimen. Rajoita käyttöoikeus vain niille Hybrid Data Securityn järjestelmänvalvojille, joiden pitäisi tehdä määritysmuutoksia.

4

Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia.

5

Napsauta Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.

Varmista, että Connected ja Connect at power on on valittuna, jotta päivitetyt konfiguraatiomuutokset tulevat voimaan solmujen käynnistämisen jälkeen.

6

Kytke HDS-solmuun virta ja varmista, ettei hälytyksiä ole kuulunut vähintään 15 minuuttiin.

7

Rekisteröi solmu Partner-keskukseen. Katso Rekisteröi klusterin ensimmäinen solmu.

8

Toista prosessi jokaiselle valmiustietokeskuksen solmulle.

Mitä tehdä seuraavaksi

Jos ensisijainen datakeskus aktivoituu uudelleen vikatilanteen jälkeen, poista varalla olevan datakeskuksen solmujen rekisteröinti ja toista ISO:n määrittäminen ja ensisijaisen datakeskuksen solmujen rekisteröinti edellä mainitulla tavalla.

(Valinnainen) Irrota ISO-levy HDS-konfiguraation jälkeen

HDS:n vakiokokoonpanossa ISO-levy on asennettuna. Jotkut asiakkaat eivät kuitenkaan halua jättää ISO-tiedostoja jatkuvasti asennettuna. Voit poistaa ISO-tiedoston liitännän, kun kaikki HDS-solmut ovat ottaneet uuden kokoonpanon käyttöön.

Voit edelleen käyttää ISO-tiedostoja kokoonpanomuutosten tekemiseen. Kun luot uuden ISO-tietolevyn tai päivität ISO-tietolevyn asetustyökalun avulla, päivitetty ISO-tietolevy on asennettava kaikkiin HDS-solmuihin. Kun kaikki solmusi ovat ottaneet konfiguraatiomuutokset käyttöön, voit poistaa ISO-levyn kiinnityksen uudelleen tällä tavalla.

Ennen kuin aloitat

Päivitä kaikki HDS-solmut versioon 2021.01.22.4720 tai uudempaan.

1

Sammuta yksi HDS-solmuistasi.

2

Valitse vCenter Server Appliance -laitteessa HDS-solmu.

3

Valitse Muokkaa asetuksia > CD/DVD-asema ja poista valinta Datastore ISO File.

4

Kytke HDS-solmuun virta ja varmista, että hälytyksiä ei ole tullut vähintään 20 minuuttiin.

5

Toista tämä vuorotellen jokaiselle HDS-solmulle.

Vianmääritys hybridi tietoturva

Näytä hälytykset ja vianmääritys

Hybriditietoturvakäytön katsotaan olevan käyttökelvoton, jos kaikki klusterin solmut eivät ole tavoitettavissa tai jos klusteri toimii niin hitaasti, että pyynnöt keskeytyvät. Jos käyttäjät eivät pääse Hybrid Data Security -klusteriin, he kokevat seuraavia oireita:

  • Uusia tiloja ei voida luoda (uusia avaimia ei voida luoda).

  • Viestien ja tilojen otsikot eivät onnistu salauksen purkamisessa:

    • Tilaan on lisätty uusia käyttäjiä (ei pysty hakemaan avaimia).

    • Tilan nykyiset käyttäjät, jotka käyttävät uutta asiakasta (eivät pysty hakemaan avaimia).

  • Tilan nykyiset käyttäjät jatkavat menestyksekkäästi toimintaansa niin kauan kuin heidän asiakkaillaan on salausavainten välimuisti.

On tärkeää, että valvot hybriditietoturvaklusteriasi asianmukaisesti ja käsittelet kaikki hälytykset nopeasti, jotta vältät palveluhäiriöt.

Hälytykset

Jos hybriditietoturva-asetuksissa on ongelmia, Partner Hub näyttää hälytyksiä organisaation ylläpitäjälle ja lähettää sähköpostiviestejä määritettyyn sähköpostiosoitteeseen. Hälytykset kattavat monia yleisiä skenaarioita.

Taulukko 1. Yleiset ongelmat ja niiden ratkaisemiseen tarvittavat vaiheet

Hälytys

Toiminta

Paikallisen tietokannan käyttöhäiriö.

Tarkista tietokantavirheet tai lähiverkko-ongelmat.

Paikallisen tietokantayhteyden epäonnistuminen.

Tarkista, että tietokantapalvelin on käytettävissä ja että solmun määrityksessä käytettiin oikeaa palvelutilin tunnistetietoja.

Pilvipalvelun käyttöhäiriö.

Tarkista, että solmut voivat käyttää Webex-palvelimia osoitteessa Ulkoiset yhteysvaatimukset määritellyllä tavalla.

Pilvipalvelun rekisteröinnin uusiminen.

Pilvipalveluihin rekisteröityminen lopetettiin. Rekisteröinnin uusiminen on käynnissä.

Pilvipalvelun rekisteröinti lopetettu.

Rekisteröinti pilvipalveluihin lopetettu. Palvelu suljetaan.

Palvelua ei ole vielä aktivoitu.

Aktivoi HDS Partner Hubissa.

Määritetty verkkotunnus ei vastaa palvelimen varmennetta.

Varmista, että palvelimen varmenne vastaa määritettyä palvelun aktivointialuetta.

Todennäköisin syy on se, että varmenteen CN-nimike on äskettäin vaihdettu ja se on nyt eri kuin alkuperäisen asennuksen aikana käytetty CN-nimike.

Pilvipalveluiden todennus epäonnistui.

Tarkista palvelutilin tunnusten oikeellisuus ja mahdollinen vanhentuminen.

Paikallista avainsäilytystiedostoa ei onnistuttu avaamaan.

Tarkista paikallisen avainsäilytystiedoston eheys ja salasanan oikeellisuus.

Paikallisen palvelimen varmenne on virheellinen.

Tarkista palvelimen varmenteen voimassaoloaika ja varmista, että sen on myöntänyt luotettava varmentaja.

Metriikoita ei voi lähettää.

Tarkista paikallisverkon pääsy ulkoisiin pilvipalveluihin.

/media/configdrive/hds-hakemistoa ei ole olemassa.

Tarkista virtuaalisen isäntäkoneen ISO-kiinnityskonfiguraatio. Tarkista, että ISO-tiedosto on olemassa, että se on määritetty liitettäväksi uudelleenkäynnistyksen yhteydessä ja että se liitetään onnistuneesti.

Vuokralaisen organisaation asetuksia ei ole saatu valmiiksi lisättyjen organisaatioiden osalta.

Viimeistele asennus luomalla CMK:t äskettäin lisätyille vuokralaisorganisaatioille HDS Setup Tool -työkalun avulla.

Vuokralaisen organisaation asetuksia ei ole saatu valmiiksi poistettujen organisaatioiden osalta.

Viimeistele asennus peruuttamalla HDS Setup Tool -työkalulla poistettujen vuokralaisorganisaatioiden CMK-tunnukset.

Vianmääritys hybridi tietoturva

Käytä seuraavia yleisiä ohjeita, kun ratkaiset Hybrid Data Securityn ongelmia.
1

Tarkista Partner Hubista mahdolliset hälytykset ja korjaa kaikki sieltä löytyvät kohteet. Katso viitteeksi alla oleva kuva.

2

Tarkista syslog-palvelimen tulosteet Hybrid Data Security -käyttöönoton toiminnan osalta. Suodata sanoja kuten "Varoitus" ja "Virhe" vianmäärityksen helpottamiseksi.

3

Ota yhteyttä osoitteeseen Ciscon tuki.

Muut huomautukset

Hybriditietoturvan tunnetut ongelmat

  • Jos sammutat Hybrid Data Security -klusterin (poistamalla sen Partner Hubissa tai sammuttamalla kaikki solmut), menetät määritys-ISO-tiedoston tai menetät pääsyn avainsäilytystietokantaan, asiakasorganisaatioiden Webex App -käyttäjät eivät voi enää käyttää henkilöluettelossaan olevia tiloja, jotka on luotu KMS-avaimilla. Meillä ei ole tällä hetkellä ratkaisua tai korjausta tähän ongelmaan, ja kehotamme sinua olemaan sammuttamatta HDS-palveluja, kun ne käsittelevät aktiivisia käyttäjätilejä.

  • Asiakas, jolla on olemassa oleva ECDH-yhteys KMS-järjestelmään, säilyttää yhteyden tietyn ajan (todennäköisesti tunnin).

Käytä OpenSSL:ää PKCS12-tiedoston luomiseen

Ennen kuin aloitat

  • OpenSSL on yksi työkalu, jota voidaan käyttää PKCS12-tiedoston saattamiseen oikeaan muotoon HDS-asennustyökalun lataamista varten. On muitakin tapoja tehdä tämä, emmekä me tue tai suosittele yhtä tapaa toisen sijaan.

  • Jos päätät käyttää OpenSSL:ää, annamme tämän ohjeen, jonka avulla voit luoda tiedoston, joka täyttää X.509-varmenteen vaatimukset osoitteessa X.509 Certificate Requirements. Ymmärrä nämä vaatimukset ennen kuin jatkat.

  • Asenna OpenSSL tuettuun ympäristöön. Katso ohjelmisto ja dokumentaatio osoitteesta https://www.openssl.org .

  • Luo yksityinen avain.

  • Aloita tämä toimenpide, kun saat palvelinvarmenteen varmentajalta.

1

Kun saat palvelinvarmenteen varmentajalta, tallenna se osoitteeseen hdsnode.pem.

2

Näytä varmenne tekstinä ja tarkista tiedot.

openssl x509 -text -noout -in hdsnode.pem

3

Luo tekstieditorilla varmennepakettitiedosto nimeltä hdsnode-bundle.pem. Pakettitiedoston on sisällettävä palvelinvarmenne, mahdolliset välivarmentajan varmenteet ja päävarmentajan varmenteet alla olevassa muodossa:

-----BEGIN CERTIFICATE----- ### Palvelinsertifikaatti. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----

4

Luo .p12-tiedosto, jonka nimi on kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Tarkista palvelimen varmenteen tiedot.

  1. openssl pkcs12 -in hdsnode.p12

  2. Kirjoita kehotteeseen salasana salataksesi yksityisen avaimen niin, että se näkyy tulosteessa. Tarkista sitten, että yksityinen avain ja ensimmäinen varmenne sisältävät rivit friendlyName: kms-private-key.

    Esimerkki:

    bash$ openssl pkcs12 -in hdsnode.p12 Anna tuontisalasana: MAC tarkistettu OK Laukun attribuutit friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Keskeiset ominaisuudet:  Syötä PEM-salasana: Verifying - Syötä PEM-salasana: -----BEGIN ENCRYPTED PRIVATE KEY-----  -----END ENCRYPTED PRIVATE KEY----- Laukun ominaisuudet friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE----- Laukku Attribuutit friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE-----

Mitä tehdä seuraavaksi

Palaa osoitteeseen Suorita Hybriditietoturvan edellytykset. Käytät hdsnode.p12 -tiedostoa ja sille asettamaasi salasanaa kohdassa Luo konfigurointi-ISO HDS-isäntäasemille.

Voit käyttää näitä tiedostoja uudelleen uuden varmenteen pyytämiseen, kun alkuperäinen varmenne vanhenee.

HDS-solmujen ja pilvipalvelun välinen liikenne

Lähtevien mittareiden keräysliikenne

Hybriditietoturvasolmut lähettävät tiettyjä mittareita Webex-pilveen. Näihin kuuluvat järjestelmän metriikat, jotka koskevat kasan enimmäismäärää, käytettyä kasaa, suorittimen kuormitusta ja säikeiden lukumäärää, synkronisten ja asynkronisten säikeiden metriikat, salausyhteyksien kynnysarvoa, viiveaikaa tai pyyntöjonon pituutta koskevien hälytysten metriikat, tietovaraston metriikat ja salausyhteyksien metriikat. Solmut lähettävät salatun avainmateriaalin kaistan ulkopuolisen (pyynnöstä erillisen) kanavan kautta.

Saapuva liikenne

Hybriditietoturvasolmut vastaanottavat Webex-pilvestä seuraavanlaista saapuvaa liikennettä:

  • Asiakkaiden salauspyynnöt, jotka salauspalvelu ohjaa eteenpäin.

  • Solmuohjelmiston päivitykset

Määritä Squid-välityspalvelimet hybridi-dataturvallisuutta varten

Websocket ei voi muodostaa yhteyttä Squid-proxyn kautta

HTTPS-liikennettä tarkastavat Squid-välityspalvelimet voivat häiritä Hybrid Data Securityn edellyttämien websocket-yhteyksien (wss:) muodostamista. Näissä osioissa annetaan ohjeita siitä, miten Squidin eri versiot voidaan konfiguroida sivuuttamaan wss: liikenne palvelujen moitteettoman toiminnan varmistamiseksi.

Kalmarit 4 ja 5

Lisää on_unsupported_protocol -direktiivi osoitteeseen squid.conf:

on_unsupported_protocol tunneli kaikki

Squid 3.5.27

Testasimme onnistuneesti Hybrid Data Securitya seuraavien sääntöjen avulla, jotka lisättiin osoitteeseen squid.conf. Nämä säännöt voivat muuttua, kun kehitämme ominaisuuksia ja päivitämme Webex-pilveä.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Uudet ja muuttuneet tiedot

Uudet ja muuttuneet tiedot

Tämä taulukko kattaa uudet ominaisuudet tai toiminnot, muutokset olemassa olevaan sisältöön ja kaikki merkittävät virheet, jotka on korjattu osoitteessa Deployment Guide for Multi-Tenant Hybrid Data Security.

Päiväys

Tehdyt muutokset

tammikuu 08, 2025

Lisätty huomautus kohtaan Suorita alkuasetukset ja lataa asennustiedostot , jossa todetaan, että asennusprosessin tärkeä vaihe on napsauttamalla Partner Hubin HDS-kortin Set up .

tammikuu 07, 2025

Päivitetty Virtual Host -vaatimukset, Hybrid Data Security Deployment Task Flow ja Install the HDS Host OVA osoittamaan ESXi 7.0:n uudet vaatimukset.

13. joulukuuta 2024

Julkaistu ensimmäisen kerran.

Multi-Tenant Hybrid Data Security -tietoturvan poistaminen käytöstä

Multi-Tenant HDS:n deaktivointitehtävän kulku

Voit poistaa Multi-Tenant HDS:n käytöstä kokonaan noudattamalla seuraavia ohjeita.

Ennen kuin aloitat

Tämän tehtävän saa suorittaa vain kumppanin täysivaltainen järjestelmänvalvoja.
1

Poista kaikki asiakkaat kaikista klustereistasi, kuten kohdassa Remove tenant organizations on mainittu.

2

Peruuta kaikkien asiakkaiden CMK:t, kuten mainitaan osoitteessa Peruuta HDS:stä poistettujen vuokralaisten CMK:t..

3

Poista kaikki solmut kaikista klustereistasi, kuten kohdassa Remove a Node on mainittu.

4

Poista kaikki klusterit Partner Hubista jommallakummalla seuraavista kahdesta menetelmästä.

  • Napsauta poistettavaa klusteria ja valitse yleiskatsaussivun oikeassa yläkulmassa Delete this Cluster .
  • Napsauta Resurssit-sivulla ... klusterin oikealla puolella ja valitse Poista klusteri.
5

Napsauta Asetukset -välilehteä Hybriditietojen suojauksen yleiskatsaussivulla ja napsauta Deactivate HDS HDS Status -kortissa.

Aloita Multi-Tenant Hybrid Data Security -palvelun käyttäminen

Multi-Tenant Hybrid Data Security - yleiskatsaus

Webex Appin suunnittelussa on alusta alkaen keskitytty ensisijaisesti tietoturvaan. Tämän turvallisuuden kulmakivi on päästä päähän -sisällön salaus, jonka Webex App -asiakkaat mahdollistavat avaintenhallintapalvelun (Key Management Service, KMS) kanssa. KMS vastaa niiden salausavainten luomisesta ja hallinnasta, joita asiakkaat käyttävät viestien ja tiedostojen dynaamiseen salaamiseen ja salauksen purkamiseen.

Oletusarvoisesti kaikki Webex App -asiakkaat saavat päästä päähän -salauksen, jonka dynaamiset avaimet on tallennettu pilven KMS-järjestelmään, Ciscon tietoturva-alueelle. Hybrid Data Security siirtää KMS:n ja muut tietoturvaan liittyvät toiminnot yrityksen datakeskukseen, joten salatun sisällön avaimet eivät ole kenelläkään muulla kuin sinulla.

Multi-Tenant Hybrid Data Security antaa organisaatioille mahdollisuuden hyödyntää HDS:ää luotettavan paikallisen kumppanin kautta, joka voi toimia palveluntarjoajana ja hallita tiloissa tapahtuvaa salausta ja muita tietoturvapalveluja. Tämä asetus antaa kumppaniorganisaatiolle täydellisen hallinnan salausavainten käyttöönotosta ja hallinnasta ja varmistaa, että asiakasorganisaatioiden käyttäjätiedot ovat turvassa ulkopuoliselta käytöltä. Kumppaniorganisaatiot asentavat HDS-instansseja ja luovat HDS-klustereita tarpeen mukaan. Kukin instanssi voi tukea useita asiakasorganisaatioita toisin kuin tavallinen HDS-käyttöönotto, joka on rajoitettu yhteen organisaatioon.

Vaikka kumppaniorganisaatiot hallitsevat käyttöönottoa ja hallintaa, niillä ei ole pääsyä asiakkaiden tuottamiin tietoihin ja sisältöön. Tämä käyttöoikeus on rajoitettu asiakasorganisaatioihin ja niiden käyttäjiin.

Näin myös pienemmät organisaatiot voivat hyödyntää HDS:ää, koska luotettava paikallinen kumppani omistaa avaintenhallintapalvelun ja tietoturvainfrastruktuurin, kuten datakeskukset.

Miten Multi-Tenant Hybrid Data Security tarjoaa tietojen suvereenisuutta ja tiedonhallintaa

  • Käyttäjän luoma sisältö on suojattu ulkopuoliselta käytöltä, kuten pilvipalvelujen tarjoajilta.
  • Paikalliset luotetut kumppanit hallinnoivat niiden asiakkaiden salausavaimia, joihin niillä on jo vakiintunut suhde.
  • Mahdollisuus paikalliseen tekniseen tukeen, jos kumppani tarjoaa sitä.
  • Tukee kokousten, viestien ja puhelujen sisältöä.

Tämän asiakirjan tarkoituksena on auttaa kumppaniorganisaatioita perustamaan ja hallitsemaan asiakkaita Multi-Tenant Hybrid Data Security -järjestelmässä.

Roolit monitilaaja-hybriditietoturvassa

  • Kumppanin täysi järjestelmänvalvoja - Voi hallita kaikkien kumppanin hallinnoimien asiakkaiden asetuksia. Voit myös määrittää ylläpitäjärooleja organisaation nykyisille käyttäjille ja määrittää tietyt asiakkaat kumppanien ylläpitäjien hallinnoitaviksi.
  • Kumppanin järjestelmänvalvoja - Voi hallita niiden asiakkaiden asetuksia, jotka järjestelmänvalvoja on määrittänyt tai jotka on osoitettu käyttäjälle.
  • Täysi järjestelmänvalvoja - Kumppaniorganisaation järjestelmänvalvoja, jolla on valtuudet suorittaa tehtäviä, kuten organisaation asetusten muuttaminen, lisenssien hallinta ja roolien jakaminen.
  • Kaikkien asiakasorganisaatioiden kokonaisvaltainen Multi-Tenant HDS -asennus ja -hallinta - Kumppanilta vaaditaan täydet järjestelmänvalvojan ja täyden järjestelmänvalvojan oikeudet.
  • Määritettyjen vuokralaisorganisaatioiden hallinta - Kumppanin järjestelmänvalvojan ja täyden järjestelmänvalvojan oikeudet vaaditaan.

Turvallisuusalueen arkkitehtuuri

Webexin pilviarkkitehtuurissa erityyppiset palvelut on jaettu erillisiin alueisiin eli luottamusalueisiin, kuten alla on kuvattu.

Erillisalueet (ilman hybriditietoturvaa)

Jotta hybriditietoturvaa voidaan ymmärtää paremmin, tarkastellaan ensin tätä puhdasta pilvitapausta, jossa Cisco tarjoaa kaikki toiminnot pilvialueillaan. Identiteettipalvelu, joka on ainoa paikka, jossa käyttäjät voidaan suoraan yhdistää henkilökohtaisiin tietoihinsa, kuten sähköpostiosoitteeseen, on loogisesti ja fyysisesti erillään tietoturva-alueesta datakeskuksessa B. Molemmat ovat puolestaan erillään alueesta, johon salattu sisältö lopulta tallennetaan, datakeskuksessa C.

Tässä kaaviossa asiakas on käyttäjän kannettavassa tietokoneessa oleva Webex-sovellus, joka on todennettu tunnistuspalvelun avulla. Kun käyttäjä laatii viestin lähetettäväksi tilaan, seuraavat vaiheet tapahtuvat:

  1. Asiakas luo suojatun yhteyden avaintenhallintapalveluun (KMS) ja pyytää sitten avainta viestin salaamista varten. Suojattu yhteys käyttää ECDH:ta, ja KMS salaa avaimen AES-256-pääavaimella.

  2. Viesti salataan ennen kuin se lähtee asiakkaalta. Asiakas lähettää sen indeksointipalveluun, joka luo salattuja hakuindeksejä sisällön myöhempien hakujen helpottamiseksi.

  3. Salattu viesti lähetetään vaatimustenmukaisuuden tarkistamista varten vaatimustenmukaisuuspalveluun.

  4. Salattu viesti tallennetaan tallennuskenttään.

Kun otat käyttöön hybriditietoturvan, siirrät tietoturvatoiminnot (KMS, indeksointi ja vaatimustenmukaisuus) toimitilakeskukseen. Muut Webexin muodostavat pilvipalvelut (kuten identiteetti ja sisällön tallennus) pysyvät Ciscon vastuulla.

Yhteistyö muiden organisaatioiden kanssa

Organisaatiosi käyttäjät saattavat käyttää Webex App -sovellusta säännöllisesti yhteistyöhön muiden organisaatioiden ulkopuolisten osallistujien kanssa. Kun joku käyttäjistäsi pyytää avainta tilaan, joka on organisaatiosi omistuksessa (koska sen on luonut joku käyttäjistäsi), KMS lähettää avaimen asiakkaalle ECDH-suojatun kanavan kautta. Kun tilan avain on kuitenkin toisen organisaation hallussa, KMS-järjestelmäsi reitittää pyynnön Webex-pilveen erillisen ECDH-kanavan kautta saadakseen avaimen asianmukaiselta KMS-järjestelmältä ja palauttaa avaimen sitten käyttäjälle alkuperäisen kanavan kautta.

Organisaatiossa A toimiva KMS-palvelu validoi yhteydet muiden organisaatioiden KMS-palveluihin x.509 PKI -varmenteiden avulla. Lisätietoja x.509-varmenteen luomisesta Multi-Tenant Hybrid Data Security -käyttöönoton yhteydessä on osoitteessa Prepare your Environment .

Hybriditietoturvan käyttöönottoa koskevat odotukset

Hybriditietoturvan käyttöönotto edellyttää merkittävää sitoutumista ja tietoisuutta riskeistä, joita salausavaimien omistamiseen liittyy.

Hybriditietoturvan käyttöönottamiseksi sinun on annettava seuraavat tiedot:

Jos Hybrid Data Securityn luomasi konfigurointi-ISO tai toimittamasi tietokanta katoaa kokonaan, avaimet menetetään. Avaimen menetys estää käyttäjiä purkamasta tilasisältöä ja muita Webex App -sovelluksen salattuja tietoja. Jos näin käy, voit rakentaa uuden käyttöönoton, mutta vain uusi sisältö on näkyvissä. Jotta vältät pääsyn menetyksen tietoihin, sinun on:

  • Hallitse tietokannan ja konfigurointi-ISO:n varmuuskopiointia ja palautusta.

  • Valmistaudu nopeaan palautukseen, jos tapahtuu katastrofi, kuten tietokannan levyn vikaantuminen tai tietokeskuksen katastrofi.

Avaimia ei voi siirtää takaisin pilvipalveluun HDS:n käyttöönoton jälkeen.

Korkean tason asennusprosessi

Tässä asiakirjassa käsitellään Multi-Tenant Hybrid Data Security -käyttöönoton asennusta ja hallintaa:

  • Hybrid Data Securityn perustaminen- Tähän sisältyy tarvittavan infrastruktuurin valmistelu ja Hybrid Data Security -ohjelmiston asentaminen, HDS-klusterin rakentaminen, vuokralaisorganisaatioiden lisääminen klusteriin ja niiden Customer Main Keys (CMK) -avaimien hallinta. Näin asiakasorganisaatioiden kaikki käyttäjät voivat käyttää Hybrid Data Security -klusteriasi tietoturvatoimintoihin.

    Asetus-, aktivointi- ja hallintavaiheita käsitellään yksityiskohtaisesti kolmessa seuraavassa luvussa.

  • Ylläpidä hybriditietoturvan käyttöönottoa- Webex-pilvi tarjoaa automaattisesti jatkuvia päivityksiä. Tietotekniikkaosastosi voi tarjota tason yksi tukea tälle käyttöönotolle ja ottaa tarvittaessa käyttöön Ciscon tuen. Voit käyttää näytön ilmoituksia ja määrittää sähköpostipohjaisia hälytyksiä Partner Hubissa.

  • Ymmärrä yleisiä hälytyksiä, vianmääritysvaiheita ja tunnettuja ongelmia-Jos Hybrid Data Securityn käyttöönotossa tai käytössä ilmenee ongelmia, tämän oppaan viimeinen luku ja Tunnetut ongelmat -liite voivat auttaa sinua ongelman määrittämisessä ja korjaamisessa.

Hybriditietoturvan käyttöönottomalli

Hybrid Data Security otetaan käyttöön yrityksen datakeskuksessa erillisissä virtuaalisissa isännöintiasemissa sijaitsevien solmujen klusterina. Solmut kommunikoivat Webex-pilven kanssa suojattujen websockettien ja suojatun HTTP:n kautta.

Asennusprosessin aikana annamme sinulle OVA-tiedoston, jonka avulla voit asentaa virtuaalilaitteen toimittamillesi VM-tietokoneille. HDS Setup Tool -työkalun avulla luot mukautetun klusterin kokoonpanon ISO-tiedoston, jonka asennat kuhunkin solmuun. Hybrid Data Security -klusteri käyttää toimittamaasi Syslogd-palvelinta ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. (Syslogd- ja tietokantayhteyden tiedot määritetään HDS Setup Tool -työkalussa.)

Hybriditietoturvan käyttöönottomalli

Klusterissa voi olla vähintään kaksi solmua. Suosittelemme vähintään kolmea klusteria kohti. Useiden solmujen käyttö varmistaa, että palvelu ei keskeydy ohjelmistopäivityksen tai muun huoltotoimen aikana. (Webex-pilvi päivittää vain yhden solmun kerrallaan.)

Kaikki klusterin solmut käyttävät samaa avaintietovarastoa ja kirjaavat toiminnan samaan syslog-palvelimeen. Itse solmut ovat tilattomia, ja ne käsittelevät avainpyyntöjä round-robin -periaatteella pilven ohjeiden mukaisesti.

Solmuista tulee aktiivisia, kun rekisteröit ne Partner Hubissa. Voit poistaa yksittäisen solmun käytöstä poistamalla sen rekisteristä ja rekisteröimällä sen myöhemmin uudelleen, jos se on tarpeen.

Valmiustietokeskus katastrofista toipumista varten

Käyttöönoton aikana perustat suojatun varakeskuspalvelinkeskuksen. Tietokeskuksen katastrofin sattuessa voit siirtää käyttöönoton manuaalisesti varakeskukseen.

Ennen viansiirtoa datakeskuksessa A on aktiivisia HDS-solmuja ja ensisijainen PostgreSQL- tai Microsoft SQL Server -tietokanta, kun taas datakeskuksessa B on kopio ISO-tiedostosta, jossa on lisäkonfiguraatioita, organisaatioon rekisteröityjä VM:iä ja vara-tietokanta. Viansiirron jälkeen datakeskuksessa B on aktiivisia HDS-solmuja ja ensisijainen tietokanta, kun taas datakeskuksessa A on rekisteröimättömiä VM:iä ja kopio ISO-tiedostosta, ja tietokanta on valmiustilassa.
Manuaalinen viansiirto valmiustietokeskukseen

Aktiivisen ja varalla olevan tietokeskuksen tietokannat ovat synkronoituina keskenään, mikä minimoi viansiirtoon kuluvan ajan.

Aktiivisten hybriditietoturvasolmujen on aina oltava samassa tietokeskuksessa kuin aktiivinen tietokantapalvelin.

Proxy-tuki

Hybrid Data Security tukee nimenomaisia, läpinäkyviä tarkastuksia ja tarkastamattomia välityspalvelimia. Voit liittää nämä välityspalvelimet käyttöönottoasi, jotta voit suojata ja valvoa liikennettä yrityksestä pilvipalveluun. Voit käyttää solmujen alustan hallintakäyttöliittymää varmenteiden hallintaan ja yhteyden yleisen tilan tarkistamiseen sen jälkeen, kun olet määrittänyt välityspalvelimen solmuihin.

Hybriditietoturvasolmut tukevat seuraavia välityspalvelinvaihtoehtoja:

  • Ei välityspalvelinta- Oletusarvo, jos et käytä HDS-solmun Trust Store & Proxy -määritystä välityspalvelimen integroimiseksi. Varmenteen päivitystä ei tarvita.

  • Läpinäkyvä ei-tarkastava välityspalvelin-solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen ei-tarkastavan välityspalvelimen kanssa. Varmenteen päivitystä ei tarvita.

  • Läpinäkyvä tunnelointi tai välityspalvelimen tarkastaminen-solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. Solmujen HTTP- tai HTTPS-konfiguraatioita ei tarvitse muuttaa. Solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne voivat luottaa välittäjään. Tietotekniikka käyttää tyypillisesti tarkastavia välityspalvelimia valvomaan käytäntöjä, jotka koskevat sitä, millä verkkosivustoilla voi vierailla ja minkä tyyppistä sisältöä ei saa käyttää. Tämäntyyppinen välityspalvelin purkaa kaiken liikennöintisi (jopa HTTPS).

  • Eksplisiittinen välityspalvelin- Eksplisiittisellä välityspalvelimella kerrot HDS-solmuille, mitä välityspalvelinta ja todennusjärjestelmää käytetään. Jos haluat määrittää nimenomaisen välityspalvelimen, sinun on annettava seuraavat tiedot kussakin solmussa:

    1. Proxy IP/FQDN-osoite, jolla välityskone voidaan tavoittaa.

    2. Välitysportti- Portin numero, jota välityspalvelin käyttää kuunnellakseen välitettyä liikennettä.

    3. Välityspalvelinprotokolla-Valikoima seuraavista protokollista riippuu siitä, mitä välityspalvelimesi tukee:

      • HTTP-näkökulma: Näkee ja valvoo kaikkia asiakkaan lähettämiä pyyntöjä.

      • HTTPS-Varaa kanavan palvelimelle. Asiakas vastaanottaa palvelimen varmenteen ja vahvistaa sen.

    4. Todennustyyppi-Valitse yksi seuraavista todennustyypeistä:

      • Ei ole- Muita todennuksia ei tarvita.

        Käytettävissä, jos valitset välityspalvelinprotokollaksi joko HTTP:n tai HTTPS:n.

      • Basic-Käytetään HTTP-käyttäjäagenttia antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.

        Käytettävissä, jos valitset välityspalvelinprotokollaksi joko HTTP:n tai HTTPS:n.

        Vaatii käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.

      • Digest-Käytetään tilin vahvistamiseen ennen arkaluontoisten tietojen lähettämistä. Soveltaa hash-funktiota käyttäjänimeen ja salasanaan ennen lähettämistä verkon yli.

        Käytettävissä vain, jos valitset välityspalvelinprotokollaksi HTTPS.

        Vaatii käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.

Esimerkki hybridi-tietoturvasolmuista ja välityspalvelimesta

Tässä kaaviossa on esimerkki Hybrid Data Securityn, verkon ja välityspalvelimen välisestä yhteydestä. Läpinäkyvä tarkastus ja HTTPS:n nimenomainen tarkastus -välityspalvelinvaihtoehdoissa sama juurivarmenne on asennettava välityspalvelimeen ja Hybrid Data Security -solmuun.

Estetty ulkoinen DNS-resoluutiotila (eksplisiittiset välityspalvelinkonfiguraatiot)

Kun rekisteröit solmun tai tarkistat solmun välityspalvelinkokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex -pilveen. Käyttöönotoissa, joissa on nimenomaiset välityspalvelinmääritykset, jotka eivät salli ulkoista DNS-resoluutiota sisäisille asiakkaille, jos solmu ei voi kysyä DNS-palvelimilta, se siirtyy automaattisesti estetty ulkoinen DNS-resoluutio -tilaan. Tässä tilassa solmun rekisteröinti ja muut välityspalvelimen yhteystestit voivat jatkua.

Ympäristön valmistelu

Monen käyttäjän hybriditietoturvaa koskevat vaatimukset

Cisco Webexin lisenssivaatimukset

Multi-Tenant Hybrid Data Securityn käyttöönotto:

  • Kumppanijärjestöt: Ota yhteyttä Cisco-kumppaniin tai tilipalvelun johtajaan ja varmista, että Multi-Tenant-ominaisuus on käytössä.

  • Vuokralaisjärjestöt: Sinulla on oltava Pro Pack for Cisco Webex Control Hub. (Katso https://www.cisco.com/go/pro-pack.)

Docker Desktop -vaatimukset

Ennen kuin asennat HDS-solmut, tarvitset Docker Desktopin asennusohjelman suorittamista varten. Docker päivitti hiljattain lisensointimalliaan. Organisaatiosi saattaa vaatia maksullisen Docker Desktop -tilauksen. Lisätietoja on Dockerin blogikirjoituksessa " Docker päivittää ja laajentaa tuotetilauksia".

X.509-varmenteen vaatimukset

Varmenteketjun on täytettävä seuraavat vaatimukset:

Taulukko 1. X.509-varmenteen vaatimukset hybriditietoturvan käyttöönottoa varten

Vaatimus

Tiedot

  • Luotettavan varmentajan (CA) allekirjoittama.

Oletusarvoisesti luotamme Mozillan luettelossa oleviin varmentajiin (lukuun ottamatta WoSignia ja StartComia) osoitteessa https://wiki.mozilla.org/CA:IncludedCAs.

  • Karhut Common Name (CN) -verkkotunnus, joka yksilöi hybriditietoturvan käyttöönoton

  • Ei ole jokerimerkkivarmenne

CN:n ei tarvitse olla tavoitettavissa eikä sen tarvitse olla elävä isäntä. Suosittelemme, että käytät organisaatiotasi kuvaavaa nimeä, esimerkiksi hds.company.com.

CN ei saa sisältää *-merkkiä (jokerimerkki).

CN:ää käytetään Hybrid Data Security -solmujen varmentamiseen Webex App -asiakkaille. Kaikki klusterin Hybrid Data Security -solmut käyttävät samaa varmentetta. KMS tunnistaa itsensä CN-toimialueen avulla, ei minkään x.509v3 SAN-kenttiin määritellyn toimialueen avulla.

Kun olet rekisteröinyt solmun tällä varmenteella, emme tue CN-verkkotunnuksen nimen muuttamista.

  • Muu kuin SHA1-allekirjoitus

KMS-ohjelmisto ei tue SHA1-allekirjoituksia yhteyksien vahvistamiseksi muiden organisaatioiden KMS-järjestelmiin.

  • Muotoiltu salasanalla suojatuksi PKCS #12-tiedostoksi.

  • Käytä ystävällistä nimeä kms-private-key merkitäksesi ladattavan varmenteen, yksityisen avaimen ja mahdolliset välivarmenteet.

Voit käyttää OpenSSL:n kaltaista muunninta varmenteen muodon muuttamiseen.

Sinun on annettava salasana, kun käynnistät HDS-asennustyökalun.

KMS-ohjelmisto ei noudata avaimen käyttöä tai laajennettua avaimen käyttöä koskevia rajoituksia. Jotkin varmentajat vaativat, että kuhunkin varmenteeseen sovelletaan laajennettuja avainkäyttörajoituksia, kuten palvelimen todennusta. Voit käyttää palvelimen todennusta tai muita asetuksia.

Virtuaalisen isännän vaatimukset

Virtuaalisilla isännöintiasemilla, jotka perustat hybridi-tietoturvasolmuiksi klusteriin, on seuraavat vaatimukset:

  • Vähintään kaksi erillistä isäntäkonetta (suositellaan kolmea), jotka sijaitsevat samassa suojatussa tietokeskuksessa.

  • VMware ESXi 7.0 (tai uudempi) asennettuna ja käynnissä.

    Sinun on päivitettävä, jos käytössäsi on aikaisempi ESXi-versio.

  • Vähintään 4 vCPU:ta, 8 Gt keskusmuistia, 30 Gt paikallista kiintolevytilaa palvelinta kohden.

Tietokantapalvelimen vaatimukset

Luo uusi tietokanta avainten tallennusta varten. Älä käytä oletustietokantaa. Kun HDS-sovellukset asennetaan, ne luovat tietokantakaavion.

Tietokantapalvelimessa on kaksi vaihtoehtoa. Vaatimukset ovat seuraavat:

Taulukko 2. Tietokantapalvelimen vaatimukset tietokantatyypeittäin

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14, 15 tai 16 asennettuna ja käynnissä.

  • SQL Server 2016, 2017 tai 2019 (Enterprise tai Standard) asennettuna.

    SQL Server 2016 vaatii Service Pack 2:n ja kumulatiivisen päivityksen 2 tai uudemman.

Vähintään 8 vCPU:ta, 16 Gt keskusmuistia, riittävästi kiintolevytilaa ja valvonta sen varmistamiseksi, että sitä ei ylitetä (suositellaan 2 TB, jos haluat käyttää tietokantaa pitkään ilman, että tallennustilaa tarvitsee lisätä).

Vähintään 8 vCPU:ta, 16 Gt keskusmuistia, riittävästi kiintolevytilaa ja valvonta sen varmistamiseksi, että sitä ei ylitetä (suositellaan 2 TB, jos haluat käyttää tietokantaa pitkään ilman, että tallennustilaa tarvitsee lisätä).

HDS-ohjelmisto asentaa tällä hetkellä seuraavat ajuriversiot yhteydenpitoa varten tietokantapalvelimen kanssa:

PostgreSQL

Microsoft SQL Server

Postgres JDBC -ajuri 42.2.5

SQL Server JDBC -ajuri 4.6

Tämä ajuriversio tukee SQL Server Always On -palvelinta ( Always On Failover Cluster Instances ja Always On -saatavuusryhmät).

Lisävaatimukset Windows-todennusta varten Microsoft SQL Serveriä vastaan

Jos haluat, että HDS-solmut käyttävät Windows-todennusta Microsoft SQL Serverin avainsäilytystietokantaan pääsemiseksi, tarvitset ympäristössäsi seuraavat asetukset:

  • HDS-solmut, Active Directory -infrastruktuuri ja MS SQL Server on synkronoitava NTP:n avulla.

  • HDS-solmujen käyttöön annetulla Windows-tilillä on oltava tietokannan luku/kirjoitusoikeus.

  • HDS-solmujen käyttöön antamiesi DNS-palvelimien on kyettävä ratkaisemaan KDC-keskuksesi (Key Distribution Center).

  • Voit rekisteröidä Microsoft SQL Serverin HDS-tietokantainstanssin palvelupääkäyttäjänimeksi (Service Principal Name, SPN) Active Directoryyn. Katso Rekisteröi palvelupääkäyttäjän nimi Kerberos-yhteyksiä varten.

    HDS-asennustyökalun, HDS-launcherin ja paikallisen KMS:n on käytettävä Windows-todennusta avainsäilytystietokannan käyttämiseen. Ne käyttävät ISO-konfiguraation tietoja SPN:n muodostamiseen, kun ne pyytävät pääsyä Kerberos-todennuksen avulla.

Ulkoiset liitäntävaatimukset

Määritä palomuuri sallimaan seuraavat HDS-sovellusten yhteydet:

Sovellus

Protokolla

Portti

Suunta sovelluksesta

Kohde

Hybriditietoturvasolmut

TCP

443

Lähtevä HTTPS ja WSS

  • Webex-palvelimet:

    • *.wbx2.com

    • *.ciscospark.com

  • Kaikki Common Identity -isännät

  • Muut URL-osoitteet, jotka on lueteltu hybriditietoturvan osalta osoitteessa Additional URLs for Webex Hybrid Services -taulukossa Webex-palvelujen verkkovaatimukset

HDS-asennustyökalu

TCP

443

Lähtevä HTTPS

  • *.wbx2.com

  • Kaikki Common Identity -isännät

  • hub.docker.com

Hybriditietoturvasolmut toimivat NAT:n (Network Access Translation) kanssa tai palomuurin takana, kunhan NAT tai palomuuri sallii vaaditut lähtevät yhteydet edellisessä taulukossa esitettyihin toimialueen kohteisiin. Hybriditietoturvasolmuihin saapuvien yhteyksien porttien ei pitäisi näkyä internetistä. Tietokeskuksessasi asiakkaat tarvitsevat hallinnollisia tarkoituksia varten pääsyn hybriditietoturvasolmujen TCP-portteihin 443 ja 22.

Yhteisen identiteetin (CI) isäntien URL-osoitteet ovat aluekohtaisia. Nämä ovat nykyiset CI-isännät:

Alue

Yleiset identiteetin isäntä-URL-osoitteet

Americas

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Euroopan unioni

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Arabiemiirikunnat

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Välityspalvelimen vaatimukset

  • Tuemme virallisesti seuraavia välityspalvelinratkaisuja, jotka voidaan integroida hybriditietoturvasolmujen kanssa.

    • Läpinäkyvä välityspalvelin-Cisco Web Security Appliance (WSA).

    • Eksplisiittinen proxy-Squid.

      HTTPS-liikennettä tarkastavat Squid-välityspalvelimet voivat häiritä websocket (wss:) -yhteyksien muodostamista. Voit kiertää tämän ongelman osoitteessa Configure Squid Proxies for Hybrid Data Security.

  • Tuemme seuraavia todennustyyppiyhdistelmiä nimenomaisille välityspalvelimille:

    • Ei todennusta HTTP:llä tai HTTPS:llä

    • Perustodennus HTTP:llä tai HTTPS:llä

    • Digest-todennus vain HTTPS:n kanssa

  • Läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-selkeän välityspalvelimen osalta sinulla on oltava kopio välityspalvelimen juurivarmenteesta. Tämän oppaan käyttöönotto-ohjeissa kerrotaan, miten kopio ladataan hybriditietoturvasolmujen luotettavuusvarastoihin.

  • HDS-solmuja isännöivä verkko on määritettävä siten, että portista 443 lähtevä TCP-liikenne reititetään välityspalvelimen kautta.

  • Verkkoliikennettä tarkastavat välityspalvelimet voivat häiritä verkkoliikenneyhteyksiä. Jos tämä ongelma ilmenee, ongelman voi ratkaista ohittamalla (tarkastamatta) liikenteen osoitteisiin wbx2.com ja ciscospark.com .

Täytä hybridi-tietoturvan edellytykset.

Varmista tämän tarkistuslistan avulla, että olet valmis asentamaan ja määrittämään Hybrid Data Security -klusterin.
1

Varmista, että kumppaniorganisaatiossasi on Multi-Tenant HDS -ominaisuus käytössä, ja hanki tilitiedot tilille, jolla on kumppanin täysi järjestelmänvalvojan ja järjestelmänvalvojan oikeudet. Varmista, että Webex-asiakasorganisaatiossasi on käytössä Pro Pack for Cisco Webex Control Hub. Ota yhteyttä Cisco-kumppaniin tai asiakaspäällikköön saadaksesi apua tässä prosessissa.

Asiakasorganisaatioilla ei saa olla olemassa olevaa HDS-käyttöönottoa.

2

Valitse toimialueen nimi HDS-käyttöönotollesi (esimerkiksi hds.company.com) ja hanki varmenne-ketju, joka sisältää X.509-varmenteen, yksityisen avaimen ja mahdolliset välivarmenteet. Varmenteiden ketjun on täytettävä vaatimukset, jotka on esitetty osoitteessa X.509 Certificate Requirements.

3

Valmistele identtiset virtuaaliset isännät, jotka perustat hybridi-tietoturvasolmuiksi klusteriin. Tarvitset vähintään kaksi erillistä isäntäkonetta (suositellaan kolmea), jotka sijaitsevat samassa suojatussa datakeskuksessa ja jotka täyttävät vaatimukset, jotka on esitetty osoitteessa Virtual Host Requirements.

4

Valmistele tietokantapalvelin, joka toimii klusterin keskeisenä tietovarastona, Tietokantapalvelimen vaatimukset mukaisesti. Tietokantapalvelin on sijoitettava samaan turvalliseen datakeskukseen virtuaalisten isäntien kanssa.

  1. Luo tietokanta avainten tallentamista varten. (Sinun on luotava tämä tietokanta - älä käytä oletustietokantaa.) Kun HDS-sovellukset asennetaan, ne luovat tietokantakaavion.).

  2. Kerää tiedot, joita solmut käyttävät kommunikoidessaan tietokantapalvelimen kanssa:

    • isännän nimi tai IP-osoite (host) ja portti.

    • tietokannan nimi (dbname), johon avaimet tallennetaan.

    • sen käyttäjän käyttäjätunnus ja salasana, jolla on kaikki oikeudet avainten tallennustietokantaan.

5

Jos haluat nopean palautumisen katastrofista, voit perustaa varmuuskopioympäristön toiseen datakeskukseen. Varmuuskopiointiympäristö peilaa tuotantoympäristöä, joka koostuu VM:istä ja varmuuskopioidusta tietokantapalvelimesta. Jos esimerkiksi tuotannossa on 3 VM:ää, joilla on HDS-solmuja, varmuuskopiointiympäristössä pitäisi olla 3 VM:ää.

6

Määritä syslog-isäntä keräämään lokit klusterin solmuista. Kerää sen verkko-osoite ja syslog-portti (oletusarvo on UDP 514).

7

Luo turvallinen varmuuskopiointikäytäntö hybriditietoturvasolmuja, tietokantapalvelinta ja syslog-isäntää varten. Jos haluat estää tietojen menetyksen, jota ei voida palauttaa, sinun on varmuuskopioitava ainakin tietokanta ja hybridi-tietoturvasolmuja varten luotu määritys-ISO-tiedosto.

Koska hybriditietoturvasolmut tallentavat sisällön salauksessa ja salauksen purkamisessa käytettävät avaimet, toimivan käyttöönoton laiminlyönti johtaa UNRECOVERABLE LOSS kyseisen sisällön menetykseen.

Webex App -asiakkaat tallentavat avaimet välimuistiin, joten katkos ei välttämättä näy heti, mutta se näkyy ajan myötä. Tilapäisiä katkoksia on mahdotonta estää, mutta ne ovat palautettavissa. Jos tietokanta tai konfigurointi-ISO-tiedosto kuitenkin menetetään kokonaan (varmuuskopioita ei ole saatavilla), asiakastietoja ei voida palauttaa. Hybriditietoturvasolmujen ylläpitäjien odotetaan ylläpitävän usein varmuuskopioita tietokannasta ja konfigurointi-ISO-tiedostosta ja olevan valmiita rakentamaan hybriditietoturvatietokeskuksen uudelleen, jos tapahtuu katastrofaalinen vika.

8

Varmista, että palomuurin kokoonpano sallii Hybrid Data Security -solmujen yhteyden Ulkoisen yhteyden vaatimukset mukaisesti.

9

Asenna Docker ( https://www.docker.com) mihin tahansa paikalliseen koneeseen, jossa on tuettu käyttöjärjestelmä (Microsoft Windows 10 Professional tai Enterprise 64-bittinen tai Mac OSX Yosemite 10.10.3 tai uudempi), jossa on verkkoselain, joka voi käyttää sitä osoitteessa http://127.0.0.1:8080.

Docker-instanssin avulla lataat ja suoritat HDS Setup Tool -työkalun, joka luo paikalliset määritystiedot kaikille Hybrid Data Security -solmuille. Saatat tarvita Docker Desktop -lisenssin. Katso lisätietoja osoitteesta Docker Desktop -vaatimukset .

Jotta HDS Setup Tool voidaan asentaa ja käyttää, paikallisella koneella on oltava osoitteessa External connectivity requirements esitetyt liitettävyysvaatimukset.

10

Jos integroit välityspalvelimen Hybrid Data Securityyn, varmista, että se täyttää Proxy Server Requirements-vaatimukset.

Hybriditietoturvaklusterin perustaminen

Hybriditietoturvan käyttöönoton tehtävävirta

Ennen kuin aloitat

1

Suorita alkuasetukset ja lataa asennustiedostot

Lataa OVA-tiedosto paikalliselle koneellesi myöhempää käyttöä varten.

2

Luo konfigurointi-ISO HDS-isäntäkoneille.

Käytä HDS Setup Tool -työkalua luodaksesi ISO-kokoonpanotiedoston Hybrid Data Security -solmuja varten.

3

Asenna HDS Host OVA

Luo virtuaalikone OVA-tiedostosta ja suorita alkumääritykset, kuten verkkoasetukset.

Mahdollisuus määrittää verkkoasetukset OVA-käyttöönoton aikana on testattu ESXi 7.0:lla. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

4

Hybriditietoturva VM:n määrittäminen

Kirjaudu VM-konsoliin ja määritä kirjautumistiedot. Määritä solmun verkkoasetukset, jos et määrittänyt niitä OVA-käyttöönoton yhteydessä.

5

Lataa ja asenna HDS-konfiguraatio-ISO-tiedosto.

Määritä VM HDS Setup Tool -työkalulla luodusta ISO-kokoonpanotiedostosta.

6

HDS-solmun määrittäminen välityspalvelimen integrointia varten

Jos verkkoympäristö edellyttää välityspalvelinkonfiguraatiota, määritä solmun käyttämä välityspalvelintyyppi ja lisää tarvittaessa välityspalvelinvarmenne luottamussäilöön.

7

Rekisteröi klusterin ensimmäinen solmu

Rekisteröi VM Cisco Webex -pilvipalveluun Hybrid Data Security -solmuksi.

8

Luo ja rekisteröi lisää solmuja

Viimeistele klusterin asennus.

9

Aktivoi Multi-Tenant HDS Partner Hubissa.

Aktivoi HDS ja hallinnoi vuokralaisorganisaatioita Partner Hubissa.

Suorita alkuasetukset ja lataa asennustiedostot

Tässä tehtävässä lataat OVA-tiedoston koneellesi (ei palvelimille, jotka olet määrittänyt hybridi-tietoturvasolmuiksi). Käytät tätä tiedostoa myöhemmin asennusprosessissa.

1

Kirjaudu sisään osoitteessa Partner Hub ja valitse sitten Palvelut.

2

Etsi Pilvipalvelut-osiosta Hybrid Data Security -kortti ja valitse sitten Määritä.

Käyttöönottoprosessin kannalta on tärkeää, että napsautat Partner Hubissa Set up . Älä jatka asennusta suorittamatta tätä vaihetta.

3

Napsauta Lisää resurssi ja napsauta Lataa .OVA-tiedosto Asenna ja määritä ohjelmisto -kortilla.

Ohjelmistopaketin vanhemmat versiot (OVA) eivät ole yhteensopivia uusimpien Hybrid Data Security -päivitysten kanssa. Tämä voi aiheuttaa ongelmia sovelluksen päivittämisen aikana. Varmista, että lataat OVA-tiedoston uusimman version.

Voit myös ladata OVA:n milloin tahansa osoitteesta Help . Napsauta Asetukset > Ohje > Lataa Hybrid Data Security -ohjelmisto.

OVA-tiedoston lataaminen alkaa automaattisesti. Tallenna tiedosto johonkin paikkaan koneellasi.
4

Voit myös tarkistaa, onko tästä oppaasta saatavilla uudempi versio, valitsemalla Katso hybriditietoturvan käyttöönotto-opas .

Luo konfigurointi-ISO HDS-isäntäkoneille.

Hybrid Data Security -asennusprosessi luo ISO-tiedoston. Tämän jälkeen voit määrittää Hybrid Data Security -isäntäsovelluksen ISO-version avulla.

Ennen kuin aloitat
1

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

2

Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti:

docker login -u hdscustomersro
3

Kirjoita salasanakehotteeseen tämä hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Lataa uusin vakaa imago ympäristöllesi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:

  • Tavallisissa ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • FedRAMP-ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080".

6

Setup-työkalu ei tue yhteyden muodostamista localhostiin http://localhost:8080 kautta. Käytä http://127.0.0.1:8080 muodostaaksesi yhteyden localhostiin.

Siirry verkkoselaimella osoitteeseen localhost, http://127.0.0.1:8080, ja kirjoita kehotteeseen Partner Hubin admin-käyttäjätunnus.

Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää asettaakseen oikean ympäristön kyseiselle tilille. Tämän jälkeen työkalu näyttää tavallisen kirjautumiskehotteen.

7

Anna pyydettäessä Partner Hubin ylläpitäjän kirjautumistiedot ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn hybriditietoturvan edellyttämiin palveluihin.

8

Napsauta Setup Tool -katsaussivulla Get Started.

9

ISO Import -sivulla on seuraavat vaihtoehdot:

  • Ei- Jos luot ensimmäistä HDS-solmua, sinulla ei ole ISO-tiedostoa ladattavaksi.
  • Kyllä- Jos olet jo luonut HDS-solmuja, valitse ISO-tiedosto selaimesta ja lataa se.
10

Tarkista, että X.509-varmenne täyttää osoitteessa X.509-varmenteen vaatimukset esitetyt vaatimukset.

  • Jos et ole aiemmin ladannut varmenteita, lataa X.509-varmenne, syötä salasana ja napsauta Jatka.
  • Jos varmenne on OK, valitse Jatka.
  • Jos varmenteesi on vanhentunut tai haluat korvata sen, valitse Ei varten Jatka edellisen ISO:n HDS-varmenteiden ketjun ja yksityisen avaimen käyttöä?. Lataa uusi X.509-varmenne, syötä salasana ja napsauta Jatka.
11

Anna tietokantaosoite ja tili, jonka avulla HDS voi käyttää avaintietovarastoa:

  1. Valitse Tietokantatyyppi (PostgreSQL tai Microsoft SQL Server).

    Jos valitset Microsoft SQL Server, saat Authentication Type -kentän.

  2. (Vain Microsoft SQL Server ) Valitse Todennustyyppi:

    • Perustodennus: Tarvitset paikallisen SQL Server -tilin nimen Käyttäjänimi -kenttään.

    • Windows-todennus: Tarvitset Windows-tilin muodossa username@DOMAIN kenttään Username .

  3. Kirjoita tietokantapalvelimen osoite muodossa : tai :.

    Esimerkki:
    dbhost.example.org:1433 tai 198.51.100.17:1433

    Voit käyttää IP-osoitetta perustodennukseen, jos solmut eivät voi käyttää DNS:ää isäntänimen ratkaisemiseen.

    Jos käytät Windows-tunnistautumista, sinun on annettava täyteen määritetty verkkotunnus muodossa dbhost.example.org:1433.

  4. Kirjoita tietokannan nimi.

  5. Kirjoita Käyttäjätunnus ja Salasana käyttäjälle, jolla on kaikki oikeudet avaintallennustietokantaan.

12

Valitse TLS-tietokantayhteystapa:

Tila

Kuvaus

Prefer TLS (oletusasetus)

HDS-solmut eivät vaadi TLS-yhteyttä tietokantapalvelimeen. Jos otat TLS:n käyttöön tietokantapalvelimessa, solmut yrittävät muodostaa salatun yhteyden.

Vaadi TLS

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

Vaadi TLS ja tarkista varmenteen allekirjoittaja

Tätä tilaa ei voi käyttää SQL Server -tietokantoihin.

  • HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

  • TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa tietokannan juurivarmenteessa olevaan varmentajaan. Jos ne eivät täsmää, solmu katkaisee yhteyden.

Lataa tätä vaihtoehtoa varten tarvittava juurivarmenne Database root certificate -pudotusvalikon alapuolella olevalla ohjaimella.

Vaadi TLS ja tarkista varmenteen allekirjoittaja ja isäntänimi.

  • HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

  • TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa tietokannan juurivarmenteessa olevaan varmentajaan. Jos ne eivät täsmää, solmu katkaisee yhteyden.

  • Solmut tarkistavat myös, että palvelinvarmenteessa oleva isäntänimi vastaa tietokannan isäntä ja portti -kentässä olevaa isäntänimeä. Nimien on täsmälleen täsmättävä, tai solmu katkaisee yhteyden.

Lataa tätä vaihtoehtoa varten tarvittava juurivarmenne Database root certificate -pudotusvalikon alapuolella olevalla ohjaimella.

Kun lataat juurivarmenteen (tarvittaessa) ja napsautat Jatka, HDS Setup Tool testaa TLS-yhteyden tietokantapalvelimeen. Työkalu tarkistaa tarvittaessa myös varmenteen allekirjoittajan ja isäntänimen. Jos testi epäonnistuu, työkalu näyttää virheilmoituksen, jossa kuvataan ongelma. Voit valita, jätätkö virheen huomiotta ja jatkatko asennusta. (Yhteyseroista johtuen HDS-solmut saattavat pystyä muodostamaan TLS-yhteyden, vaikka HDS Setup Tool -kone ei pystyisi onnistuneesti testaamaan sitä.)

13

Määritä Syslogd-palvelin Järjestelmälokit-sivulla:

  1. Kirjoita syslog-palvelimen URL-osoite.

    Jos palvelin ei ole DNS-ratkaisukelpoinen HDS-klusterin solmuista, käytä URL-osoitteessa IP-osoitetta.

    Esimerkki:
    udp://10.92.43.23:514 osoittaa kirjautumisen Syslogd-isäntään 10.92.43.23 UDP-porttiin 514.

  2. Jos olet määrittänyt palvelimesi käyttämään TLS-salausta, tarkista Onko syslog-palvelimesi määritetty SSL-salausta varten?.

    Jos valitset tämän valintaruudun, varmista, että annat TCP-osoitteen, kuten tcp://10.92.43.23:514.

  3. Valitse ISO-tiedostolle sopiva asetus Choose syslog record termination -pudotusvalikosta: Valitse tai Newline käytetään Graylog- ja Rsyslog TCP -palveluissa.

    • Nollatavu -- \x00

    • Newline -- \n-Valitse tämä valinta Graylog- ja Rsyslog TCP -palveluille.

  4. Napsauta Jatka.

14

(Valinnainen) Voit muuttaa joidenkin tietokantayhteysparametrien oletusarvoa osoitteessa Lisäasetukset. Yleensä tämä parametri on ainoa, jota kannattaa muuttaa:

app_datasource_connection_pool_maxKoko: 10
15

Napsauta Jatka Reset Service Accounts Password -näytössä.

Palvelutilien salasanojen käyttöikä on yhdeksän kuukautta. Käytä tätä näyttöä, kun salasanasi ovat umpeutumassa tai haluat nollata ne aiempien ISO-tiedostojen mitätöimiseksi.

16

Klikkaa Lataa ISO-tiedosto. Tallenna tiedosto paikkaan, josta se on helppo löytää.

17

Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmään.

Pidä varmuuskopio turvassa. Tämä tiedosto sisältää tietokannan sisällön pääsalausavaimen. Rajoita käyttöoikeus vain niille Hybrid Data Securityn järjestelmänvalvojille, joiden pitäisi tehdä määritysmuutoksia.

18

Voit sammuttaa Setup-työkalun kirjoittamalla CTRL+C.

Mitä tehdä seuraavaksi

Varmuuskopioi konfigurointi-ISO-tiedosto. Tarvitset sitä luodaksesi lisää solmuja toipumista varten tai tehdessäsi kokoonpanomuutoksia. Jos menetät kaikki ISO-tiedoston kopiot, menetät myös pääavaimen. Avainten palauttaminen PostgreSQL- tai Microsoft SQL Server -tietokannasta ei ole mahdollista.

Meillä ei ole koskaan kopiota tästä avaimesta, emmekä voi auttaa, jos kadotat sen.

Asenna HDS Host OVA

Luo virtuaalikone OVA-tiedostosta tämän menettelyn avulla.
1

Kirjaudu ESXi-virtuaali-isäntäkoneeseen VMware vSphere -asiakasohjelman avulla.

2

Valitse File > Deploy OVF Template.

3

Määritä ohjatussa toiminnossa aiemmin lataamasi OVA-tiedoston sijainti ja napsauta sitten Next.

4

Kirjoita Valitse nimi ja kansio -sivulla Virtuaalikoneen nimi solmulle (esimerkiksi "HDS_Node_1"), valitse sijainti, jossa virtuaalikoneen solmun käyttöönotto voi sijaita, ja napsauta sitten Seuraava.

5

Valitse Valitse laskentaresurssi -sivulla kohdelaskentaresurssi ja napsauta sitten Seuraava.

Validointitarkistus suoritetaan. Kun se on valmis, mallin tiedot tulevat näkyviin.

6

Tarkista mallin tiedot ja napsauta sitten Next.

7

Jos sinua pyydetään valitsemaan resurssikokoonpano sivulla Configuration , valitse 4 CPU ja valitse sitten Next.

8

Valitse Valitse tallennustila -sivulla Seuraava hyväksyäksesi oletusarvoisen levymuodon ja VM-tallennuskäytännön.

9

Valitse Valitse verkot -sivulla verkkovaihtoehto luettelosta, joka tarjoaa VM:lle halutun yhteyden.

10

Määritä seuraavat verkkoasetukset sivulla Customize template :

  • Isäntänimi- Kirjoita solmun FQDN (isäntänimi ja toimialue) tai yksisanainen isäntänimi.

    • Verkkotunnuksen ei tarvitse vastata verkkotunnusta, jota käytit X.509-varmenteen hankkimiseen.

    • Jotta rekisteröinti pilvipalveluun onnistuisi, käytä solmulle asettamassasi FQDN- tai isäntänimessä vain pieniä kirjaimia. Suuraakkosia ei tällä hetkellä tueta.

    • FQDN-nimen kokonaispituus saa olla enintään 64 merkkiä.

  • IP-osoite- Syötä solmun sisäisen liitännän IP-osoite.

    Solmulla pitäisi olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.

  • Mask- Syötä aliverkon peiteosoite pistemääräisenä. Esimerkiksi 255.255.255.255.0.
  • Yhdyskäytävä-Kirjoita yhdyskäytävän IP-osoite. Yhdyskäytävä on verkon solmu, joka toimii yhteyspisteenä toiseen verkkoon.
  • DNS-palvelimet-Kirjoita pilkulla erotettu luettelo DNS-palvelimista, jotka huolehtivat verkkotunnusten muuntamisesta numeerisiksi IP-osoitteiksi. (Enintään 4 DNS-merkintää on sallittu.)
  • NTP-palvelimet-Kirjoita organisaatiosi NTP-palvelin tai muu organisaatiossasi käytettävä ulkoinen NTP-palvelin. Oletusarvoiset NTP-palvelimet eivät välttämättä toimi kaikissa yrityksissä. Voit myös käyttää pilkulla erotettua luetteloa useiden NTP-palvelimien syöttämiseen.

  • Aseta kaikki solmut samaan aliverkkoon tai VLAN:iin, jotta kaikki klusterin solmut ovat tavoitettavissa verkon asiakkaista hallinnollisia tarkoituksia varten.

Voit halutessasi ohittaa verkkoasetusten määrityksen ja määrittää asetukset solmun konsolissa kohdan Hybriditietoturva-VM:n määrittäminen ohjeiden mukaisesti.

Mahdollisuus määrittää verkkoasetukset OVA-käyttöönoton aikana on testattu ESXi 7.0:lla. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

11

Napsauta hiiren kakkospainikkeella solmun VM:ää ja valitse sitten Power > Power On.

Hybrid Data Security -ohjelmisto asennetaan vieraana VM-isäntään. Olet nyt valmis kirjautumaan konsoliin ja määrittämään solmun.

Vianmääritysvinkkejä

Saattaa esiintyä muutaman minuutin viive, ennen kuin solmupisteiden säiliöt tulevat esiin. Konsolissa näkyy siltapalomuuriviesti ensimmäisen käynnistyksen aikana, jolloin et voi kirjautua sisään.

Hybriditietoturva VM:n määrittäminen

Tällä menettelyllä voit kirjautua Hybrid Data Security -solmun VM-konsoliin ensimmäistä kertaa ja määrittää kirjautumistiedot. Voit myös määrittää solmun verkkoasetukset konsolin avulla, jos et määrittänyt niitä OVA-käyttöönoton yhteydessä.

1

Valitse VMware vSphere -asiakasohjelmassa Hybrid Data Security -solmun VM ja valitse Console -välilehti.

VM käynnistyy ja näyttöön tulee kirjautumiskehote. Jos kirjautumiskehote ei tule näkyviin, paina Enter.
2

Kirjaudu sisään ja vaihda tunnistetiedot seuraavilla oletustunnuksilla: käyttäjätunnus ja salasana:

  1. Kirjaudu sisään: admin

  2. Salasana: cisco

Koska kirjaudut VM:ään ensimmäistä kertaa, sinun on vaihdettava järjestelmänvalvojan salasana.

3

Jos olet jo määrittänyt verkkoasetukset kohdassa Install the HDS Host OVA, ohita tämän ohjeen loppuosa. Muussa tapauksessa valitse päävalikosta Edit Configuration .

4

Määritä staattinen konfiguraatio, jossa on IP-osoite, maski, yhdyskäytävä ja DNS-tiedot. Solmulla pitäisi olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.

5

(Valinnainen) Muuta isäntänimeä, toimialuetta tai NTP-palvelinta (-palvelimia) tarvittaessa verkkokäytäntösi mukaiseksi.

Verkkotunnuksen ei tarvitse vastata verkkotunnusta, jota käytit X.509-varmenteen hankkimiseen.

6

Tallenna verkkokokoonpano ja käynnistä VM uudelleen, jotta muutokset tulevat voimaan.

Lataa ja asenna HDS-konfiguraatio-ISO-tiedosto.

Määritä virtuaalikone HDS Setup Tool -työkalulla luodusta ISO-tiedostosta tämän menettelyn avulla.

Ennen kuin aloitat

Koska ISO-tiedostossa on pääavain, se tulisi paljastaa vain, jos se on tarpeen, jotta hybriditietoturva-VM:t ja mahdolliset järjestelmänvalvojat, jotka saattavat joutua tekemään muutoksia, pääsevät siihen käsiksi. Varmista, että vain kyseiset järjestelmänvalvojat voivat käyttää tietovarastoa.

1

Lataa ISO-tiedosto tietokoneeltasi:

  1. Napsauta VMware vSphere -asiakasohjelman vasemmassa navigointipaneelissa ESXi-palvelinta.

  2. Valitse Configuration-välilehden Hardware (Laitteisto) -luettelosta Storage (Tallennus).

  3. Napsauta Datastores-luettelossa hiiren kakkospainikkeella VM-tietovarastoa ja valitse Browse Datastore.

  4. Napsauta Upload Files -kuvaketta ja valitse sitten Upload File.

  5. Siirry paikkaan, josta latasit ISO-tiedoston tietokoneellesi, ja napsauta Avaa.

  6. Hyväksy lataus/download-toiminnon varoitus napsauttamalla Yes ja sulje tietovarasto-valintaikkuna.

2

Kiinnitä ISO-tiedosto:

  1. Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia.

  2. Hyväksy rajoitettujen muokkausasetusten varoitus napsauttamalla OK .

  3. Napsauta CD/DVD-asema 1, valitse vaihtoehto mount from a datastore ISO file ja selaa paikkaan, johon latasit kokoonpanon ISO-tiedoston.

  4. Tarkista Kytketty ja Kytke virta päälle.

  5. Tallenna muutokset ja käynnistä virtuaalikone uudelleen.

Mitä tehdä seuraavaksi

Jos tietotekniikkakäytäntösi edellyttää, voit vaihtoehtoisesti poistaa ISO-tiedoston liittämisen sen jälkeen, kun kaikki solmut ovat ottaneet käyttöön määritysmuutokset. Katso lisätietoja osoitteesta (Valinnainen) Unmount ISO After HDS Configuration .

HDS-solmun määrittäminen välityspalvelimen integrointia varten

Jos verkkoympäristö edellyttää välityspalvelinta, määritä tällä tavalla, minkä tyyppinen välityspalvelin haluat integroida Hybrid Data Securityyn. Jos valitset läpinäkyvän tarkastavan välityspalvelimen tai nimenomaisen HTTPS-välityspalvelimen, voit ladata ja asentaa juurivarmenteen solmun käyttöliittymän avulla. Voit myös tarkistaa välityspalvelinyhteyden käyttöliittymästä ja korjata mahdollisia ongelmia.

Ennen kuin aloitat

1

Kirjoita HDS-solmun asetusten URL-osoite https://[HDS-solmun IP- tai FQDN]/setup verkkoselaimessa, syötä solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.

2

Siirry osoitteeseen Trust Store & Proxy ja valitse sitten vaihtoehto:

  • Ei välityspalvelinta- Oletusvaihtoehto ennen välityspalvelimen integroimista. Varmenteen päivitystä ei tarvita.
  • Läpinäkyvä ei-tarkastava välityspalvelin-Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen ei-tarkastavan välityspalvelimen kanssa. Varmenteen päivitystä ei tarvita.
  • Läpinäkyvä välityspalvelimen tarkastaminen-Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. Hybrid Data Security -käyttöönotossa ei tarvita HTTPS-konfiguraatiomuutoksia, mutta HDS-solmut tarvitsevat juurivarmenteen, jotta ne luottavat välityspalvelimeen. Tietotekniikka käyttää tyypillisesti tarkastavia välityspalvelimia valvomaan käytäntöjä, jotka koskevat sitä, millä verkkosivustoilla voi vierailla ja minkä tyyppistä sisältöä ei saa käyttää. Tämäntyyppinen välityspalvelin purkaa kaiken liikennöintisi (jopa HTTPS).
  • Explicit Proxy-Explisiittisellä välityspalvelimella kerrot asiakkaalle (HDS-solmut), mitä välityspalvelinta käyttää, ja tämä vaihtoehto tukee useita todennustyyppejä. Kun olet valinnut tämän vaihtoehdon, sinun on annettava seuraavat tiedot:

    1. Proxy IP/FQDN-osoite, jolla välityskone voidaan tavoittaa.

    2. Välitysportti- Portin numero, jota välityspalvelin käyttää kuunnellakseen välitettyä liikennettä.

    3. Proxy Protocol-Valitse http (tarkastelee ja valvoo kaikkia asiakkaalta vastaanotettuja pyyntöjä) tai https (tarjoaa kanavan palvelimelle ja asiakas vastaanottaa ja vahvistaa palvelimen varmenteen). Valitse vaihtoehto sen mukaan, mitä välityspalvelimesi tukee.

    4. Todennustyyppi-Valitse yksi seuraavista todennustyypeistä:

      • Ei ole- Muita todennuksia ei tarvita.

        Käytettävissä HTTP- tai HTTPS-välityspalvelimille.

      • Basic-Käytetään HTTP-käyttäjäagenttia antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.

        Käytettävissä HTTP- tai HTTPS-välityspalvelimille.

        Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjänimi ja salasana.

      • Digest-Käytetään tilin vahvistamiseen ennen arkaluontoisten tietojen lähettämistä. Soveltaa hash-funktiota käyttäjänimeen ja salasanaan ennen lähettämistä verkon yli.

        Käytettävissä vain HTTPS-välityspalvelimille.

        Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjänimi ja salasana.

Noudata seuraavia vaiheita, kun kyseessä on läpinäkyvä tarkastava välityspalvelin, HTTP-selkeä välityspalvelin, jossa on perustodennus, tai HTTPS-selkeä välityspalvelin.

3

Napsauta Upload a Root Certificate or End Entity Certificate ja siirry sitten valitsemaan välityspalvelimen juurivarmenne.

Varmenne on ladattu, mutta sitä ei ole vielä asennettu, koska solmun on käynnistettävä uudelleen varmenteen asentamiseksi. Saat lisätietoja napsauttamalla varmenteen myöntäjän nimen vieressä olevaa nuolta tai napsauttamalla Poista , jos teit virheen ja haluat ladata tiedoston uudelleen.

4

Testaa solmun ja välityspalvelimen välinen verkkoyhteys napsauttamalla Check Proxy Connection .

Jos yhteystesti epäonnistuu, näyttöön tulee virheilmoitus, jossa kerrotaan syy ja miten voit korjata ongelman.

Jos näet viestin, jonka mukaan ulkoinen DNS-resoluutio ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen. Tämä ehto on odotettavissa monissa eksplisiittisissä välityspalvelinkokoonpanoissa. Voit jatkaa asetusten määrittämistä, ja solmu toimii Estetty ulkoinen DNS-resoluutio -tilassa. Jos luulet, että kyseessä on virhe, suorita nämä vaiheet ja katso sitten Ota estetty ulkoinen DNS-resoluutiotila pois käytöstä.

5

Kun yhteystesti on läpäisty, jos vain https:n välityspalvelimeksi on asetettu explicit proxy, kytke päälle . Reititä kaikki porttien 443/444 https-pyynnöt tästä solmusta explicit proxyn kautta. Tämä asetus vaatii 15 sekuntia tullakseen voimaan.

6

Napsauta Asenna kaikki varmenteet luottamussäilöön (tulee näkyviin, jos kyseessä on HTTPS-selkeän välityspalvelimen tai läpinäkyvän tarkastavan välityspalvelimen käyttö) tai Käynnistä uudelleen (tulee näkyviin, jos kyseessä on HTTP-selkeän välityspalvelimen käyttö), lue kehote ja napsauta sitten Asenna , jos olet valmis.

Solmu käynnistyy uudelleen muutamassa minuutissa.

7

Kun solmu on käynnistetty uudelleen, kirjaudu tarvittaessa uudelleen sisään ja avaa sitten Overview -sivu tarkistaaksesi yhteystarkastukset ja varmistaaksesi, että ne ovat kaikki vihreässä tilassa.

Välityspalvelinyhteyden tarkistus testaa vain webex.com-sivuston aliverkkotunnuksen. Jos yhteysongelmia ilmenee, yleinen ongelma on, että jotkin asennusohjeissa luetelluista pilvialueen verkkotunnuksista on estetty välityspalvelimessa.

Rekisteröi klusterin ensimmäinen solmu

Tässä tehtävässä otetaan yleinen solmu, jonka loit kohdassa Hybriditietoturvan VM:n määrittäminen, rekisteröidään solmu Webex-pilveen ja muutetaan se Hybriditietoturvan solmuksi.

Kun rekisteröit ensimmäisen solmun, luot klusterin, johon solmu liitetään. Klusteri sisältää yhden tai useamman solmun, jotka on sijoitettu tarjoamaan redundanssia.

Ennen kuin aloitat

  • Kun aloitat solmun rekisteröinnin, sinun on saatettava se päätökseen 60 minuutin kuluessa tai sinun on aloitettava alusta.

  • Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen admin.webex.com-sivustolle.

1

Kirjaudu sisään osoitteessa https://admin.webex.com.

2

Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

3

Etsi Cloud Services -osiosta Hybrid Data Security -kortti ja napsauta Set up.

4

Valitse avautuvalla sivulla Add a resource.

5

Kirjoita kortin Add a node ensimmäiseen kenttään nimi klusterille, johon haluat määrittää Hybrid Data Security -solmun.

Suosittelemme, että nimeät klusterin sen mukaan, missä klusterin solmut sijaitsevat maantieteellisesti. Esimerkkejä: "San Francisco" tai "New York" tai "Dallas".

6

Kirjoita toiseen kenttään solmun sisäinen IP-osoite tai FQDN (fully qualified domain name) ja napsauta näytön alareunassa Add .

Tämän IP-osoitteen tai FQDN:n tulisi vastata IP-osoitetta tai isäntänimeä ja toimialuetta, joita käytit kohdassa Hybrid Data Security VM:n määrittäminen.

Näyttöön tulee viesti, jossa ilmoitetaan, että voit rekisteröidä solmun Webexiin.
7

Napsauta Go to Node.

Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmujen yhteystesteihin. Jos kaikki testit ovat onnistuneet, Salli pääsy hybridi-tietoturvasolmulle -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa Webex-organisaatiollesi oikeudet käyttää solmua.

8

Tarkista Allow Access to Your Hybrid Data Security Node -valintaruutu ja napsauta sitten Continue.

Tilisi on vahvistettu ja "Rekisteröinti valmis" -viesti osoittaa, että solmusi on nyt rekisteröity Webex-pilveen.
9

Napsauta linkkiä tai sulje välilehti, niin pääset takaisin Partner Hub Hybrid Data Security -sivulle.

Hybrid Data Security -sivulla Resurssit -välilehdellä näkyy uusi klusteri, joka sisältää rekisteröimäsi solmun. Solmu lataa automaattisesti uusimman ohjelmiston pilvestä.

Luo ja rekisteröi lisää solmuja

Jos haluat lisätä klusteriin lisää solmuja, luot yksinkertaisesti uusia VM:iä ja asennat saman konfigurointi-ISO-tiedoston ja rekisteröit solmun. Suosittelemme, että sinulla on vähintään 3 solmua.

Ennen kuin aloitat

  • Kun aloitat solmun rekisteröinnin, sinun on saatettava se päätökseen 60 minuutin kuluessa tai sinun on aloitettava alusta.

  • Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen admin.webex.com-sivustolle.

1

Luo uusi virtuaalikone OVA:sta toistamalla vaiheet osoitteessa Install the HDS Host OVA.

2

Määritä uuden VM:n alkukokoonpano toistamalla kohdasta Set up the Hybrid Data Security VM löytyvät vaiheet.

3

Toista uudessa VM:ssä vaiheet osoitteessa Lataa ja asenna HDS-kokoonpanon ISO.

4

Jos otat käyttöön välityspalvelimen, toista kohdan Configure the HDS Node for Proxy Integration vaiheet tarpeen mukaan uutta solmua varten.

5

Rekisteröi solmu.

  1. Valitse https://admin.webex.com-sivustolla Palvelut näytön vasemmassa reunassa olevasta valikosta.

  2. Etsi Cloud Services -osiosta Hybrid Data Security -kortti ja napsauta View all.

    Hybriditietoturvaresurssit-sivu tulee näkyviin.

  3. Äskettäin luotu klusteri näkyy sivulla Resurssit .

  4. Klikkaa klusteria nähdäksesi klusteriin määritetyt solmut.

  5. Napsauta Add a node näytön oikeassa reunassa.

  6. Kirjoita solmun sisäinen IP-osoite tai FQDN (fully qualified domain name) ja napsauta Add.

    Avautuu sivu, jossa on viesti, jonka mukaan voit rekisteröidä solmun Webex-pilveen. Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmujen yhteystesteihin. Jos kaikki testit ovat onnistuneet, Salli pääsy hybridi-tietoturvasolmulle -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa organisaatiollesi oikeudet käyttää solmua.

  7. Tarkista Allow Access to Your Hybrid Data Security Node -valintaruutu ja napsauta sitten Continue.

    Tilisi on vahvistettu ja "Rekisteröinti valmis" -viesti osoittaa, että solmusi on nyt rekisteröity Webex-pilveen.

  8. Napsauta linkkiä tai sulje välilehti, niin pääset takaisin Partner Hub Hybrid Data Security -sivulle.

    Node added ponnahdusviesti näkyy myös Partner Hubin näytön alareunassa.

    Solmusi on rekisteröity.

Hallitse vuokralaisorganisaatioita Multi-Tenant Hybrid Data Security -palvelussa.

Aktivoi Multi-Tenant HDS Partner Hubissa.

Tällä tehtävällä varmistetaan, että kaikki asiakasorganisaatioiden käyttäjät voivat alkaa hyödyntää HDS:n On-Premises-salausavaimia ja muita tietoturvapalveluja.

Ennen kuin aloitat

Varmista, että olet saanut valmiiksi Multi-Tenant HDS -klusterin määrityksen, jossa on tarvittava määrä solmuja.

1

Kirjaudu sisään osoitteessa https://admin.webex.com.

2

Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

3

Etsi Pilvipalvelut-osiosta Hybrid Data Security ja napsauta Muokkaa asetuksia.

4

Napsauta Aktivoi HDS HDS Status -kortilla Aktivoi HDS .

Lisää vuokralaisorganisaatioita Partner Hubiin

Tässä tehtävässä määrität asiakasorganisaatiot hybridi-tietoturvaklusteriin.

1

Kirjaudu sisään osoitteessa https://admin.webex.com.

2

Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

3

Etsi Cloud Services -osiosta Hybrid Data Security ja napsauta View all.

4

Napsauta klusteria, johon haluat määrittää asiakkaan.

5

Siirry välilehdelle Assigned customers .

6

Napsauta Lisää asiakkaita.

7

Valitse avattavasta valikosta asiakas, jonka haluat lisätä.

8

Napsauta Add, asiakas lisätään klusteriin.

9

Toista vaiheet 6-8 lisätäksesi useita asiakkaita klusteriin.

10

Kun olet lisännyt asiakkaat, napsauta näytön alareunassa Done .

Mitä tehdä seuraavaksi

Käynnistä HDS-asennustyökalu, kuten kohdassa on kuvattu. Create Customer Main Keys (CMKs) using the HDS Setup tool (Luo asiakkaan pääavaimet (CMK:t) HDS-asennustyökalun avulla), jotta saat asennusprosessin päätökseen.

Luo asiakkaan pääavaimet (CMK) HDS Setup -työkalulla.

Ennen kuin aloitat

Määritä asiakkaat sopivaan klusteriin, kuten kohdassa Add tenant organizations in Partner Hub on kuvattu. Suorita HDS Setup -työkalu, jotta saat äskettäin lisättyjen asiakasorganisaatioiden määritysprosessin päätökseen.

  • HDS Setup -työkalu toimii Docker-säiliönä paikallisella koneella. Voit käyttää sitä suorittamalla Dockerin kyseisellä koneella. Asennusprosessi edellyttää Partner Hub -tilin tunnistetietoja, joilla on organisaatiosi täydet järjestelmänvalvojan oikeudet.

    Jos HDS Setup -työkalu toimii ympäristössäsi välityspalvelimen takana, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien avulla, kun käynnistät Docker-säiliön vaiheessa 5. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:

    Kuvaus

    Muuttuja

    HTTP-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTP_PROXY=http://SERVER_IP:PORTTI IP:PORTTI

    HTTPS-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTPS_PROXY=http://SERVER_IP:PORTTI

    HTTP-välityspalvelin todennuksen kanssa

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

    HTTPS-välityspalvelin todennuksella

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

  • Luomasi konfigurointi-ISO-tiedosto sisältää pääavaimen, jolla PostgreSQL- tai Microsoft SQL Server -tietokanta salataan. Tarvitset uusimman kopion tästä tiedostosta aina, kun teet määritysmuutoksia, kuten näitä:

    • Tietokannan tunnistetiedot

    • Todistuksen päivitykset

    • Muutokset valtuutuskäytäntöön

  • Jos aiot salata tietokantayhteyksiä, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:ää varten.

Hybrid Data Security -asennusprosessi luo ISO-tiedoston. Tämän jälkeen voit määrittää Hybrid Data Security -isäntäsovelluksen ISO-version avulla.

1

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

2

Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti:

docker login -u hdscustomersro
3

Kirjoita salasanakehotteeseen tämä hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Lataa uusin vakaa imago ympäristöllesi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:

  • Tavallisissa ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • FedRAMP-ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080".

6

Setup-työkalu ei tue yhteyden muodostamista localhostiin http://localhost:8080 kautta. Käytä http://127.0.0.1:8080 muodostaaksesi yhteyden localhostiin.

Siirry verkkoselaimella osoitteeseen localhost, http://127.0.0.1:8080, ja kirjoita kehotteeseen Partner Hubin admin-käyttäjätunnus.

Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää asettaakseen oikean ympäristön kyseiselle tilille. Tämän jälkeen työkalu näyttää tavallisen kirjautumiskehotteen.

7

Anna pyydettäessä Partner Hubin ylläpitäjän kirjautumistiedot ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn hybriditietoturvan edellyttämiin palveluihin.

8

Napsauta Setup Tool -katsaussivulla Get Started.

9

Valitse ISO Import -sivulla Yes.

10

Valitse ISO-tiedosto selaimessa ja lataa se.

Varmista yhteys tietokantaan CMK:n hallintaa varten.
11

Siirry Vuokralaisen CMK:n hallinta -välilehdelle, jossa on seuraavat kolme tapaa hallita vuokralaisen CMK:ta.

  • Create CMK for all ORGs tai Create CMK - Napsauta tätä painiketta näytön yläreunassa olevassa bannerissa luodaksesi CMK:t kaikille äskettäin lisätyille organisaatioille.
  • Napsauta Manage CMKs -painiketta näytön oikeassa reunassa ja napsauta Create CMKs luodaksesi CMK:t kaikille äskettäin lisätyille organisaatioille.
  • Napsauta ... tietyn organisaation CMK-hallinnan odottavan tilan lähellä taulukossa ja napsauta Create CMK luodaksesi CMK:n kyseiselle organisaatiolle.
12

Kun CMK:n luominen on onnistunut, tila muuttuu taulukossa CMK:n hallinta vireillä -tilasta CMK hallinnoitu-tilaan.

13

Jos CMK:n luominen ei onnistu, näyttöön tulee virheilmoitus.

Poista vuokralaisorganisaatiot

Ennen kuin aloitat

Poistamisen jälkeen asiakasorganisaatioiden käyttäjät eivät voi hyödyntää HDS:ää salaustarpeisiinsa ja menettävät kaikki olemassa olevat tilat. Ennen asiakasorganisaatioiden poistamista ota yhteyttä Cisco-kumppaniin tai asiakaspäällikköön.

1

Kirjaudu sisään osoitteessa https://admin.webex.com.

2

Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

3

Etsi Cloud Services -osiosta Hybrid Data Security ja napsauta View all.

4

Napsauta Resurssit -välilehdellä klusteria, josta haluat poistaa asiakasorganisaatiot.

5

Valitse avautuvalla sivulla Assigned Customers.

6

Napsauta näkyviin tulevasta asiakasorganisaatioiden luettelosta ... sen asiakasorganisaation oikealla puolella, jonka haluat poistaa, ja napsauta Poista klusterista.

Mitä tehdä seuraavaksi

Suorita poistoprosessi loppuun peruuttamalla asiakasorganisaatioiden CMK-tunnukset osoitteessa Revoke CMKs of tenants removed from HDS.

HDS:stä poistettujen vuokralaisten CMK-tunnusten peruuttaminen.

Ennen kuin aloitat

Poista asiakkaat kyseisestä klusterista, kuten kohdassa Remove tenant organizations on kuvattu. Suorita HDS-asennustyökalu, jotta poistettujen asiakasorganisaatioiden poistoprosessi saadaan päätökseen.

  • HDS Setup -työkalu toimii Docker-säiliönä paikallisella koneella. Voit käyttää sitä suorittamalla Dockerin kyseisellä koneella. Asennusprosessi edellyttää Partner Hub -tilin tunnistetietoja, joilla on organisaatiosi täydet järjestelmänvalvojan oikeudet.

    Jos HDS Setup -työkalu toimii ympäristössäsi välityspalvelimen takana, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien avulla, kun käynnistät Docker-säiliön vaiheessa 5. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:

    Kuvaus

    Muuttuja

    HTTP-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTP_PROXY=http://SERVER_IP:PORTTI IP:PORTTI

    HTTPS-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTPS_PROXY=http://SERVER_IP:PORTTI

    HTTP-välityspalvelin todennuksen kanssa

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

    HTTPS-välityspalvelin todennuksella

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

  • Luomasi konfigurointi-ISO-tiedosto sisältää pääavaimen, jolla PostgreSQL- tai Microsoft SQL Server -tietokanta salataan. Tarvitset uusimman kopion tästä tiedostosta aina, kun teet määritysmuutoksia, kuten näitä:

    • Tietokannan tunnistetiedot

    • Todistuksen päivitykset

    • Muutokset valtuutuskäytäntöön

  • Jos aiot salata tietokantayhteyksiä, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:ää varten.

Hybrid Data Security -asennusprosessi luo ISO-tiedoston. Tämän jälkeen voit määrittää Hybrid Data Security -isäntäsovelluksen ISO-version avulla.

1

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

2

Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti:

docker login -u hdscustomersro
3

Kirjoita salasanakehotteeseen tämä hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Lataa uusin vakaa imago ympäristöllesi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:

  • Tavallisissa ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • FedRAMP-ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080".

6

Setup-työkalu ei tue yhteyden muodostamista localhostiin http://localhost:8080 kautta. Käytä http://127.0.0.1:8080 muodostaaksesi yhteyden localhostiin.

Siirry verkkoselaimella osoitteeseen localhost, http://127.0.0.1:8080, ja kirjoita kehotteeseen Partner Hubin admin-käyttäjätunnus.

Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää asettaakseen oikean ympäristön kyseiselle tilille. Tämän jälkeen työkalu näyttää tavallisen kirjautumiskehotteen.

7

Anna pyydettäessä Partner Hubin ylläpitäjän kirjautumistiedot ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn hybriditietoturvan edellyttämiin palveluihin.

8

Napsauta Setup Tool -katsaussivulla Get Started.

9

Valitse ISO Import -sivulla Yes.

10

Valitse ISO-tiedosto selaimessa ja lataa se.

11

Siirry Vuokralaisen CMK:n hallinta -välilehdelle, jossa on seuraavat kolme tapaa hallita vuokralaisen CMK:ta.

  • Revoke CMK for all ORGs or Revoke CMK - Napsauta tätä painiketta näytön yläreunassa olevassa bannerissa peruuttaaksesi kaikkien poistettujen organisaatioiden CMK:t.
  • Napsauta Manage CMKs -painiketta näytön oikeassa reunassa ja napsauta Revoke CMKs peruuttaaksesi kaikkien poistettujen organisaatioiden CMK:t.
  • Napsauta ... lähellä CMK, joka peruutetaan tietyn organisaation tilaa taulukossa ja napsauta Revoke CMK peruuttaaksesi CMK:n kyseiseltä organisaatiolta.
12

Kun CMK:n peruuttaminen on onnistunut, asiakasorganisaatio ei enää näy taulukossa.

13

Jos CMK:n peruuttaminen ei onnistu, näyttöön tulee virheilmoitus.

Testaa hybriditietoturvan käyttöönottoa

Testaa hybriditietoturvan käyttöönottoa

Tällä menettelyllä voit testata Multi-Tenant Hybrid Data Security -salausskenaarioita.

Ennen kuin aloitat

  • Määritä Multi-Tenant Hybrid Data Security -käyttöönotto.

  • Varmista, että sinulla on pääsy syslogiin, jotta voit tarkistaa, että avainpyynnöt kulkevat Multi-Tenant Hybrid Data Security -käyttöönottoon.

1

Avaimet tietylle tilalle asettaa tilan luoja. Kirjaudu Webex-sovellukseen yhtenä asiakasorganisaation käyttäjistä ja luo tila.

Jos poistat hybriditietoturva-asennuksen käytöstä, käyttäjien luomien tilojen sisältöön ei enää pääse käsiksi, kun salausavainten asiakaskeskeytetyt kopiot on korvattu.

2

Lähetä viestejä uuteen tilaan.

3

Tarkista syslog-tulosteesta, että avainpyynnöt kulkevat Hybrid Data Security -käyttöönottoon.

  1. Jos haluat tarkistaa, että käyttäjä on ensin luonut suojatun kanavan KMS:ään, suodata kms.data.method=create ja kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Löydät seuraavan kaltaisen merkinnän (tunnukset on lyhennetty luettavuuden vuoksi):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] vastaanotettu, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Jos haluat tarkistaa, onko käyttäjä pyytänyt olemassa olevaa avainta KMS:stä, suodata kms.data.method=retrieve ja kms.data.type=KEY:

    Sinun pitäisi löytää seuraava merkintä:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] vastaanotettu, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Jos haluat tarkistaa, onko käyttäjä pyytänyt uuden KMS-avaimen luomista, suodata kms.data.method=create ja kms.data.type=KEY_COLLECTION:

    Sinun pitäisi löytää seuraava merkintä:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] vastaanotettu, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Jos haluat tarkistaa, onko käyttäjä pyytänyt uuden KMS-resurssiobjektin (KRO) luomista, kun tila tai muu suojattu resurssi luodaan, suodata kms.data.method=create ja kms.data.type=RESOURCE_COLLECTION:

    Sinun pitäisi löytää seuraava merkintä: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] vastaanotettu, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Hybriditietojen tietoturvan tilan seuranta

Partner Hubin tilaindikaattori näyttää, onko Multi-Tenant Hybrid Data Security -käyttöönotossa kaikki kunnossa. Jos haluat ennakoivampia hälytyksiä, tilaa sähköposti-ilmoitukset. Sinulle ilmoitetaan, kun palveluun vaikuttavia hälytyksiä tai ohjelmistopäivityksiä tulee.
1

Valitse Partner Hubissa vasemmalla puolella olevasta valikosta Palvelut .

2

Etsi Pilvipalvelut-osiosta Hybrid Data Security ja napsauta Muokkaa asetuksia.

Hybriditietojen suojausasetukset -sivu tulee näkyviin.
3

Kirjoita Sähköposti-ilmoitukset-osioon yksi tai useampi sähköpostiosoite pilkuilla erotettuna ja paina Enter.

Hallitse HDS-käyttöönottoa

Hallitse HDS:n käyttöönottoa

Käytä tässä kuvattuja tehtäviä Hybrid Data Security -käyttöönoton hallintaan.

Aseta klusterin päivitysaikataulu

Hybrid Data Securityn ohjelmistopäivitykset tehdään automaattisesti klusteritasolla, mikä varmistaa, että kaikissa solmuissa on aina sama ohjelmistoversio. Päivitykset tehdään klusterin päivitysaikataulun mukaisesti. Kun ohjelmistopäivitys tulee saataville, voit päivittää klusterin manuaalisesti ennen suunniteltua päivitysaikaa. Voit määrittää tietyn päivitysaikataulun tai käyttää oletusaikataulua 3:00 AM Daily United States: Amerikka/Los Angeles. Voit myös tarvittaessa lykätä tulevaa päivitystä.

Päivityksen aikataulun asettaminen:

1

Kirjaudu sisään Partner Hubiin.

2

Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

3

Etsi Cloud Services -osiosta Hybrid Data Security ja napsauta Set up (Määritä).

4

Valitse klusteri Hybriditietoturvaresurssit-sivulla.

5

Napsauta Cluster Settings -välilehteä.

6

Valitse klusterin asetukset -sivun kohdassa Päivitysaikataulu päivitysaikataulun kellonaika ja aikavyöhyke.

Huomautus: Aikavyöhykkeen alla näkyy seuraava saatavilla oleva päivityspäivä ja -aika. Voit tarvittaessa siirtää päivityksen seuraavalle päivälle napsauttamalla Postpone by 24 hours.

Solmun kokoonpanon muuttaminen

Joskus sinun on ehkä muutettava Hybrid Data Security -solmun kokoonpanoa esimerkiksi seuraavista syistä:

  • x.509-varmenteiden muuttaminen vanhentumisen tai muiden syiden vuoksi.

    Emme tue varmenteen CN-verkkotunnuksen nimen muuttamista. Verkkotunnuksen on vastattava klusterin rekisteröinnissä käytettyä alkuperäistä verkkotunnusta.

  • Tietokanta-asetusten päivittäminen PostgreSQL- tai Microsoft SQL Server -tietokannan kopion vaihtamiseksi.

    Emme tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin tai päinvastoin. Jos haluat vaihtaa tietokantaympäristön, aloita uusi Hybrid Data Security -käyttöönotto.

  • Uuden kokoonpanon luominen uuden datakeskuksen valmistelemiseksi.

Hybrid Data Security käyttää turvallisuussyistä myös palvelutilien salasanoja, joiden käyttöikä on yhdeksän kuukautta. Kun HDS-asennustyökalu on luonut nämä salasanat, otat ne käyttöön kussakin HDS-solmussa ISO-määritystiedostossa. Kun organisaatiosi salasanojen voimassaolo lähestyy päättymistään, saat Webex-tiimiltä ilmoituksen, jossa pyydetään palauttamaan konetilisi salasana. (Sähköpostiviestissä on teksti: "Päivitä salasana konetilin API:n avulla."). Jos salasanasi eivät ole vielä vanhentuneet, työkalu antaa sinulle kaksi vaihtoehtoa:

  • Pehmeä nollaus- Vanha ja uusi salasana toimivat molemmat enintään 10 päivän ajan. Käytä tätä ajanjaksoa ISO-tiedoston korvaamiseen solmuissa vähitellen.

  • Hard reset- Vanhat salasanat lakkaavat toimimasta välittömästi.

Jos salasanasi vanhenevat ilman nollausta, se vaikuttaa HDS-palveluun ja edellyttää välitöntä kovaa nollausta ja ISO-tiedoston vaihtamista kaikissa solmuissa.

Tämän menettelyn avulla voit luoda uuden ISO-konfiguraatiotiedoston ja soveltaa sitä klusteriin.

Ennen kuin aloitat

  • HDS Setup -työkalu toimii Docker-säiliönä paikallisella koneella. Voit käyttää sitä suorittamalla Dockerin kyseisellä koneella. Asennusprosessi edellyttää Partner Hub -tilin tunnistetietoja, joilla on kumppanin täydet järjestelmänvalvojan oikeudet .

    Jos HDS Setup -työkalu toimii ympäristössäsi välityspalvelimen takana, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien avulla, kun käynnistät Docker-säiliön osoitteessa 1.e. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:

    Kuvaus

    Muuttuja

    HTTP-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTP_PROXY=http://SERVER_IP:PORTTI IP:PORTTI

    HTTPS-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTPS_PROXY=http://SERVER_IP:PORTTI

    HTTP-välityspalvelin todennuksen kanssa

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

    HTTPS-välityspalvelin todennuksella

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

  • Tarvitset kopion nykyisestä kokoonpanon ISO-tiedostosta, jotta voit luoda uuden kokoonpanon. ISO-tietokanta sisältää pääavaimen, jolla PostgreSQL- tai Microsoft SQL Server -tietokanta salataan. Tarvitset ISO-tietoa, kun teet määritysmuutoksia, kuten tietokannan valtuustiedot, varmenteen päivitykset tai valtuutuskäytännön muutokset.

1

Suorita HDS-asennustyökalu Dockerin avulla paikallisella koneella.

  1. Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

    Tavallisissa ympäristöissä:

    docker rmi ciscocitg/hds-setup:stable

    FedRAMP-ympäristöissä:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Tämä vaihe puhdistaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

  2. Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti:

    docker login -u hdscustomersro

  3. Kirjoita salasanakehotteeseen tämä hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Lataa uusin vakaa imago ympäristöllesi:

    Tavallisissa ympäristöissä:

    docker pull ciscocitg/hds-setup:stable

    FedRAMP-ympäristöissä:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Varmista, että otat käyttöön uusimman asennustyökalun tätä toimenpidettä varten. Ennen 22. helmikuuta 2018 luoduissa työkalun versioissa ei ole salasanan palautusnäyttöjä.

  5. Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:

    • Tavallisissa ympäristöissä ilman välityspalvelinta:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • FedRAMP-ympäristöissä ilman välityspalvelinta:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080".

  6. Ota selaimella yhteys osoitteeseen localhost, http://127.0.0.1:8080.

    Setup-työkalu ei tue yhteyden muodostamista localhostiin http://localhost:8080 kautta. Käytä http://127.0.0.1:8080 muodostaaksesi yhteyden localhostiin.

  7. Anna pyydettäessä Partner Hub -asiakkaan kirjautumistiedot ja jatka sitten klikkaamalla Accept .

  8. Tuo nykyinen kokoonpano ISO-tiedosto.

  9. Suorita työkalu loppuun ja lataa päivitetty tiedosto noudattamalla ohjeita.

    Voit sammuttaa Setup-työkalun kirjoittamalla CTRL+C.

  10. Luo varmuuskopio päivitetystä tiedostosta toiseen datakeskukseen.

2

Jos sinulla on vain yksi HDS-solmu, jossa on käytössä, luo uusi Hybrid Data Security -solmun VM ja rekisteröi se käyttämällä uutta konfigurointi-ISO-tiedostoa. Tarkempia ohjeita on osoitteessa Create and register more nodes.

  1. Asenna HDS-isännän OVA.

  2. Määritä HDS VM.

  3. Kiinnitä päivitetty kokoonpanotiedosto.

  4. Rekisteröi uusi solmu Partner Hubissa.

3

Asenna ISO-tiedosto olemassa oleviin HDS-solmuihin, joissa on käytössä vanhempi kokoonpanotiedosto. Suorita seuraavat toimenpiteet jokaiselle solmulle vuorotellen ja päivitä jokainen solmu ennen seuraavan solmun sammuttamista:

  1. Sammuta virtuaalikone.

  2. Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia.

  3. Napsauta CD/DVD-asema 1, valitse vaihtoehto mount from an ISO file (kiinnitä ISO-tiedostosta) ja selaa paikkaan, josta latasit uuden kokoonpanon ISO-tiedoston.

  4. Tarkista Kytke virta päälle.

  5. Tallenna muutokset ja käynnistä virtuaalikone.

4

Toista vaihe 3 korvataksesi kokoonpano jokaisessa jäljellä olevassa solmussa, jossa on käytössä vanha kokoonpano.

Sammuta estetty ulkoinen DNS-resoluutiotila

Kun rekisteröit solmun tai tarkistat solmun välityspalvelinkokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex -pilveen. Jos solmun DNS-palvelin ei pysty ratkaisemaan julkisia DNS-nimiä, solmu siirtyy automaattisesti estetty ulkoinen DNS-resoluutio -tilaan.

Jos solmut pystyvät ratkaisemaan julkiset DNS-nimet sisäisten DNS-palvelimien kautta, voit poistaa tämän tilan käytöstä suorittamalla välityspalvelinyhteystestin uudelleen kussakin solmussa.

Ennen kuin aloitat

Varmista, että sisäiset DNS-palvelimesi pystyvät ratkaisemaan julkisia DNS-nimiä ja että solmusi voivat kommunikoida niiden kanssa.
1

Avaa verkkoselaimessa Hybrid Data Security -solmun käyttöliittymä (esimerkiksi IP-osoite/asetukset, https://192.0.2.0/setup), , syötä solmulle määrittämäsi järjestelmänvalvojan tunnukset ja napsauta sitten Kirjaudu sisään.

2

Siirry osoitteeseen Overview (oletussivu).

Kun se on käytössä, Estetty ulkoinen DNS-resoluutio on asetettu Kyllä.

3

Siirry Trust Store & Proxy -sivulle.

4

Napsauta Tarkista välityspalvelinyhteys.

Jos näet viestin, jonka mukaan ulkoinen DNS-resoluutio ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen, ja se pysyy tässä tilassa. Muussa tapauksessa, kun olet käynnistänyt solmun uudelleen ja palannut sivulle Overview , Blocked External DNS Resolution -asetuksen pitäisi olla ei.

Mitä tehdä seuraavaksi

Toista välityspalvelinyhteyden testaus Hybrid Data Security -klusterin jokaisessa solmussa.

Poista solmu

Tällä menettelyllä voit poistaa Hybrid Data Security -solmun Webex-pilvestä. Kun olet poistanut solmun klusterista, poista virtuaalikone, jotta suojaustietoihin ei pääse enää käsiksi.
1

Kirjaudu tietokoneen VMware vSphere -asiakasohjelmalla ESXi-virtuaali-isäntäkoneeseen ja sammuta virtuaalikone.

2

Poista solmu:

  1. Kirjaudu sisään Partner Hubiin ja valitse sitten Palvelut.

  2. Valitse Hybriditietoturva-kortissa Näytä kaikki , jolloin Hybriditietoturvaresurssit-sivu tulee näkyviin.

  3. Valitse klusteri näyttääksesi sen yleiskatsauspaneelin.

  4. Napsauta solmua, jonka haluat poistaa.

  5. Napsauta oikealle avautuvassa paneelissa Deregister this node .

  6. Voit myös poistaa solmun rekisteröinnin napsauttamalla ... solmun oikealla puolella ja valitsemalla Poista tämä solmu.

3

Poista VM vSphere-asiakasohjelmassa. (Napsauta hiiren kakkospainikkeella VM:ää vasemmassa navigointipaneelissa ja valitse Poista.)

Jos et poista VM:ää, muista poistaa konfigurointi-ISO-tiedosto. Ilman ISO-tiedostoa et voi käyttää VM:ää turvatietojen käyttämiseen.

Katastrofista palautuminen varalla olevan datakeskuksen avulla

Hybriditietoturvaklusterin tarjoama kriittisin palvelu on avainten luominen ja tallentaminen, joita käytetään viestien ja muun Webex-pilveen tallennetun sisällön salaamiseen. Jokaisen organisaatiossa olevan käyttäjän, joka on määritetty Hybrid Data Security -palveluun, uudet avainten luontipyynnöt ohjataan klusteriin. Klusteri on myös vastuussa luomiensa avainten palauttamisesta kaikille käyttäjille, joilla on oikeus hakea niitä, esimerkiksi keskusteluavaruuden jäsenille.

Koska klusterin kriittisenä tehtävänä on tarjota nämä avaimet, on ehdottoman tärkeää, että klusteri pysyy toiminnassa ja että asianmukaisia varmuuskopioita ylläpidetään. Hybriditietoturvatietokannan tai skeemassa käytetyn konfigurointi-ISO-tietokannan menetys johtaa asiakassisällön KORJAAMATTOMAAN HÄVIÖÖN. Seuraavat käytännöt ovat pakollisia tällaisten menetysten estämiseksi:

Jos katastrofi aiheuttaa sen, että ensisijaisen tietokeskuksen HDS-käyttöönotto ei ole käytettävissä, siirry manuaalisesti varakeskukseen vikasietoisesti tämän ohjeen mukaisesti.

Ennen kuin aloitat

Poista kaikkien solmujen rekisteröinti Partner Hubista, kuten kohdassa Remove a Node on mainittu. Käytä uusinta ISO-tiedostoa, joka on määritetty aiemmin aktiivisena olleen klusterin solmuja varten, suorittaaksesi alla mainitun vikasietoisen siirtomenettelyn.
1

Käynnistä HDS Setup -työkalu ja noudata kohdassa Create a Configuration ISO for the HDS Hosts mainittuja ohjeita.

2

Suorita konfigurointiprosessi loppuun ja tallenna ISO-tiedosto paikkaan, josta se on helppo löytää.

3

Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmään. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää tietokannan sisällön pääsalausavaimen. Rajoita käyttöoikeus vain niille Hybrid Data Securityn järjestelmänvalvojille, joiden pitäisi tehdä määritysmuutoksia.

4

Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia.

5

Napsauta Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.

Varmista, että Connected ja Connect at power on on valittuna, jotta päivitetyt konfiguraatiomuutokset tulevat voimaan solmujen käynnistämisen jälkeen.

6

Kytke HDS-solmuun virta ja varmista, ettei hälytyksiä ole kuulunut vähintään 15 minuuttiin.

7

Rekisteröi solmu Partner-keskukseen. Katso Rekisteröi klusterin ensimmäinen solmu.

8

Toista prosessi jokaiselle valmiustietokeskuksen solmulle.

Mitä tehdä seuraavaksi

Jos ensisijainen datakeskus aktivoituu uudelleen vikatilanteen jälkeen, poista varalla olevan datakeskuksen solmujen rekisteröinti ja toista ISO:n määrittäminen ja ensisijaisen datakeskuksen solmujen rekisteröinti edellä mainitulla tavalla.

(Valinnainen) Irrota ISO-levy HDS-konfiguraation jälkeen

HDS:n vakiokokoonpanossa ISO-levy on asennettuna. Jotkut asiakkaat eivät kuitenkaan halua jättää ISO-tiedostoja jatkuvasti asennettuna. Voit poistaa ISO-tiedoston liitännän, kun kaikki HDS-solmut ovat ottaneet uuden kokoonpanon käyttöön.

Voit edelleen käyttää ISO-tiedostoja kokoonpanomuutosten tekemiseen. Kun luot uuden ISO-tietolevyn tai päivität ISO-tietolevyn asetustyökalun avulla, päivitetty ISO-tietolevy on asennettava kaikkiin HDS-solmuihin. Kun kaikki solmusi ovat ottaneet konfiguraatiomuutokset käyttöön, voit poistaa ISO-levyn kiinnityksen uudelleen tällä tavalla.

Ennen kuin aloitat

Päivitä kaikki HDS-solmut versioon 2021.01.22.4720 tai uudempaan.

1

Sammuta yksi HDS-solmuistasi.

2

Valitse vCenter Server Appliance -laitteessa HDS-solmu.

3

Valitse Muokkaa asetuksia > CD/DVD-asema ja poista valinta Datastore ISO File.

4

Kytke HDS-solmuun virta ja varmista, että hälytyksiä ei ole tullut vähintään 20 minuuttiin.

5

Toista tämä vuorotellen jokaiselle HDS-solmulle.

Vianmääritys hybridi tietoturva

Näytä hälytykset ja vianmääritys

Hybriditietoturvakäytön katsotaan olevan käyttökelvoton, jos kaikki klusterin solmut eivät ole tavoitettavissa tai jos klusteri toimii niin hitaasti, että pyynnöt keskeytyvät. Jos käyttäjät eivät pääse Hybrid Data Security -klusteriin, he kokevat seuraavia oireita:

  • Uusia tiloja ei voida luoda (uusia avaimia ei voida luoda).

  • Viestien ja tilojen otsikot eivät onnistu salauksen purkamisessa:

    • Tilaan on lisätty uusia käyttäjiä (ei pysty hakemaan avaimia).

    • Tilan nykyiset käyttäjät, jotka käyttävät uutta asiakasta (eivät pysty hakemaan avaimia).

  • Tilan nykyiset käyttäjät jatkavat menestyksekkäästi toimintaansa niin kauan kuin heidän asiakkaillaan on salausavainten välimuisti.

On tärkeää, että valvot hybriditietoturvaklusteriasi asianmukaisesti ja käsittelet kaikki hälytykset nopeasti, jotta vältät palveluhäiriöt.

Hälytykset

Jos hybriditietoturva-asetuksissa on ongelmia, Partner Hub näyttää hälytyksiä organisaation ylläpitäjälle ja lähettää sähköpostiviestejä määritettyyn sähköpostiosoitteeseen. Hälytykset kattavat monia yleisiä skenaarioita.

Taulukko 1. Yleiset ongelmat ja niiden ratkaisemiseen tarvittavat vaiheet

Hälytys

Toiminta

Paikallisen tietokannan käyttöhäiriö.

Tarkista tietokantavirheet tai lähiverkko-ongelmat.

Paikallisen tietokantayhteyden epäonnistuminen.

Tarkista, että tietokantapalvelin on käytettävissä ja että solmun määrityksessä käytettiin oikeaa palvelutilin tunnistetietoja.

Pilvipalvelun käyttöhäiriö.

Tarkista, että solmut voivat käyttää Webex-palvelimia osoitteessa Ulkoiset yhteysvaatimukset määritellyllä tavalla.

Pilvipalvelun rekisteröinnin uusiminen.

Pilvipalveluihin rekisteröityminen lopetettiin. Rekisteröinnin uusiminen on käynnissä.

Pilvipalvelun rekisteröinti lopetettu.

Rekisteröinti pilvipalveluihin lopetettu. Palvelu suljetaan.

Palvelua ei ole vielä aktivoitu.

Aktivoi HDS Partner Hubissa.

Määritetty verkkotunnus ei vastaa palvelimen varmennetta.

Varmista, että palvelimen varmenne vastaa määritettyä palvelun aktivointialuetta.

Todennäköisin syy on se, että varmenteen CN-nimike on äskettäin vaihdettu ja se on nyt eri kuin alkuperäisen asennuksen aikana käytetty CN-nimike.

Pilvipalveluiden todennus epäonnistui.

Tarkista palvelutilin tunnusten oikeellisuus ja mahdollinen vanhentuminen.

Paikallista avainsäilytystiedostoa ei onnistuttu avaamaan.

Tarkista paikallisen avainsäilytystiedoston eheys ja salasanan oikeellisuus.

Paikallisen palvelimen varmenne on virheellinen.

Tarkista palvelimen varmenteen voimassaoloaika ja varmista, että sen on myöntänyt luotettava varmentaja.

Metriikoita ei voi lähettää.

Tarkista paikallisverkon pääsy ulkoisiin pilvipalveluihin.

/media/configdrive/hds-hakemistoa ei ole olemassa.

Tarkista virtuaalisen isäntäkoneen ISO-kiinnityskonfiguraatio. Tarkista, että ISO-tiedosto on olemassa, että se on määritetty liitettäväksi uudelleenkäynnistyksen yhteydessä ja että se liitetään onnistuneesti.

Vuokralaisen organisaation asetuksia ei ole saatu valmiiksi lisättyjen organisaatioiden osalta.

Viimeistele asennus luomalla CMK:t äskettäin lisätyille vuokralaisorganisaatioille HDS Setup Tool -työkalun avulla.

Vuokralaisen organisaation asetuksia ei ole saatu valmiiksi poistettujen organisaatioiden osalta.

Viimeistele asennus peruuttamalla HDS Setup Tool -työkalulla poistettujen vuokralaisorganisaatioiden CMK-tunnukset.

Vianmääritys hybridi tietoturva

Käytä seuraavia yleisiä ohjeita, kun ratkaiset Hybrid Data Securityn ongelmia.
1

Tarkista Partner Hubista mahdolliset hälytykset ja korjaa kaikki sieltä löytyvät kohteet. Katso viitteeksi alla oleva kuva.

2

Tarkista syslog-palvelimen tulosteet Hybrid Data Security -käyttöönoton toiminnan osalta. Suodata sanoja kuten "Varoitus" ja "Virhe" vianmäärityksen helpottamiseksi.

3

Ota yhteyttä osoitteeseen Ciscon tuki.

Muut huomautukset

Hybriditietoturvan tunnetut ongelmat

  • Jos sammutat Hybrid Data Security -klusterin (poistamalla sen Partner Hubissa tai sammuttamalla kaikki solmut), menetät määritys-ISO-tiedoston tai menetät pääsyn avainsäilytystietokantaan, asiakasorganisaatioiden Webex App -käyttäjät eivät voi enää käyttää henkilöluettelossaan olevia tiloja, jotka on luotu KMS-avaimilla. Meillä ei ole tällä hetkellä ratkaisua tai korjausta tähän ongelmaan, ja kehotamme sinua olemaan sammuttamatta HDS-palveluja, kun ne käsittelevät aktiivisia käyttäjätilejä.

  • Asiakas, jolla on olemassa oleva ECDH-yhteys KMS-järjestelmään, säilyttää yhteyden tietyn ajan (todennäköisesti tunnin).

Käytä OpenSSL:ää PKCS12-tiedoston luomiseen

Ennen kuin aloitat

  • OpenSSL on yksi työkalu, jota voidaan käyttää PKCS12-tiedoston saattamiseen oikeaan muotoon HDS-asennustyökalun lataamista varten. On muitakin tapoja tehdä tämä, emmekä me tue tai suosittele yhtä tapaa toisen sijaan.

  • Jos päätät käyttää OpenSSL:ää, annamme tämän ohjeen, jonka avulla voit luoda tiedoston, joka täyttää X.509-varmenteen vaatimukset osoitteessa X.509 Certificate Requirements. Ymmärrä nämä vaatimukset ennen kuin jatkat.

  • Asenna OpenSSL tuettuun ympäristöön. Katso ohjelmisto ja dokumentaatio osoitteesta https://www.openssl.org .

  • Luo yksityinen avain.

  • Aloita tämä toimenpide, kun saat palvelinvarmenteen varmentajalta.

1

Kun saat palvelinvarmenteen varmentajalta, tallenna se osoitteeseen hdsnode.pem.

2

Näytä varmenne tekstinä ja tarkista tiedot.

openssl x509 -text -noout -in hdsnode.pem

3

Luo tekstieditorilla varmennepakettitiedosto nimeltä hdsnode-bundle.pem. Pakettitiedoston on sisällettävä palvelinvarmenne, mahdolliset välivarmentajan varmenteet ja päävarmentajan varmenteet alla olevassa muodossa:

-----BEGIN CERTIFICATE----- ### Palvelinsertifikaatti. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----

4

Luo .p12-tiedosto, jonka nimi on kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Tarkista palvelimen varmenteen tiedot.

  1. openssl pkcs12 -in hdsnode.p12

  2. Kirjoita kehotteeseen salasana salataksesi yksityisen avaimen niin, että se näkyy tulosteessa. Tarkista sitten, että yksityinen avain ja ensimmäinen varmenne sisältävät rivit friendlyName: kms-private-key.

    Esimerkki:

    bash$ openssl pkcs12 -in hdsnode.p12 Anna tuontisalasana: MAC tarkistettu OK Laukun attribuutit friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Keskeiset ominaisuudet:  Syötä PEM-salasana: Verifying - Syötä PEM-salasana: -----BEGIN ENCRYPTED PRIVATE KEY-----  -----END ENCRYPTED PRIVATE KEY----- Laukun ominaisuudet friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE----- Laukku Attribuutit friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE-----

Mitä tehdä seuraavaksi

Palaa osoitteeseen Suorita Hybriditietoturvan edellytykset. Käytät hdsnode.p12 -tiedostoa ja sille asettamaasi salasanaa kohdassa Luo konfigurointi-ISO HDS-isäntäasemille.

Voit käyttää näitä tiedostoja uudelleen uuden varmenteen pyytämiseen, kun alkuperäinen varmenne vanhenee.

HDS-solmujen ja pilvipalvelun välinen liikenne

Lähtevien mittareiden keräysliikenne

Hybriditietoturvasolmut lähettävät tiettyjä mittareita Webex-pilveen. Näihin kuuluvat järjestelmän metriikat, jotka koskevat kasan enimmäismäärää, käytettyä kasaa, suorittimen kuormitusta ja säikeiden lukumäärää, synkronisten ja asynkronisten säikeiden metriikat, salausyhteyksien kynnysarvoa, viiveaikaa tai pyyntöjonon pituutta koskevien hälytysten metriikat, tietovaraston metriikat ja salausyhteyksien metriikat. Solmut lähettävät salatun avainmateriaalin kaistan ulkopuolisen (pyynnöstä erillisen) kanavan kautta.

Saapuva liikenne

Hybriditietoturvasolmut vastaanottavat Webex-pilvestä seuraavanlaista saapuvaa liikennettä:

  • Asiakkaiden salauspyynnöt, jotka salauspalvelu ohjaa eteenpäin.

  • Solmuohjelmiston päivitykset

Määritä Squid-välityspalvelimet hybridi-dataturvallisuutta varten

Websocket ei voi muodostaa yhteyttä Squid-proxyn kautta

HTTPS-liikennettä tarkastavat Squid-välityspalvelimet voivat häiritä Hybrid Data Securityn edellyttämien websocket-yhteyksien (wss:) muodostamista. Näissä osioissa annetaan ohjeita siitä, miten Squidin eri versiot voidaan konfiguroida sivuuttamaan wss: liikenne palvelujen moitteettoman toiminnan varmistamiseksi.

Kalmarit 4 ja 5

Lisää on_unsupported_protocol -direktiivi osoitteeseen squid.conf:

on_unsupported_protocol tunneli kaikki

Squid 3.5.27

Testasimme onnistuneesti Hybrid Data Securitya seuraavien sääntöjen avulla, jotka lisättiin osoitteeseen squid.conf. Nämä säännöt voivat muuttua, kun kehitämme ominaisuuksia ja päivitämme Webex-pilveä.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Uudet ja muuttuneet tiedot

Uudet ja muuttuneet tiedot

Tämä taulukko kattaa uudet ominaisuudet tai toiminnot, muutokset olemassa olevaan sisältöön ja kaikki merkittävät virheet, jotka on korjattu osoitteessa Deployment Guide for Multi-Tenant Hybrid Data Security.

Päiväys

Tehdyt muutokset

tammikuu 08, 2025

Lisätty huomautus kohtaan Suorita alkuasetukset ja lataa asennustiedostot , jossa todetaan, että asennusprosessin tärkeä vaihe on napsauttamalla Partner Hubin HDS-kortin Set up .

tammikuu 07, 2025

Päivitetty Virtual Host -vaatimukset, Hybrid Data Security Deployment Task Flow ja Install the HDS Host OVA osoittamaan ESXi 7.0:n uudet vaatimukset.

13. joulukuuta 2024

Julkaistu ensimmäisen kerran.

Multi-Tenant Hybrid Data Security -tietoturvan poistaminen käytöstä

Multi-Tenant HDS:n deaktivointitehtävän kulku

Voit poistaa Multi-Tenant HDS:n käytöstä kokonaan noudattamalla seuraavia ohjeita.

Ennen kuin aloitat

Tämän tehtävän saa suorittaa vain kumppanin täysivaltainen järjestelmänvalvoja.
1

Poista kaikki asiakkaat kaikista klustereistasi, kuten kohdassa Remove tenant organizations on mainittu.

2

Peruuta kaikkien asiakkaiden CMK:t, kuten mainitaan osoitteessa Peruuta HDS:stä poistettujen vuokralaisten CMK:t..

3

Poista kaikki solmut kaikista klustereistasi, kuten kohdassa Remove a Node on mainittu.

4

Poista kaikki klusterit Partner Hubista jommallakummalla seuraavista kahdesta menetelmästä.

  • Napsauta poistettavaa klusteria ja valitse yleiskatsaussivun oikeassa yläkulmassa Delete this Cluster .
  • Napsauta Resurssit-sivulla ... klusterin oikealla puolella ja valitse Poista klusteri.
5

Napsauta Asetukset -välilehteä Hybriditietojen suojauksen yleiskatsaussivulla ja napsauta Deactivate HDS HDS Status -kortissa.

Aloita Multi-Tenant Hybrid Data Security -palvelun käyttäminen

Multi-Tenant Hybrid Data Security - yleiskatsaus

Webex Appin suunnittelussa on alusta alkaen keskitytty ensisijaisesti tietoturvaan. Tämän turvallisuuden kulmakivi on päästä päähän -sisällön salaus, jonka Webex App -asiakkaat mahdollistavat avaintenhallintapalvelun (Key Management Service, KMS) kanssa. KMS vastaa niiden salausavainten luomisesta ja hallinnasta, joita asiakkaat käyttävät viestien ja tiedostojen dynaamiseen salaamiseen ja salauksen purkamiseen.

Oletusarvoisesti kaikki Webex App -asiakkaat saavat päästä päähän -salauksen, jonka dynaamiset avaimet on tallennettu pilven KMS-järjestelmään, Ciscon tietoturva-alueelle. Hybrid Data Security siirtää KMS:n ja muut tietoturvaan liittyvät toiminnot yrityksen datakeskukseen, joten salatun sisällön avaimet eivät ole kenelläkään muulla kuin sinulla.

Multi-Tenant Hybrid Data Security antaa organisaatioille mahdollisuuden hyödyntää HDS:ää luotettavan paikallisen kumppanin kautta, joka voi toimia palveluntarjoajana ja hallita tiloissa tapahtuvaa salausta ja muita tietoturvapalveluja. Tämä asetus antaa kumppaniorganisaatiolle täydellisen hallinnan salausavainten käyttöönotosta ja hallinnasta ja varmistaa, että asiakasorganisaatioiden käyttäjätiedot ovat turvassa ulkopuoliselta käytöltä. Kumppaniorganisaatiot asentavat HDS-instansseja ja luovat HDS-klustereita tarpeen mukaan. Kukin instanssi voi tukea useita asiakasorganisaatioita toisin kuin tavallinen HDS-käyttöönotto, joka on rajoitettu yhteen organisaatioon.

Vaikka kumppaniorganisaatiot hallitsevat käyttöönottoa ja hallintaa, niillä ei ole pääsyä asiakkaiden tuottamiin tietoihin ja sisältöön. Tämä käyttöoikeus on rajoitettu asiakasorganisaatioihin ja niiden käyttäjiin.

Näin myös pienemmät organisaatiot voivat hyödyntää HDS:ää, koska luotettava paikallinen kumppani omistaa avaintenhallintapalvelun ja tietoturvainfrastruktuurin, kuten datakeskukset.

Miten Multi-Tenant Hybrid Data Security tarjoaa tietojen suvereenisuutta ja tiedonhallintaa

  • Käyttäjän luoma sisältö on suojattu ulkopuoliselta käytöltä, kuten pilvipalvelujen tarjoajilta.
  • Paikalliset luotetut kumppanit hallinnoivat niiden asiakkaiden salausavaimia, joihin niillä on jo vakiintunut suhde.
  • Mahdollisuus paikalliseen tekniseen tukeen, jos kumppani tarjoaa sitä.
  • Tukee kokousten, viestien ja puhelujen sisältöä.

Tämän asiakirjan tarkoituksena on auttaa kumppaniorganisaatioita perustamaan ja hallitsemaan asiakkaita Multi-Tenant Hybrid Data Security -järjestelmässä.

Roolit monitilaaja-hybriditietoturvassa

  • Kumppanin täysi järjestelmänvalvoja - Voi hallita kaikkien kumppanin hallinnoimien asiakkaiden asetuksia. Voit myös määrittää ylläpitäjärooleja organisaation nykyisille käyttäjille ja määrittää tietyt asiakkaat kumppanien ylläpitäjien hallinnoitaviksi.
  • Kumppanin järjestelmänvalvoja - Voi hallita niiden asiakkaiden asetuksia, jotka järjestelmänvalvoja on määrittänyt tai jotka on osoitettu käyttäjälle.
  • Täysi järjestelmänvalvoja - Kumppaniorganisaation järjestelmänvalvoja, jolla on valtuudet suorittaa tehtäviä, kuten organisaation asetusten muuttaminen, lisenssien hallinta ja roolien jakaminen.
  • Kaikkien asiakasorganisaatioiden kokonaisvaltainen Multi-Tenant HDS -asennus ja -hallinta - Kumppanilta vaaditaan täydet järjestelmänvalvojan ja täyden järjestelmänvalvojan oikeudet.
  • Määritettyjen vuokralaisorganisaatioiden hallinta - Kumppanin järjestelmänvalvojan ja täyden järjestelmänvalvojan oikeudet vaaditaan.

Turvallisuusalueen arkkitehtuuri

Webexin pilviarkkitehtuurissa erityyppiset palvelut on jaettu erillisiin alueisiin eli luottamusalueisiin, kuten alla on kuvattu.

Erillisalueet (ilman hybriditietoturvaa)

Jotta hybriditietoturvaa voidaan ymmärtää paremmin, tarkastellaan ensin tätä puhdasta pilvitapausta, jossa Cisco tarjoaa kaikki toiminnot pilvialueillaan. Identiteettipalvelu, joka on ainoa paikka, jossa käyttäjät voidaan suoraan yhdistää henkilökohtaisiin tietoihinsa, kuten sähköpostiosoitteeseen, on loogisesti ja fyysisesti erillään tietoturva-alueesta datakeskuksessa B. Molemmat ovat puolestaan erillään alueesta, johon salattu sisältö lopulta tallennetaan, datakeskuksessa C.

Tässä kaaviossa asiakas on käyttäjän kannettavassa tietokoneessa oleva Webex-sovellus, joka on todennettu tunnistuspalvelun avulla. Kun käyttäjä laatii viestin lähetettäväksi tilaan, seuraavat vaiheet tapahtuvat:

  1. Asiakas luo suojatun yhteyden avaintenhallintapalveluun (KMS) ja pyytää sitten avainta viestin salaamista varten. Suojattu yhteys käyttää ECDH:ta, ja KMS salaa avaimen AES-256-pääavaimella.

  2. Viesti salataan ennen kuin se lähtee asiakkaalta. Asiakas lähettää sen indeksointipalveluun, joka luo salattuja hakuindeksejä sisällön myöhempien hakujen helpottamiseksi.

  3. Salattu viesti lähetetään vaatimustenmukaisuuden tarkistamista varten vaatimustenmukaisuuspalveluun.

  4. Salattu viesti tallennetaan tallennuskenttään.

Kun otat käyttöön hybriditietoturvan, siirrät tietoturvatoiminnot (KMS, indeksointi ja vaatimustenmukaisuus) toimitilakeskukseen. Muut Webexin muodostavat pilvipalvelut (kuten identiteetti ja sisällön tallennus) pysyvät Ciscon vastuulla.

Yhteistyö muiden organisaatioiden kanssa

Organisaatiosi käyttäjät saattavat käyttää Webex App -sovellusta säännöllisesti yhteistyöhön muiden organisaatioiden ulkopuolisten osallistujien kanssa. Kun joku käyttäjistäsi pyytää avainta tilaan, joka on organisaatiosi omistuksessa (koska sen on luonut joku käyttäjistäsi), KMS lähettää avaimen asiakkaalle ECDH-suojatun kanavan kautta. Kun tilan avain on kuitenkin toisen organisaation hallussa, KMS-järjestelmäsi reitittää pyynnön Webex-pilveen erillisen ECDH-kanavan kautta saadakseen avaimen asianmukaiselta KMS-järjestelmältä ja palauttaa avaimen sitten käyttäjälle alkuperäisen kanavan kautta.

Organisaatiossa A toimiva KMS-palvelu validoi yhteydet muiden organisaatioiden KMS-palveluihin x.509 PKI -varmenteiden avulla. Lisätietoja x.509-varmenteen luomisesta Multi-Tenant Hybrid Data Security -käyttöönoton yhteydessä on osoitteessa Prepare your Environment .

Hybriditietoturvan käyttöönottoa koskevat odotukset

Hybriditietoturvan käyttöönotto edellyttää merkittävää sitoutumista ja tietoisuutta riskeistä, joita salausavaimien omistamiseen liittyy.

Hybriditietoturvan käyttöönottamiseksi sinun on annettava seuraavat tiedot:

Jos Hybrid Data Securityn luomasi konfigurointi-ISO tai toimittamasi tietokanta katoaa kokonaan, avaimet menetetään. Avaimen menetys estää käyttäjiä purkamasta tilasisältöä ja muita Webex App -sovelluksen salattuja tietoja. Jos näin käy, voit rakentaa uuden käyttöönoton, mutta vain uusi sisältö on näkyvissä. Jotta vältät pääsyn menetyksen tietoihin, sinun on:

  • Hallitse tietokannan ja konfigurointi-ISO:n varmuuskopiointia ja palautusta.

  • Valmistaudu nopeaan palautukseen, jos tapahtuu katastrofi, kuten tietokannan levyn vikaantuminen tai tietokeskuksen katastrofi.

Avaimia ei voi siirtää takaisin pilvipalveluun HDS:n käyttöönoton jälkeen.

Korkean tason asennusprosessi

Tässä asiakirjassa käsitellään Multi-Tenant Hybrid Data Security -käyttöönoton asennusta ja hallintaa:

  • Hybrid Data Securityn perustaminen- Tähän sisältyy tarvittavan infrastruktuurin valmistelu ja Hybrid Data Security -ohjelmiston asentaminen, HDS-klusterin rakentaminen, vuokralaisorganisaatioiden lisääminen klusteriin ja niiden Customer Main Keys (CMK) -avaimien hallinta. Näin asiakasorganisaatioiden kaikki käyttäjät voivat käyttää Hybrid Data Security -klusteriasi tietoturvatoimintoihin.

    Asetus-, aktivointi- ja hallintavaiheita käsitellään yksityiskohtaisesti kolmessa seuraavassa luvussa.

  • Ylläpidä hybriditietoturvan käyttöönottoa- Webex-pilvi tarjoaa automaattisesti jatkuvia päivityksiä. Tietotekniikkaosastosi voi tarjota tason yksi tukea tälle käyttöönotolle ja ottaa tarvittaessa käyttöön Ciscon tuen. Voit käyttää näytön ilmoituksia ja määrittää sähköpostipohjaisia hälytyksiä Partner Hubissa.

  • Ymmärrä yleisiä hälytyksiä, vianmääritysvaiheita ja tunnettuja ongelmia-Jos Hybrid Data Securityn käyttöönotossa tai käytössä ilmenee ongelmia, tämän oppaan viimeinen luku ja Tunnetut ongelmat -liite voivat auttaa sinua ongelman määrittämisessä ja korjaamisessa.

Hybriditietoturvan käyttöönottomalli

Hybrid Data Security otetaan käyttöön yrityksen datakeskuksessa erillisissä virtuaalisissa isännöintiasemissa sijaitsevien solmujen klusterina. Solmut kommunikoivat Webex-pilven kanssa suojattujen websockettien ja suojatun HTTP:n kautta.

Asennusprosessin aikana annamme sinulle OVA-tiedoston, jonka avulla voit asentaa virtuaalilaitteen toimittamillesi VM-tietokoneille. HDS Setup Tool -työkalun avulla luot mukautetun klusterin kokoonpanon ISO-tiedoston, jonka asennat kuhunkin solmuun. Hybrid Data Security -klusteri käyttää toimittamaasi Syslogd-palvelinta ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. (Syslogd- ja tietokantayhteyden tiedot määritetään HDS Setup Tool -työkalussa.)

Hybriditietoturvan käyttöönottomalli

Klusterissa voi olla vähintään kaksi solmua. Suosittelemme vähintään kolmea klusteria kohti. Useiden solmujen käyttö varmistaa, että palvelu ei keskeydy ohjelmistopäivityksen tai muun huoltotoimen aikana. (Webex-pilvi päivittää vain yhden solmun kerrallaan.)

Kaikki klusterin solmut käyttävät samaa avaintietovarastoa ja kirjaavat toiminnan samaan syslog-palvelimeen. Itse solmut ovat tilattomia, ja ne käsittelevät avainpyyntöjä round-robin -periaatteella pilven ohjeiden mukaisesti.

Solmuista tulee aktiivisia, kun rekisteröit ne Partner Hubissa. Voit poistaa yksittäisen solmun käytöstä poistamalla sen rekisteristä ja rekisteröimällä sen myöhemmin uudelleen, jos se on tarpeen.

Valmiustietokeskus katastrofista toipumista varten

Käyttöönoton aikana perustat suojatun varakeskuspalvelinkeskuksen. Tietokeskuksen katastrofin sattuessa voit siirtää käyttöönoton manuaalisesti varakeskukseen.

Ennen viansiirtoa datakeskuksessa A on aktiivisia HDS-solmuja ja ensisijainen PostgreSQL- tai Microsoft SQL Server -tietokanta, kun taas datakeskuksessa B on kopio ISO-tiedostosta, jossa on lisäkonfiguraatioita, organisaatioon rekisteröityjä VM:iä ja vara-tietokanta. Viansiirron jälkeen datakeskuksessa B on aktiivisia HDS-solmuja ja ensisijainen tietokanta, kun taas datakeskuksessa A on rekisteröimättömiä VM:iä ja kopio ISO-tiedostosta, ja tietokanta on valmiustilassa.
Manuaalinen viansiirto valmiustietokeskukseen

Aktiivisen ja varalla olevan tietokeskuksen tietokannat ovat synkronoituina keskenään, mikä minimoi viansiirtoon kuluvan ajan.

Aktiivisten hybriditietoturvasolmujen on aina oltava samassa tietokeskuksessa kuin aktiivinen tietokantapalvelin.

Proxy-tuki

Hybrid Data Security tukee nimenomaisia, läpinäkyviä tarkastuksia ja tarkastamattomia välityspalvelimia. Voit liittää nämä välityspalvelimet käyttöönottoasi, jotta voit suojata ja valvoa liikennettä yrityksestä pilvipalveluun. Voit käyttää solmujen alustan hallintakäyttöliittymää varmenteiden hallintaan ja yhteyden yleisen tilan tarkistamiseen sen jälkeen, kun olet määrittänyt välityspalvelimen solmuihin.

Hybriditietoturvasolmut tukevat seuraavia välityspalvelinvaihtoehtoja:

  • Ei välityspalvelinta- Oletusarvo, jos et käytä HDS-solmun Trust Store & Proxy -määritystä välityspalvelimen integroimiseksi. Varmenteen päivitystä ei tarvita.

  • Läpinäkyvä ei-tarkastava välityspalvelin-solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen ei-tarkastavan välityspalvelimen kanssa. Varmenteen päivitystä ei tarvita.

  • Läpinäkyvä tunnelointi tai välityspalvelimen tarkastaminen-solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. Solmujen HTTP- tai HTTPS-konfiguraatioita ei tarvitse muuttaa. Solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne voivat luottaa välittäjään. Tietotekniikka käyttää tyypillisesti tarkastavia välityspalvelimia valvomaan käytäntöjä, jotka koskevat sitä, millä verkkosivustoilla voi vierailla ja minkä tyyppistä sisältöä ei saa käyttää. Tämäntyyppinen välityspalvelin purkaa kaiken liikennöintisi (jopa HTTPS).

  • Eksplisiittinen välityspalvelin- Eksplisiittisellä välityspalvelimella kerrot HDS-solmuille, mitä välityspalvelinta ja todennusjärjestelmää käytetään. Jos haluat määrittää nimenomaisen välityspalvelimen, sinun on annettava seuraavat tiedot kussakin solmussa:

    1. Proxy IP/FQDN-osoite, jolla välityskone voidaan tavoittaa.

    2. Välitysportti- Portin numero, jota välityspalvelin käyttää kuunnellakseen välitettyä liikennettä.

    3. Välityspalvelinprotokolla-Valikoima seuraavista protokollista riippuu siitä, mitä välityspalvelimesi tukee:

      • HTTP-näkökulma: Näkee ja valvoo kaikkia asiakkaan lähettämiä pyyntöjä.

      • HTTPS-Varaa kanavan palvelimelle. Asiakas vastaanottaa palvelimen varmenteen ja vahvistaa sen.

    4. Todennustyyppi-Valitse yksi seuraavista todennustyypeistä:

      • Ei ole- Muita todennuksia ei tarvita.

        Käytettävissä, jos valitset välityspalvelinprotokollaksi joko HTTP:n tai HTTPS:n.

      • Basic-Käytetään HTTP-käyttäjäagenttia antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.

        Käytettävissä, jos valitset välityspalvelinprotokollaksi joko HTTP:n tai HTTPS:n.

        Vaatii käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.

      • Digest-Käytetään tilin vahvistamiseen ennen arkaluontoisten tietojen lähettämistä. Soveltaa hash-funktiota käyttäjänimeen ja salasanaan ennen lähettämistä verkon yli.

        Käytettävissä vain, jos valitset välityspalvelinprotokollaksi HTTPS.

        Vaatii käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.

Esimerkki hybridi-tietoturvasolmuista ja välityspalvelimesta

Tässä kaaviossa on esimerkki Hybrid Data Securityn, verkon ja välityspalvelimen välisestä yhteydestä. Läpinäkyvä tarkastus ja HTTPS:n nimenomainen tarkastus -välityspalvelinvaihtoehdoissa sama juurivarmenne on asennettava välityspalvelimeen ja Hybrid Data Security -solmuun.

Estetty ulkoinen DNS-resoluutiotila (eksplisiittiset välityspalvelinkonfiguraatiot)

Kun rekisteröit solmun tai tarkistat solmun välityspalvelinkokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex -pilveen. Käyttöönotoissa, joissa on nimenomaiset välityspalvelinmääritykset, jotka eivät salli ulkoista DNS-resoluutiota sisäisille asiakkaille, jos solmu ei voi kysyä DNS-palvelimilta, se siirtyy automaattisesti estetty ulkoinen DNS-resoluutio -tilaan. Tässä tilassa solmun rekisteröinti ja muut välityspalvelimen yhteystestit voivat jatkua.

Ympäristön valmistelu

Monen käyttäjän hybriditietoturvaa koskevat vaatimukset

Cisco Webexin lisenssivaatimukset

Multi-Tenant Hybrid Data Securityn käyttöönotto:

  • Kumppanijärjestöt: Ota yhteyttä Cisco-kumppaniin tai tilipalvelun johtajaan ja varmista, että Multi-Tenant-ominaisuus on käytössä.

  • Vuokralaisjärjestöt: Sinulla on oltava Pro Pack for Cisco Webex Control Hub. (Katso https://www.cisco.com/go/pro-pack.)

Docker Desktop -vaatimukset

Ennen kuin asennat HDS-solmut, tarvitset Docker Desktopin asennusohjelman suorittamista varten. Docker päivitti hiljattain lisensointimalliaan. Organisaatiosi saattaa vaatia maksullisen Docker Desktop -tilauksen. Lisätietoja on Dockerin blogikirjoituksessa " Docker päivittää ja laajentaa tuotetilauksia".

X.509-varmenteen vaatimukset

Varmenteketjun on täytettävä seuraavat vaatimukset:

Taulukko 1. X.509-varmenteen vaatimukset hybriditietoturvan käyttöönottoa varten

Vaatimus

Tiedot

  • Luotettavan varmentajan (CA) allekirjoittama.

Oletusarvoisesti luotamme Mozillan luettelossa oleviin varmentajiin (lukuun ottamatta WoSignia ja StartComia) osoitteessa https://wiki.mozilla.org/CA:IncludedCAs.

  • Karhut Common Name (CN) -verkkotunnus, joka yksilöi hybriditietoturvan käyttöönoton

  • Ei ole jokerimerkkivarmenne

CN:n ei tarvitse olla tavoitettavissa eikä sen tarvitse olla elävä isäntä. Suosittelemme, että käytät organisaatiotasi kuvaavaa nimeä, esimerkiksi hds.company.com.

CN ei saa sisältää *-merkkiä (jokerimerkki).

CN:ää käytetään Hybrid Data Security -solmujen varmentamiseen Webex App -asiakkaille. Kaikki klusterin Hybrid Data Security -solmut käyttävät samaa varmentetta. KMS tunnistaa itsensä CN-toimialueen avulla, ei minkään x.509v3 SAN-kenttiin määritellyn toimialueen avulla.

Kun olet rekisteröinyt solmun tällä varmenteella, emme tue CN-verkkotunnuksen nimen muuttamista.

  • Muu kuin SHA1-allekirjoitus

KMS-ohjelmisto ei tue SHA1-allekirjoituksia yhteyksien vahvistamiseksi muiden organisaatioiden KMS-järjestelmiin.

  • Muotoiltu salasanalla suojatuksi PKCS #12-tiedostoksi.

  • Käytä ystävällistä nimeä kms-private-key merkitäksesi ladattavan varmenteen, yksityisen avaimen ja mahdolliset välivarmenteet.

Voit käyttää OpenSSL:n kaltaista muunninta varmenteen muodon muuttamiseen.

Sinun on annettava salasana, kun käynnistät HDS-asennustyökalun.

KMS-ohjelmisto ei noudata avaimen käyttöä tai laajennettua avaimen käyttöä koskevia rajoituksia. Jotkin varmentajat vaativat, että kuhunkin varmenteeseen sovelletaan laajennettuja avainkäyttörajoituksia, kuten palvelimen todennusta. Voit käyttää palvelimen todennusta tai muita asetuksia.

Virtuaalisen isännän vaatimukset

Virtuaalisilla isännöintiasemilla, jotka perustat hybridi-tietoturvasolmuiksi klusteriin, on seuraavat vaatimukset:

  • Vähintään kaksi erillistä isäntäkonetta (suositellaan kolmea), jotka sijaitsevat samassa suojatussa tietokeskuksessa.

  • VMware ESXi 7.0 (tai uudempi) asennettuna ja käynnissä.

    Sinun on päivitettävä, jos käytössäsi on aikaisempi ESXi-versio.

  • Vähintään 4 vCPU:ta, 8 Gt keskusmuistia, 30 Gt paikallista kiintolevytilaa palvelinta kohden.

Tietokantapalvelimen vaatimukset

Luo uusi tietokanta avainten tallennusta varten. Älä käytä oletustietokantaa. Kun HDS-sovellukset asennetaan, ne luovat tietokantakaavion.

Tietokantapalvelimessa on kaksi vaihtoehtoa. Vaatimukset ovat seuraavat:

Taulukko 2. Tietokantapalvelimen vaatimukset tietokantatyypeittäin

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14, 15 tai 16 asennettuna ja käynnissä.

  • SQL Server 2016, 2017 tai 2019 (Enterprise tai Standard) asennettuna.

    SQL Server 2016 vaatii Service Pack 2:n ja kumulatiivisen päivityksen 2 tai uudemman.

Vähintään 8 vCPU:ta, 16 Gt keskusmuistia, riittävästi kiintolevytilaa ja valvonta sen varmistamiseksi, että sitä ei ylitetä (suositellaan 2 TB, jos haluat käyttää tietokantaa pitkään ilman, että tallennustilaa tarvitsee lisätä).

Vähintään 8 vCPU:ta, 16 Gt keskusmuistia, riittävästi kiintolevytilaa ja valvonta sen varmistamiseksi, että sitä ei ylitetä (suositellaan 2 TB, jos haluat käyttää tietokantaa pitkään ilman, että tallennustilaa tarvitsee lisätä).

HDS-ohjelmisto asentaa tällä hetkellä seuraavat ajuriversiot yhteydenpitoa varten tietokantapalvelimen kanssa:

PostgreSQL

Microsoft SQL Server

Postgres JDBC -ajuri 42.2.5

SQL Server JDBC -ajuri 4.6

Tämä ajuriversio tukee SQL Server Always On -palvelinta ( Always On Failover Cluster Instances ja Always On -saatavuusryhmät).

Lisävaatimukset Windows-todennusta varten Microsoft SQL Serveriä vastaan

Jos haluat, että HDS-solmut käyttävät Windows-todennusta Microsoft SQL Serverin avainsäilytystietokantaan pääsemiseksi, tarvitset ympäristössäsi seuraavat asetukset:

  • HDS-solmut, Active Directory -infrastruktuuri ja MS SQL Server on synkronoitava NTP:n avulla.

  • HDS-solmujen käyttöön annetulla Windows-tilillä on oltava tietokannan luku/kirjoitusoikeus.

  • HDS-solmujen käyttöön antamiesi DNS-palvelimien on kyettävä ratkaisemaan KDC-keskuksesi (Key Distribution Center).

  • Voit rekisteröidä Microsoft SQL Serverin HDS-tietokantainstanssin palvelupääkäyttäjänimeksi (Service Principal Name, SPN) Active Directoryyn. Katso Rekisteröi palvelupääkäyttäjän nimi Kerberos-yhteyksiä varten.

    HDS-asennustyökalun, HDS-launcherin ja paikallisen KMS:n on käytettävä Windows-todennusta avainsäilytystietokannan käyttämiseen. Ne käyttävät ISO-konfiguraation tietoja SPN:n muodostamiseen, kun ne pyytävät pääsyä Kerberos-todennuksen avulla.

Ulkoiset liitäntävaatimukset

Määritä palomuuri sallimaan seuraavat HDS-sovellusten yhteydet:

Sovellus

Protokolla

Portti

Suunta sovelluksesta

Kohde

Hybriditietoturvasolmut

TCP

443

Lähtevä HTTPS ja WSS

  • Webex-palvelimet:

    • *.wbx2.com

    • *.ciscospark.com

  • Kaikki Common Identity -isännät

  • Muut URL-osoitteet, jotka on lueteltu hybriditietoturvan osalta osoitteessa Additional URLs for Webex Hybrid Services -taulukossa Webex-palvelujen verkkovaatimukset

HDS-asennustyökalu

TCP

443

Lähtevä HTTPS

  • *.wbx2.com

  • Kaikki Common Identity -isännät

  • hub.docker.com

Hybriditietoturvasolmut toimivat NAT:n (Network Access Translation) kanssa tai palomuurin takana, kunhan NAT tai palomuuri sallii vaaditut lähtevät yhteydet edellisessä taulukossa esitettyihin toimialueen kohteisiin. Hybriditietoturvasolmuihin saapuvien yhteyksien porttien ei pitäisi näkyä internetistä. Tietokeskuksessasi asiakkaat tarvitsevat hallinnollisia tarkoituksia varten pääsyn hybriditietoturvasolmujen TCP-portteihin 443 ja 22.

Yhteisen identiteetin (CI) isäntien URL-osoitteet ovat aluekohtaisia. Nämä ovat nykyiset CI-isännät:

Alue

Yleiset identiteetin isäntä-URL-osoitteet

Americas

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Euroopan unioni

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Arabiemiirikunnat

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Välityspalvelimen vaatimukset

  • Tuemme virallisesti seuraavia välityspalvelinratkaisuja, jotka voidaan integroida hybriditietoturvasolmujen kanssa.

    • Läpinäkyvä välityspalvelin-Cisco Web Security Appliance (WSA).

    • Eksplisiittinen proxy-Squid.

      HTTPS-liikennettä tarkastavat Squid-välityspalvelimet voivat häiritä websocket (wss:) -yhteyksien muodostamista. Voit kiertää tämän ongelman osoitteessa Configure Squid Proxies for Hybrid Data Security.

  • Tuemme seuraavia todennustyyppiyhdistelmiä nimenomaisille välityspalvelimille:

    • Ei todennusta HTTP:llä tai HTTPS:llä

    • Perustodennus HTTP:llä tai HTTPS:llä

    • Digest-todennus vain HTTPS:n kanssa

  • Läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-selkeän välityspalvelimen osalta sinulla on oltava kopio välityspalvelimen juurivarmenteesta. Tämän oppaan käyttöönotto-ohjeissa kerrotaan, miten kopio ladataan hybriditietoturvasolmujen luotettavuusvarastoihin.

  • HDS-solmuja isännöivä verkko on määritettävä siten, että portista 443 lähtevä TCP-liikenne reititetään välityspalvelimen kautta.

  • Verkkoliikennettä tarkastavat välityspalvelimet voivat häiritä verkkoliikenneyhteyksiä. Jos tämä ongelma ilmenee, ongelman voi ratkaista ohittamalla (tarkastamatta) liikenteen osoitteisiin wbx2.com ja ciscospark.com .

Täytä hybridi-tietoturvan edellytykset.

Varmista tämän tarkistuslistan avulla, että olet valmis asentamaan ja määrittämään Hybrid Data Security -klusterin.
1

Varmista, että kumppaniorganisaatiossasi on Multi-Tenant HDS -ominaisuus käytössä, ja hanki tilitiedot tilille, jolla on kumppanin täysi järjestelmänvalvojan ja järjestelmänvalvojan oikeudet. Varmista, että Webex-asiakasorganisaatiossasi on käytössä Pro Pack for Cisco Webex Control Hub. Ota yhteyttä Cisco-kumppaniin tai asiakaspäällikköön saadaksesi apua tässä prosessissa.

Asiakasorganisaatioilla ei saa olla olemassa olevaa HDS-käyttöönottoa.

2

Valitse toimialueen nimi HDS-käyttöönotollesi (esimerkiksi hds.company.com) ja hanki varmenne-ketju, joka sisältää X.509-varmenteen, yksityisen avaimen ja mahdolliset välivarmenteet. Varmenteiden ketjun on täytettävä vaatimukset, jotka on esitetty osoitteessa X.509 Certificate Requirements.

3

Valmistele identtiset virtuaaliset isännät, jotka perustat hybridi-tietoturvasolmuiksi klusteriin. Tarvitset vähintään kaksi erillistä isäntäkonetta (suositellaan kolmea), jotka sijaitsevat samassa suojatussa datakeskuksessa ja jotka täyttävät vaatimukset, jotka on esitetty osoitteessa Virtual Host Requirements.

4

Valmistele tietokantapalvelin, joka toimii klusterin keskeisenä tietovarastona, Tietokantapalvelimen vaatimukset mukaisesti. Tietokantapalvelin on sijoitettava samaan turvalliseen datakeskukseen virtuaalisten isäntien kanssa.

  1. Luo tietokanta avainten tallentamista varten. (Sinun on luotava tämä tietokanta - älä käytä oletustietokantaa.) Kun HDS-sovellukset asennetaan, ne luovat tietokantakaavion.).

  2. Kerää tiedot, joita solmut käyttävät kommunikoidessaan tietokantapalvelimen kanssa:

    • isännän nimi tai IP-osoite (host) ja portti.

    • tietokannan nimi (dbname), johon avaimet tallennetaan.

    • sen käyttäjän käyttäjätunnus ja salasana, jolla on kaikki oikeudet avainten tallennustietokantaan.

5

Jos haluat nopean palautumisen katastrofista, voit perustaa varmuuskopioympäristön toiseen datakeskukseen. Varmuuskopiointiympäristö peilaa tuotantoympäristöä, joka koostuu VM:istä ja varmuuskopioidusta tietokantapalvelimesta. Jos esimerkiksi tuotannossa on 3 VM:ää, joilla on HDS-solmuja, varmuuskopiointiympäristössä pitäisi olla 3 VM:ää.

6

Määritä syslog-isäntä keräämään lokit klusterin solmuista. Kerää sen verkko-osoite ja syslog-portti (oletusarvo on UDP 514).

7

Luo turvallinen varmuuskopiointikäytäntö hybriditietoturvasolmuja, tietokantapalvelinta ja syslog-isäntää varten. Jos haluat estää tietojen menetyksen, jota ei voida palauttaa, sinun on varmuuskopioitava ainakin tietokanta ja hybridi-tietoturvasolmuja varten luotu määritys-ISO-tiedosto.

Koska hybriditietoturvasolmut tallentavat sisällön salauksessa ja salauksen purkamisessa käytettävät avaimet, toimivan käyttöönoton laiminlyönti johtaa UNRECOVERABLE LOSS kyseisen sisällön menetykseen.

Webex App -asiakkaat tallentavat avaimet välimuistiin, joten katkos ei välttämättä näy heti, mutta se näkyy ajan myötä. Tilapäisiä katkoksia on mahdotonta estää, mutta ne ovat palautettavissa. Jos tietokanta tai konfigurointi-ISO-tiedosto kuitenkin menetetään kokonaan (varmuuskopioita ei ole saatavilla), asiakastietoja ei voida palauttaa. Hybriditietoturvasolmujen ylläpitäjien odotetaan ylläpitävän usein varmuuskopioita tietokannasta ja konfigurointi-ISO-tiedostosta ja olevan valmiita rakentamaan hybriditietoturvatietokeskuksen uudelleen, jos tapahtuu katastrofaalinen vika.

8

Varmista, että palomuurin kokoonpano sallii Hybrid Data Security -solmujen yhteyden Ulkoisen yhteyden vaatimukset mukaisesti.

9

Asenna Docker ( https://www.docker.com) mihin tahansa paikalliseen koneeseen, jossa on tuettu käyttöjärjestelmä (Microsoft Windows 10 Professional tai Enterprise 64-bittinen tai Mac OSX Yosemite 10.10.3 tai uudempi), jossa on verkkoselain, joka voi käyttää sitä osoitteessa http://127.0.0.1:8080.

Docker-instanssin avulla lataat ja suoritat HDS Setup Tool -työkalun, joka luo paikalliset määritystiedot kaikille Hybrid Data Security -solmuille. Saatat tarvita Docker Desktop -lisenssin. Katso lisätietoja osoitteesta Docker Desktop -vaatimukset .

Jotta HDS Setup Tool voidaan asentaa ja käyttää, paikallisella koneella on oltava osoitteessa External connectivity requirements esitetyt liitettävyysvaatimukset.

10

Jos integroit välityspalvelimen Hybrid Data Securityyn, varmista, että se täyttää Proxy Server Requirements-vaatimukset.

Hybriditietoturvaklusterin perustaminen

Hybriditietoturvan käyttöönoton tehtävävirta

Ennen kuin aloitat

1

Suorita alkuasetukset ja lataa asennustiedostot

Lataa OVA-tiedosto paikalliselle koneellesi myöhempää käyttöä varten.

2

Luo konfigurointi-ISO HDS-isäntäkoneille.

Käytä HDS Setup Tool -työkalua luodaksesi ISO-kokoonpanotiedoston Hybrid Data Security -solmuja varten.

3

Asenna HDS Host OVA

Luo virtuaalikone OVA-tiedostosta ja suorita alkumääritykset, kuten verkkoasetukset.

Mahdollisuus määrittää verkkoasetukset OVA-käyttöönoton aikana on testattu ESXi 7.0:lla. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

4

Hybriditietoturva VM:n määrittäminen

Kirjaudu VM-konsoliin ja määritä kirjautumistiedot. Määritä solmun verkkoasetukset, jos et määrittänyt niitä OVA-käyttöönoton yhteydessä.

5

Lataa ja asenna HDS-konfiguraatio-ISO-tiedosto.

Määritä VM HDS Setup Tool -työkalulla luodusta ISO-kokoonpanotiedostosta.

6

HDS-solmun määrittäminen välityspalvelimen integrointia varten

Jos verkkoympäristö edellyttää välityspalvelinkonfiguraatiota, määritä solmun käyttämä välityspalvelintyyppi ja lisää tarvittaessa välityspalvelinvarmenne luottamussäilöön.

7

Rekisteröi klusterin ensimmäinen solmu

Rekisteröi VM Cisco Webex -pilvipalveluun Hybrid Data Security -solmuksi.

8

Luo ja rekisteröi lisää solmuja

Viimeistele klusterin asennus.

9

Aktivoi Multi-Tenant HDS Partner Hubissa.

Aktivoi HDS ja hallinnoi vuokralaisorganisaatioita Partner Hubissa.

Suorita alkuasetukset ja lataa asennustiedostot

Tässä tehtävässä lataat OVA-tiedoston koneellesi (ei palvelimille, jotka olet määrittänyt hybridi-tietoturvasolmuiksi). Käytät tätä tiedostoa myöhemmin asennusprosessissa.

1

Kirjaudu sisään osoitteessa Partner Hub ja valitse sitten Palvelut.

2

Etsi Pilvipalvelut-osiosta Hybrid Data Security -kortti ja valitse sitten Määritä.

Käyttöönottoprosessin kannalta on tärkeää, että napsautat Partner Hubissa Set up . Älä jatka asennusta suorittamatta tätä vaihetta.

3

Napsauta Lisää resurssi ja napsauta Lataa .OVA-tiedosto Asenna ja määritä ohjelmisto -kortilla.

Ohjelmistopaketin vanhemmat versiot (OVA) eivät ole yhteensopivia uusimpien Hybrid Data Security -päivitysten kanssa. Tämä voi aiheuttaa ongelmia sovelluksen päivittämisen aikana. Varmista, että lataat OVA-tiedoston uusimman version.

Voit myös ladata OVA:n milloin tahansa osoitteesta Help . Napsauta Asetukset > Ohje > Lataa Hybrid Data Security -ohjelmisto.

OVA-tiedoston lataaminen alkaa automaattisesti. Tallenna tiedosto johonkin paikkaan koneellasi.
4

Voit myös tarkistaa, onko tästä oppaasta saatavilla uudempi versio, valitsemalla Katso hybriditietoturvan käyttöönotto-opas .

Luo konfigurointi-ISO HDS-isäntäkoneille.

Hybrid Data Security -asennusprosessi luo ISO-tiedoston. Tämän jälkeen voit määrittää Hybrid Data Security -isäntäsovelluksen ISO-version avulla.

Ennen kuin aloitat
1

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

2

Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti:

docker login -u hdscustomersro
3

Kirjoita salasanakehotteeseen tämä hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Lataa uusin vakaa imago ympäristöllesi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:

  • Tavallisissa ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • FedRAMP-ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080".

6

Setup-työkalu ei tue yhteyden muodostamista localhostiin http://localhost:8080 kautta. Käytä http://127.0.0.1:8080 muodostaaksesi yhteyden localhostiin.

Siirry verkkoselaimella osoitteeseen localhost, http://127.0.0.1:8080, ja kirjoita kehotteeseen Partner Hubin admin-käyttäjätunnus.

Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää asettaakseen oikean ympäristön kyseiselle tilille. Tämän jälkeen työkalu näyttää tavallisen kirjautumiskehotteen.

7

Anna pyydettäessä Partner Hubin ylläpitäjän kirjautumistiedot ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn hybriditietoturvan edellyttämiin palveluihin.

8

Napsauta Setup Tool -katsaussivulla Get Started.

9

ISO Import -sivulla on seuraavat vaihtoehdot:

  • Ei- Jos luot ensimmäistä HDS-solmua, sinulla ei ole ISO-tiedostoa ladattavaksi.
  • Kyllä- Jos olet jo luonut HDS-solmuja, valitse ISO-tiedosto selaimesta ja lataa se.
10

Tarkista, että X.509-varmenne täyttää osoitteessa X.509-varmenteen vaatimukset esitetyt vaatimukset.

  • Jos et ole aiemmin ladannut varmenteita, lataa X.509-varmenne, syötä salasana ja napsauta Jatka.
  • Jos varmenne on OK, valitse Jatka.
  • Jos varmenteesi on vanhentunut tai haluat korvata sen, valitse Ei varten Jatka edellisen ISO:n HDS-varmenteiden ketjun ja yksityisen avaimen käyttöä?. Lataa uusi X.509-varmenne, syötä salasana ja napsauta Jatka.
11

Anna tietokantaosoite ja tili, jonka avulla HDS voi käyttää avaintietovarastoa:

  1. Valitse Tietokantatyyppi (PostgreSQL tai Microsoft SQL Server).

    Jos valitset Microsoft SQL Server, saat Authentication Type -kentän.

  2. (Vain Microsoft SQL Server ) Valitse Todennustyyppi:

    • Perustodennus: Tarvitset paikallisen SQL Server -tilin nimen Käyttäjänimi -kenttään.

    • Windows-todennus: Tarvitset Windows-tilin muodossa username@DOMAIN kenttään Username .

  3. Kirjoita tietokantapalvelimen osoite muodossa : tai :.

    Esimerkki:
    dbhost.example.org:1433 tai 198.51.100.17:1433

    Voit käyttää IP-osoitetta perustodennukseen, jos solmut eivät voi käyttää DNS:ää isäntänimen ratkaisemiseen.

    Jos käytät Windows-tunnistautumista, sinun on annettava täyteen määritetty verkkotunnus muodossa dbhost.example.org:1433.

  4. Kirjoita tietokannan nimi.

  5. Kirjoita Käyttäjätunnus ja Salasana käyttäjälle, jolla on kaikki oikeudet avaintallennustietokantaan.

12

Valitse TLS-tietokantayhteystapa:

Tila

Kuvaus

Prefer TLS (oletusasetus)

HDS-solmut eivät vaadi TLS-yhteyttä tietokantapalvelimeen. Jos otat TLS:n käyttöön tietokantapalvelimessa, solmut yrittävät muodostaa salatun yhteyden.

Vaadi TLS

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

Vaadi TLS ja tarkista varmenteen allekirjoittaja

Tätä tilaa ei voi käyttää SQL Server -tietokantoihin.

  • HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

  • TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa tietokannan juurivarmenteessa olevaan varmentajaan. Jos ne eivät täsmää, solmu katkaisee yhteyden.

Lataa tätä vaihtoehtoa varten tarvittava juurivarmenne Database root certificate -pudotusvalikon alapuolella olevalla ohjaimella.

Vaadi TLS ja tarkista varmenteen allekirjoittaja ja isäntänimi.

  • HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

  • TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa tietokannan juurivarmenteessa olevaan varmentajaan. Jos ne eivät täsmää, solmu katkaisee yhteyden.

  • Solmut tarkistavat myös, että palvelinvarmenteessa oleva isäntänimi vastaa tietokannan isäntä ja portti -kentässä olevaa isäntänimeä. Nimien on täsmälleen täsmättävä, tai solmu katkaisee yhteyden.

Lataa tätä vaihtoehtoa varten tarvittava juurivarmenne Database root certificate -pudotusvalikon alapuolella olevalla ohjaimella.

Kun lataat juurivarmenteen (tarvittaessa) ja napsautat Jatka, HDS Setup Tool testaa TLS-yhteyden tietokantapalvelimeen. Työkalu tarkistaa tarvittaessa myös varmenteen allekirjoittajan ja isäntänimen. Jos testi epäonnistuu, työkalu näyttää virheilmoituksen, jossa kuvataan ongelma. Voit valita, jätätkö virheen huomiotta ja jatkatko asennusta. (Yhteyseroista johtuen HDS-solmut saattavat pystyä muodostamaan TLS-yhteyden, vaikka HDS Setup Tool -kone ei pystyisi onnistuneesti testaamaan sitä.)

13

Määritä Syslogd-palvelin Järjestelmälokit-sivulla:

  1. Kirjoita syslog-palvelimen URL-osoite.

    Jos palvelin ei ole DNS-ratkaisukelpoinen HDS-klusterin solmuista, käytä URL-osoitteessa IP-osoitetta.

    Esimerkki:
    udp://10.92.43.23:514 osoittaa kirjautumisen Syslogd-isäntään 10.92.43.23 UDP-porttiin 514.

  2. Jos olet määrittänyt palvelimesi käyttämään TLS-salausta, tarkista Onko syslog-palvelimesi määritetty SSL-salausta varten?.

    Jos valitset tämän valintaruudun, varmista, että annat TCP-osoitteen, kuten tcp://10.92.43.23:514.

  3. Valitse ISO-tiedostolle sopiva asetus Choose syslog record termination -pudotusvalikosta: Valitse tai Newline käytetään Graylog- ja Rsyslog TCP -palveluissa.

    • Nollatavu -- \x00

    • Newline -- \n-Valitse tämä valinta Graylog- ja Rsyslog TCP -palveluille.

  4. Napsauta Jatka.

14

(Valinnainen) Voit muuttaa joidenkin tietokantayhteysparametrien oletusarvoa osoitteessa Lisäasetukset. Yleensä tämä parametri on ainoa, jota kannattaa muuttaa:

app_datasource_connection_pool_maxKoko: 10
15

Napsauta Jatka Reset Service Accounts Password -näytössä.

Palvelutilien salasanojen käyttöikä on yhdeksän kuukautta. Käytä tätä näyttöä, kun salasanasi ovat umpeutumassa tai haluat nollata ne aiempien ISO-tiedostojen mitätöimiseksi.

16

Klikkaa Lataa ISO-tiedosto. Tallenna tiedosto paikkaan, josta se on helppo löytää.

17

Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmään.

Pidä varmuuskopio turvassa. Tämä tiedosto sisältää tietokannan sisällön pääsalausavaimen. Rajoita käyttöoikeus vain niille Hybrid Data Securityn järjestelmänvalvojille, joiden pitäisi tehdä määritysmuutoksia.

18

Voit sammuttaa Setup-työkalun kirjoittamalla CTRL+C.

Mitä tehdä seuraavaksi

Varmuuskopioi konfigurointi-ISO-tiedosto. Tarvitset sitä luodaksesi lisää solmuja toipumista varten tai tehdessäsi kokoonpanomuutoksia. Jos menetät kaikki ISO-tiedoston kopiot, menetät myös pääavaimen. Avainten palauttaminen PostgreSQL- tai Microsoft SQL Server -tietokannasta ei ole mahdollista.

Meillä ei ole koskaan kopiota tästä avaimesta, emmekä voi auttaa, jos kadotat sen.

Asenna HDS Host OVA

Luo virtuaalikone OVA-tiedostosta tämän menettelyn avulla.
1

Kirjaudu ESXi-virtuaali-isäntäkoneeseen VMware vSphere -asiakasohjelman avulla.

2

Valitse File > Deploy OVF Template.

3

Määritä ohjatussa toiminnossa aiemmin lataamasi OVA-tiedoston sijainti ja napsauta sitten Next.

4

Kirjoita Valitse nimi ja kansio -sivulla Virtuaalikoneen nimi solmulle (esimerkiksi "HDS_Node_1"), valitse sijainti, jossa virtuaalikoneen solmun käyttöönotto voi sijaita, ja napsauta sitten Seuraava.

5

Valitse Valitse laskentaresurssi -sivulla kohdelaskentaresurssi ja napsauta sitten Seuraava.

Validointitarkistus suoritetaan. Kun se on valmis, mallin tiedot tulevat näkyviin.

6

Tarkista mallin tiedot ja napsauta sitten Next.

7

Jos sinua pyydetään valitsemaan resurssikokoonpano sivulla Configuration , valitse 4 CPU ja valitse sitten Next.

8

Valitse Valitse tallennustila -sivulla Seuraava hyväksyäksesi oletusarvoisen levymuodon ja VM-tallennuskäytännön.

9

Valitse Valitse verkot -sivulla verkkovaihtoehto luettelosta, joka tarjoaa VM:lle halutun yhteyden.

10

Määritä seuraavat verkkoasetukset sivulla Customize template :

  • Isäntänimi- Kirjoita solmun FQDN (isäntänimi ja toimialue) tai yksisanainen isäntänimi.

    • Verkkotunnuksen ei tarvitse vastata verkkotunnusta, jota käytit X.509-varmenteen hankkimiseen.

    • Jotta rekisteröinti pilvipalveluun onnistuisi, käytä solmulle asettamassasi FQDN- tai isäntänimessä vain pieniä kirjaimia. Suuraakkosia ei tällä hetkellä tueta.

    • FQDN-nimen kokonaispituus saa olla enintään 64 merkkiä.

  • IP-osoite- Syötä solmun sisäisen liitännän IP-osoite.

    Solmulla pitäisi olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.

  • Mask- Syötä aliverkon peiteosoite pistemääräisenä. Esimerkiksi 255.255.255.255.0.
  • Yhdyskäytävä-Kirjoita yhdyskäytävän IP-osoite. Yhdyskäytävä on verkon solmu, joka toimii yhteyspisteenä toiseen verkkoon.
  • DNS-palvelimet-Kirjoita pilkulla erotettu luettelo DNS-palvelimista, jotka huolehtivat verkkotunnusten muuntamisesta numeerisiksi IP-osoitteiksi. (Enintään 4 DNS-merkintää on sallittu.)
  • NTP-palvelimet-Kirjoita organisaatiosi NTP-palvelin tai muu organisaatiossasi käytettävä ulkoinen NTP-palvelin. Oletusarvoiset NTP-palvelimet eivät välttämättä toimi kaikissa yrityksissä. Voit myös käyttää pilkulla erotettua luetteloa useiden NTP-palvelimien syöttämiseen.

  • Aseta kaikki solmut samaan aliverkkoon tai VLAN:iin, jotta kaikki klusterin solmut ovat tavoitettavissa verkon asiakkaista hallinnollisia tarkoituksia varten.

Voit halutessasi ohittaa verkkoasetusten määrityksen ja määrittää asetukset solmun konsolissa kohdan Hybriditietoturva-VM:n määrittäminen ohjeiden mukaisesti.

Mahdollisuus määrittää verkkoasetukset OVA-käyttöönoton aikana on testattu ESXi 7.0:lla. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

11

Napsauta hiiren kakkospainikkeella solmun VM:ää ja valitse sitten Power > Power On.

Hybrid Data Security -ohjelmisto asennetaan vieraana VM-isäntään. Olet nyt valmis kirjautumaan konsoliin ja määrittämään solmun.

Vianmääritysvinkkejä

Saattaa esiintyä muutaman minuutin viive, ennen kuin solmupisteiden säiliöt tulevat esiin. Konsolissa näkyy siltapalomuuriviesti ensimmäisen käynnistyksen aikana, jolloin et voi kirjautua sisään.

Hybriditietoturva VM:n määrittäminen

Tällä menettelyllä voit kirjautua Hybrid Data Security -solmun VM-konsoliin ensimmäistä kertaa ja määrittää kirjautumistiedot. Voit myös määrittää solmun verkkoasetukset konsolin avulla, jos et määrittänyt niitä OVA-käyttöönoton yhteydessä.

1

Valitse VMware vSphere -asiakasohjelmassa Hybrid Data Security -solmun VM ja valitse Console -välilehti.

VM käynnistyy ja näyttöön tulee kirjautumiskehote. Jos kirjautumiskehote ei tule näkyviin, paina Enter.
2

Kirjaudu sisään ja vaihda tunnistetiedot seuraavilla oletustunnuksilla: käyttäjätunnus ja salasana:

  1. Kirjaudu sisään: admin

  2. Salasana: cisco

Koska kirjaudut VM:ään ensimmäistä kertaa, sinun on vaihdettava järjestelmänvalvojan salasana.

3

Jos olet jo määrittänyt verkkoasetukset kohdassa Install the HDS Host OVA, ohita tämän ohjeen loppuosa. Muussa tapauksessa valitse päävalikosta Edit Configuration .

4

Määritä staattinen konfiguraatio, jossa on IP-osoite, maski, yhdyskäytävä ja DNS-tiedot. Solmulla pitäisi olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.

5

(Valinnainen) Muuta isäntänimeä, toimialuetta tai NTP-palvelinta (-palvelimia) tarvittaessa verkkokäytäntösi mukaiseksi.

Verkkotunnuksen ei tarvitse vastata verkkotunnusta, jota käytit X.509-varmenteen hankkimiseen.

6

Tallenna verkkokokoonpano ja käynnistä VM uudelleen, jotta muutokset tulevat voimaan.

Lataa ja asenna HDS-konfiguraatio-ISO-tiedosto.

Määritä virtuaalikone HDS Setup Tool -työkalulla luodusta ISO-tiedostosta tämän menettelyn avulla.

Ennen kuin aloitat

Koska ISO-tiedostossa on pääavain, se tulisi paljastaa vain, jos se on tarpeen, jotta hybriditietoturva-VM:t ja mahdolliset järjestelmänvalvojat, jotka saattavat joutua tekemään muutoksia, pääsevät siihen käsiksi. Varmista, että vain kyseiset järjestelmänvalvojat voivat käyttää tietovarastoa.

1

Lataa ISO-tiedosto tietokoneeltasi:

  1. Napsauta VMware vSphere -asiakasohjelman vasemmassa navigointipaneelissa ESXi-palvelinta.

  2. Valitse Configuration-välilehden Hardware (Laitteisto) -luettelosta Storage (Tallennus).

  3. Napsauta Datastores-luettelossa hiiren kakkospainikkeella VM-tietovarastoa ja valitse Browse Datastore.

  4. Napsauta Upload Files -kuvaketta ja valitse sitten Upload File.

  5. Siirry paikkaan, josta latasit ISO-tiedoston tietokoneellesi, ja napsauta Avaa.

  6. Hyväksy lataus/download-toiminnon varoitus napsauttamalla Yes ja sulje tietovarasto-valintaikkuna.

2

Kiinnitä ISO-tiedosto:

  1. Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia.

  2. Hyväksy rajoitettujen muokkausasetusten varoitus napsauttamalla OK .

  3. Napsauta CD/DVD-asema 1, valitse vaihtoehto mount from a datastore ISO file ja selaa paikkaan, johon latasit kokoonpanon ISO-tiedoston.

  4. Tarkista Kytketty ja Kytke virta päälle.

  5. Tallenna muutokset ja käynnistä virtuaalikone uudelleen.

Mitä tehdä seuraavaksi

Jos tietotekniikkakäytäntösi edellyttää, voit vaihtoehtoisesti poistaa ISO-tiedoston liittämisen sen jälkeen, kun kaikki solmut ovat ottaneet käyttöön määritysmuutokset. Katso lisätietoja osoitteesta (Valinnainen) Unmount ISO After HDS Configuration .

HDS-solmun määrittäminen välityspalvelimen integrointia varten

Jos verkkoympäristö edellyttää välityspalvelinta, määritä tällä tavalla, minkä tyyppinen välityspalvelin haluat integroida Hybrid Data Securityyn. Jos valitset läpinäkyvän tarkastavan välityspalvelimen tai nimenomaisen HTTPS-välityspalvelimen, voit ladata ja asentaa juurivarmenteen solmun käyttöliittymän avulla. Voit myös tarkistaa välityspalvelinyhteyden käyttöliittymästä ja korjata mahdollisia ongelmia.

Ennen kuin aloitat

1

Kirjoita HDS-solmun asetusten URL-osoite https://[HDS-solmun IP- tai FQDN]/setup verkkoselaimessa, syötä solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.

2

Siirry osoitteeseen Trust Store & Proxy ja valitse sitten vaihtoehto:

  • Ei välityspalvelinta- Oletusvaihtoehto ennen välityspalvelimen integroimista. Varmenteen päivitystä ei tarvita.
  • Läpinäkyvä ei-tarkastava välityspalvelin-Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen ei-tarkastavan välityspalvelimen kanssa. Varmenteen päivitystä ei tarvita.
  • Läpinäkyvä välityspalvelimen tarkastaminen-Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. Hybrid Data Security -käyttöönotossa ei tarvita HTTPS-konfiguraatiomuutoksia, mutta HDS-solmut tarvitsevat juurivarmenteen, jotta ne luottavat välityspalvelimeen. Tietotekniikka käyttää tyypillisesti tarkastavia välityspalvelimia valvomaan käytäntöjä, jotka koskevat sitä, millä verkkosivustoilla voi vierailla ja minkä tyyppistä sisältöä ei saa käyttää. Tämäntyyppinen välityspalvelin purkaa kaiken liikennöintisi (jopa HTTPS).
  • Explicit Proxy-Explisiittisellä välityspalvelimella kerrot asiakkaalle (HDS-solmut), mitä välityspalvelinta käyttää, ja tämä vaihtoehto tukee useita todennustyyppejä. Kun olet valinnut tämän vaihtoehdon, sinun on annettava seuraavat tiedot:

    1. Proxy IP/FQDN-osoite, jolla välityskone voidaan tavoittaa.

    2. Välitysportti- Portin numero, jota välityspalvelin käyttää kuunnellakseen välitettyä liikennettä.

    3. Proxy Protocol-Valitse http (tarkastelee ja valvoo kaikkia asiakkaalta vastaanotettuja pyyntöjä) tai https (tarjoaa kanavan palvelimelle ja asiakas vastaanottaa ja vahvistaa palvelimen varmenteen). Valitse vaihtoehto sen mukaan, mitä välityspalvelimesi tukee.

    4. Todennustyyppi-Valitse yksi seuraavista todennustyypeistä:

      • Ei ole- Muita todennuksia ei tarvita.

        Käytettävissä HTTP- tai HTTPS-välityspalvelimille.

      • Basic-Käytetään HTTP-käyttäjäagenttia antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.

        Käytettävissä HTTP- tai HTTPS-välityspalvelimille.

        Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjänimi ja salasana.

      • Digest-Käytetään tilin vahvistamiseen ennen arkaluontoisten tietojen lähettämistä. Soveltaa hash-funktiota käyttäjänimeen ja salasanaan ennen lähettämistä verkon yli.

        Käytettävissä vain HTTPS-välityspalvelimille.

        Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjänimi ja salasana.

Noudata seuraavia vaiheita, kun kyseessä on läpinäkyvä tarkastava välityspalvelin, HTTP-selkeä välityspalvelin, jossa on perustodennus, tai HTTPS-selkeä välityspalvelin.

3

Napsauta Upload a Root Certificate or End Entity Certificate ja siirry sitten valitsemaan välityspalvelimen juurivarmenne.

Varmenne on ladattu, mutta sitä ei ole vielä asennettu, koska solmun on käynnistettävä uudelleen varmenteen asentamiseksi. Saat lisätietoja napsauttamalla varmenteen myöntäjän nimen vieressä olevaa nuolta tai napsauttamalla Poista , jos teit virheen ja haluat ladata tiedoston uudelleen.

4

Testaa solmun ja välityspalvelimen välinen verkkoyhteys napsauttamalla Check Proxy Connection .

Jos yhteystesti epäonnistuu, näyttöön tulee virheilmoitus, jossa kerrotaan syy ja miten voit korjata ongelman.

Jos näet viestin, jonka mukaan ulkoinen DNS-resoluutio ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen. Tämä ehto on odotettavissa monissa eksplisiittisissä välityspalvelinkokoonpanoissa. Voit jatkaa asetusten määrittämistä, ja solmu toimii Estetty ulkoinen DNS-resoluutio -tilassa. Jos luulet, että kyseessä on virhe, suorita nämä vaiheet ja katso sitten Ota estetty ulkoinen DNS-resoluutiotila pois käytöstä.

5

Kun yhteystesti on läpäisty, jos vain https:n välityspalvelimeksi on asetettu explicit proxy, kytke päälle . Reititä kaikki porttien 443/444 https-pyynnöt tästä solmusta explicit proxyn kautta. Tämä asetus vaatii 15 sekuntia tullakseen voimaan.

6

Napsauta Asenna kaikki varmenteet luottamussäilöön (tulee näkyviin, jos kyseessä on HTTPS-selkeän välityspalvelimen tai läpinäkyvän tarkastavan välityspalvelimen käyttö) tai Käynnistä uudelleen (tulee näkyviin, jos kyseessä on HTTP-selkeän välityspalvelimen käyttö), lue kehote ja napsauta sitten Asenna , jos olet valmis.

Solmu käynnistyy uudelleen muutamassa minuutissa.

7

Kun solmu on käynnistetty uudelleen, kirjaudu tarvittaessa uudelleen sisään ja avaa sitten Overview -sivu tarkistaaksesi yhteystarkastukset ja varmistaaksesi, että ne ovat kaikki vihreässä tilassa.

Välityspalvelinyhteyden tarkistus testaa vain webex.com-sivuston aliverkkotunnuksen. Jos yhteysongelmia ilmenee, yleinen ongelma on, että jotkin asennusohjeissa luetelluista pilvialueen verkkotunnuksista on estetty välityspalvelimessa.

Rekisteröi klusterin ensimmäinen solmu

Tässä tehtävässä otetaan yleinen solmu, jonka loit kohdassa Hybriditietoturvan VM:n määrittäminen, rekisteröidään solmu Webex-pilveen ja muutetaan se Hybriditietoturvan solmuksi.

Kun rekisteröit ensimmäisen solmun, luot klusterin, johon solmu liitetään. Klusteri sisältää yhden tai useamman solmun, jotka on sijoitettu tarjoamaan redundanssia.

Ennen kuin aloitat

  • Kun aloitat solmun rekisteröinnin, sinun on saatettava se päätökseen 60 minuutin kuluessa tai sinun on aloitettava alusta.

  • Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen admin.webex.com-sivustolle.

1

Kirjaudu sisään osoitteessa https://admin.webex.com.

2

Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

3

Etsi Cloud Services -osiosta Hybrid Data Security -kortti ja napsauta Set up.

4

Valitse avautuvalla sivulla Add a resource.

5

Kirjoita kortin Add a node ensimmäiseen kenttään nimi klusterille, johon haluat määrittää Hybrid Data Security -solmun.

Suosittelemme, että nimeät klusterin sen mukaan, missä klusterin solmut sijaitsevat maantieteellisesti. Esimerkkejä: "San Francisco" tai "New York" tai "Dallas".

6

Kirjoita toiseen kenttään solmun sisäinen IP-osoite tai FQDN (fully qualified domain name) ja napsauta näytön alareunassa Add .

Tämän IP-osoitteen tai FQDN:n tulisi vastata IP-osoitetta tai isäntänimeä ja toimialuetta, joita käytit kohdassa Hybrid Data Security VM:n määrittäminen.

Näyttöön tulee viesti, jossa ilmoitetaan, että voit rekisteröidä solmun Webexiin.
7

Napsauta Go to Node.

Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmujen yhteystesteihin. Jos kaikki testit ovat onnistuneet, Salli pääsy hybridi-tietoturvasolmulle -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa Webex-organisaatiollesi oikeudet käyttää solmua.

8

Tarkista Allow Access to Your Hybrid Data Security Node -valintaruutu ja napsauta sitten Continue.

Tilisi on vahvistettu ja "Rekisteröinti valmis" -viesti osoittaa, että solmusi on nyt rekisteröity Webex-pilveen.
9

Napsauta linkkiä tai sulje välilehti, niin pääset takaisin Partner Hub Hybrid Data Security -sivulle.

Hybrid Data Security -sivulla Resurssit -välilehdellä näkyy uusi klusteri, joka sisältää rekisteröimäsi solmun. Solmu lataa automaattisesti uusimman ohjelmiston pilvestä.

Luo ja rekisteröi lisää solmuja

Jos haluat lisätä klusteriin lisää solmuja, luot yksinkertaisesti uusia VM:iä ja asennat saman konfigurointi-ISO-tiedoston ja rekisteröit solmun. Suosittelemme, että sinulla on vähintään 3 solmua.

Ennen kuin aloitat

  • Kun aloitat solmun rekisteröinnin, sinun on saatettava se päätökseen 60 minuutin kuluessa tai sinun on aloitettava alusta.

  • Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen admin.webex.com-sivustolle.

1

Luo uusi virtuaalikone OVA:sta toistamalla vaiheet osoitteessa Install the HDS Host OVA.

2

Määritä uuden VM:n alkukokoonpano toistamalla kohdasta Set up the Hybrid Data Security VM löytyvät vaiheet.

3

Toista uudessa VM:ssä vaiheet osoitteessa Lataa ja asenna HDS-kokoonpanon ISO.

4

Jos otat käyttöön välityspalvelimen, toista kohdan Configure the HDS Node for Proxy Integration vaiheet tarpeen mukaan uutta solmua varten.

5

Rekisteröi solmu.

  1. Valitse https://admin.webex.com-sivustolla Palvelut näytön vasemmassa reunassa olevasta valikosta.

  2. Etsi Cloud Services -osiosta Hybrid Data Security -kortti ja napsauta View all.

    Hybriditietoturvaresurssit-sivu tulee näkyviin.

  3. Äskettäin luotu klusteri näkyy sivulla Resurssit .

  4. Klikkaa klusteria nähdäksesi klusteriin määritetyt solmut.

  5. Napsauta Add a node näytön oikeassa reunassa.

  6. Kirjoita solmun sisäinen IP-osoite tai FQDN (fully qualified domain name) ja napsauta Add.

    Avautuu sivu, jossa on viesti, jonka mukaan voit rekisteröidä solmun Webex-pilveen. Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmujen yhteystesteihin. Jos kaikki testit ovat onnistuneet, Salli pääsy hybridi-tietoturvasolmulle -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa organisaatiollesi oikeudet käyttää solmua.

  7. Tarkista Allow Access to Your Hybrid Data Security Node -valintaruutu ja napsauta sitten Continue.

    Tilisi on vahvistettu ja "Rekisteröinti valmis" -viesti osoittaa, että solmusi on nyt rekisteröity Webex-pilveen.

  8. Napsauta linkkiä tai sulje välilehti, niin pääset takaisin Partner Hub Hybrid Data Security -sivulle.

    Node added ponnahdusviesti näkyy myös Partner Hubin näytön alareunassa.

    Solmusi on rekisteröity.

Hallitse vuokralaisorganisaatioita Multi-Tenant Hybrid Data Security -palvelussa.

Aktivoi Multi-Tenant HDS Partner Hubissa.

Tällä tehtävällä varmistetaan, että kaikki asiakasorganisaatioiden käyttäjät voivat alkaa hyödyntää HDS:n On-Premises-salausavaimia ja muita tietoturvapalveluja.

Ennen kuin aloitat

Varmista, että olet saanut valmiiksi Multi-Tenant HDS -klusterin määrityksen, jossa on tarvittava määrä solmuja.

1

Kirjaudu sisään osoitteessa https://admin.webex.com.

2

Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

3

Etsi Pilvipalvelut-osiosta Hybrid Data Security ja napsauta Muokkaa asetuksia.

4

Napsauta Aktivoi HDS HDS Status -kortilla Aktivoi HDS .

Lisää vuokralaisorganisaatioita Partner Hubiin

Tässä tehtävässä määrität asiakasorganisaatiot hybridi-tietoturvaklusteriin.

1

Kirjaudu sisään osoitteessa https://admin.webex.com.

2

Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

3

Etsi Cloud Services -osiosta Hybrid Data Security ja napsauta View all.

4

Napsauta klusteria, johon haluat määrittää asiakkaan.

5

Siirry välilehdelle Assigned customers .

6

Napsauta Lisää asiakkaita.

7

Valitse avattavasta valikosta asiakas, jonka haluat lisätä.

8

Napsauta Add, asiakas lisätään klusteriin.

9

Toista vaiheet 6-8 lisätäksesi useita asiakkaita klusteriin.

10

Kun olet lisännyt asiakkaat, napsauta näytön alareunassa Done .

Mitä tehdä seuraavaksi

Käynnistä HDS-asennustyökalu, kuten kohdassa on kuvattu. Create Customer Main Keys (CMKs) using the HDS Setup tool (Luo asiakkaan pääavaimet (CMK:t) HDS-asennustyökalun avulla), jotta saat asennusprosessin päätökseen.

Luo asiakkaan pääavaimet (CMK) HDS Setup -työkalulla.

Ennen kuin aloitat

Määritä asiakkaat sopivaan klusteriin, kuten kohdassa Add tenant organizations in Partner Hub on kuvattu. Suorita HDS Setup -työkalu, jotta saat äskettäin lisättyjen asiakasorganisaatioiden määritysprosessin päätökseen.

  • HDS Setup -työkalu toimii Docker-säiliönä paikallisella koneella. Voit käyttää sitä suorittamalla Dockerin kyseisellä koneella. Asennusprosessi edellyttää Partner Hub -tilin tunnistetietoja, joilla on organisaatiosi täydet järjestelmänvalvojan oikeudet.

    Jos HDS Setup -työkalu toimii ympäristössäsi välityspalvelimen takana, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien avulla, kun käynnistät Docker-säiliön vaiheessa 5. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:

    Kuvaus

    Muuttuja

    HTTP-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTP_PROXY=http://SERVER_IP:PORTTI IP:PORTTI

    HTTPS-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTPS_PROXY=http://SERVER_IP:PORTTI

    HTTP-välityspalvelin todennuksen kanssa

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

    HTTPS-välityspalvelin todennuksella

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

  • Luomasi konfigurointi-ISO-tiedosto sisältää pääavaimen, jolla PostgreSQL- tai Microsoft SQL Server -tietokanta salataan. Tarvitset uusimman kopion tästä tiedostosta aina, kun teet määritysmuutoksia, kuten näitä:

    • Tietokannan tunnistetiedot

    • Todistuksen päivitykset

    • Muutokset valtuutuskäytäntöön

  • Jos aiot salata tietokantayhteyksiä, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:ää varten.

Hybrid Data Security -asennusprosessi luo ISO-tiedoston. Tämän jälkeen voit määrittää Hybrid Data Security -isäntäsovelluksen ISO-version avulla.

1

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

2

Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti:

docker login -u hdscustomersro
3

Kirjoita salasanakehotteeseen tämä hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Lataa uusin vakaa imago ympäristöllesi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:

  • Tavallisissa ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • FedRAMP-ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080".

6

Setup-työkalu ei tue yhteyden muodostamista localhostiin http://localhost:8080 kautta. Käytä http://127.0.0.1:8080 muodostaaksesi yhteyden localhostiin.

Siirry verkkoselaimella osoitteeseen localhost, http://127.0.0.1:8080, ja kirjoita kehotteeseen Partner Hubin admin-käyttäjätunnus.

Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää asettaakseen oikean ympäristön kyseiselle tilille. Tämän jälkeen työkalu näyttää tavallisen kirjautumiskehotteen.

7

Anna pyydettäessä Partner Hubin ylläpitäjän kirjautumistiedot ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn hybriditietoturvan edellyttämiin palveluihin.

8

Napsauta Setup Tool -katsaussivulla Get Started.

9

Valitse ISO Import -sivulla Yes.

10

Valitse ISO-tiedosto selaimessa ja lataa se.

Varmista yhteys tietokantaan CMK:n hallintaa varten.
11

Siirry Vuokralaisen CMK:n hallinta -välilehdelle, jossa on seuraavat kolme tapaa hallita vuokralaisen CMK:ta.

  • Create CMK for all ORGs tai Create CMK - Napsauta tätä painiketta näytön yläreunassa olevassa bannerissa luodaksesi CMK:t kaikille äskettäin lisätyille organisaatioille.
  • Napsauta Manage CMKs -painiketta näytön oikeassa reunassa ja napsauta Create CMKs luodaksesi CMK:t kaikille äskettäin lisätyille organisaatioille.
  • Napsauta ... tietyn organisaation CMK-hallinnan odottavan tilan lähellä taulukossa ja napsauta Create CMK luodaksesi CMK:n kyseiselle organisaatiolle.
12

Kun CMK:n luominen on onnistunut, tila muuttuu taulukossa CMK:n hallinta vireillä -tilasta CMK hallinnoitu-tilaan.

13

Jos CMK:n luominen ei onnistu, näyttöön tulee virheilmoitus.

Poista vuokralaisorganisaatiot

Ennen kuin aloitat

Poistamisen jälkeen asiakasorganisaatioiden käyttäjät eivät voi hyödyntää HDS:ää salaustarpeisiinsa ja menettävät kaikki olemassa olevat tilat. Ennen asiakasorganisaatioiden poistamista ota yhteyttä Cisco-kumppaniin tai asiakaspäällikköön.

1

Kirjaudu sisään osoitteessa https://admin.webex.com.

2

Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

3

Etsi Cloud Services -osiosta Hybrid Data Security ja napsauta View all.

4

Napsauta Resurssit -välilehdellä klusteria, josta haluat poistaa asiakasorganisaatiot.

5

Valitse avautuvalla sivulla Assigned Customers.

6

Napsauta näkyviin tulevasta asiakasorganisaatioiden luettelosta ... sen asiakasorganisaation oikealla puolella, jonka haluat poistaa, ja napsauta Poista klusterista.

Mitä tehdä seuraavaksi

Suorita poistoprosessi loppuun peruuttamalla asiakasorganisaatioiden CMK-tunnukset osoitteessa Revoke CMKs of tenants removed from HDS.

HDS:stä poistettujen vuokralaisten CMK-tunnusten peruuttaminen.

Ennen kuin aloitat

Poista asiakkaat kyseisestä klusterista, kuten kohdassa Remove tenant organizations on kuvattu. Suorita HDS-asennustyökalu, jotta poistettujen asiakasorganisaatioiden poistoprosessi saadaan päätökseen.

  • HDS Setup -työkalu toimii Docker-säiliönä paikallisella koneella. Voit käyttää sitä suorittamalla Dockerin kyseisellä koneella. Asennusprosessi edellyttää Partner Hub -tilin tunnistetietoja, joilla on organisaatiosi täydet järjestelmänvalvojan oikeudet.

    Jos HDS Setup -työkalu toimii ympäristössäsi välityspalvelimen takana, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien avulla, kun käynnistät Docker-säiliön vaiheessa 5. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:

    Kuvaus

    Muuttuja

    HTTP-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTP_PROXY=http://SERVER_IP:PORTTI IP:PORTTI

    HTTPS-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTPS_PROXY=http://SERVER_IP:PORTTI

    HTTP-välityspalvelin todennuksen kanssa

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

    HTTPS-välityspalvelin todennuksella

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

  • Luomasi konfigurointi-ISO-tiedosto sisältää pääavaimen, jolla PostgreSQL- tai Microsoft SQL Server -tietokanta salataan. Tarvitset uusimman kopion tästä tiedostosta aina, kun teet määritysmuutoksia, kuten näitä:

    • Tietokannan tunnistetiedot

    • Todistuksen päivitykset

    • Muutokset valtuutuskäytäntöön

  • Jos aiot salata tietokantayhteyksiä, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:ää varten.

Hybrid Data Security -asennusprosessi luo ISO-tiedoston. Tämän jälkeen voit määrittää Hybrid Data Security -isäntäsovelluksen ISO-version avulla.

1

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

2

Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti:

docker login -u hdscustomersro
3

Kirjoita salasanakehotteeseen tämä hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Lataa uusin vakaa imago ympäristöllesi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:

  • Tavallisissa ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • FedRAMP-ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080".

6

Setup-työkalu ei tue yhteyden muodostamista localhostiin http://localhost:8080 kautta. Käytä http://127.0.0.1:8080 muodostaaksesi yhteyden localhostiin.

Siirry verkkoselaimella osoitteeseen localhost, http://127.0.0.1:8080, ja kirjoita kehotteeseen Partner Hubin admin-käyttäjätunnus.

Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää asettaakseen oikean ympäristön kyseiselle tilille. Tämän jälkeen työkalu näyttää tavallisen kirjautumiskehotteen.

7

Anna pyydettäessä Partner Hubin ylläpitäjän kirjautumistiedot ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn hybriditietoturvan edellyttämiin palveluihin.

8

Napsauta Setup Tool -katsaussivulla Get Started.

9

Valitse ISO Import -sivulla Yes.

10

Valitse ISO-tiedosto selaimessa ja lataa se.

11

Siirry Vuokralaisen CMK:n hallinta -välilehdelle, jossa on seuraavat kolme tapaa hallita vuokralaisen CMK:ta.

  • Revoke CMK for all ORGs or Revoke CMK - Napsauta tätä painiketta näytön yläreunassa olevassa bannerissa peruuttaaksesi kaikkien poistettujen organisaatioiden CMK:t.
  • Napsauta Manage CMKs -painiketta näytön oikeassa reunassa ja napsauta Revoke CMKs peruuttaaksesi kaikkien poistettujen organisaatioiden CMK:t.
  • Napsauta ... lähellä CMK, joka peruutetaan tietyn organisaation tilaa taulukossa ja napsauta Revoke CMK peruuttaaksesi CMK:n kyseiseltä organisaatiolta.
12

Kun CMK:n peruuttaminen on onnistunut, asiakasorganisaatio ei enää näy taulukossa.

13

Jos CMK:n peruuttaminen ei onnistu, näyttöön tulee virheilmoitus.

Testaa hybriditietoturvan käyttöönottoa

Testaa hybriditietoturvan käyttöönottoa

Tällä menettelyllä voit testata Multi-Tenant Hybrid Data Security -salausskenaarioita.

Ennen kuin aloitat

  • Määritä Multi-Tenant Hybrid Data Security -käyttöönotto.

  • Varmista, että sinulla on pääsy syslogiin, jotta voit tarkistaa, että avainpyynnöt kulkevat Multi-Tenant Hybrid Data Security -käyttöönottoon.

1

Avaimet tietylle tilalle asettaa tilan luoja. Kirjaudu Webex-sovellukseen yhtenä asiakasorganisaation käyttäjistä ja luo tila.

Jos poistat hybriditietoturva-asennuksen käytöstä, käyttäjien luomien tilojen sisältöön ei enää pääse käsiksi, kun salausavainten asiakaskeskeytetyt kopiot on korvattu.

2

Lähetä viestejä uuteen tilaan.

3

Tarkista syslog-tulosteesta, että avainpyynnöt kulkevat Hybrid Data Security -käyttöönottoon.

  1. Jos haluat tarkistaa, että käyttäjä on ensin luonut suojatun kanavan KMS:ään, suodata kms.data.method=create ja kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Löydät seuraavan kaltaisen merkinnän (tunnukset on lyhennetty luettavuuden vuoksi):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] vastaanotettu, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Jos haluat tarkistaa, onko käyttäjä pyytänyt olemassa olevaa avainta KMS:stä, suodata kms.data.method=retrieve ja kms.data.type=KEY:

    Sinun pitäisi löytää seuraava merkintä:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] vastaanotettu, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Jos haluat tarkistaa, onko käyttäjä pyytänyt uuden KMS-avaimen luomista, suodata kms.data.method=create ja kms.data.type=KEY_COLLECTION:

    Sinun pitäisi löytää seuraava merkintä:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] vastaanotettu, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Jos haluat tarkistaa, onko käyttäjä pyytänyt uuden KMS-resurssiobjektin (KRO) luomista, kun tila tai muu suojattu resurssi luodaan, suodata kms.data.method=create ja kms.data.type=RESOURCE_COLLECTION:

    Sinun pitäisi löytää seuraava merkintä: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] vastaanotettu, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Hybriditietojen tietoturvan tilan seuranta

Partner Hubin tilaindikaattori näyttää, onko Multi-Tenant Hybrid Data Security -käyttöönotossa kaikki kunnossa. Jos haluat ennakoivampia hälytyksiä, tilaa sähköposti-ilmoitukset. Sinulle ilmoitetaan, kun palveluun vaikuttavia hälytyksiä tai ohjelmistopäivityksiä tulee.
1

Valitse Partner Hubissa vasemmalla puolella olevasta valikosta Palvelut .

2

Etsi Pilvipalvelut-osiosta Hybrid Data Security ja napsauta Muokkaa asetuksia.

Hybriditietojen suojausasetukset -sivu tulee näkyviin.
3

Kirjoita Sähköposti-ilmoitukset-osioon yksi tai useampi sähköpostiosoite pilkuilla erotettuna ja paina Enter.

Hallitse HDS-käyttöönottoa

Hallitse HDS:n käyttöönottoa

Käytä tässä kuvattuja tehtäviä Hybrid Data Security -käyttöönoton hallintaan.

Aseta klusterin päivitysaikataulu

Hybrid Data Securityn ohjelmistopäivitykset tehdään automaattisesti klusteritasolla, mikä varmistaa, että kaikissa solmuissa on aina sama ohjelmistoversio. Päivitykset tehdään klusterin päivitysaikataulun mukaisesti. Kun ohjelmistopäivitys tulee saataville, voit päivittää klusterin manuaalisesti ennen suunniteltua päivitysaikaa. Voit määrittää tietyn päivitysaikataulun tai käyttää oletusaikataulua 3:00 AM Daily United States: Amerikka/Los Angeles. Voit myös tarvittaessa lykätä tulevaa päivitystä.

Päivityksen aikataulun asettaminen:

1

Kirjaudu sisään Partner Hubiin.

2

Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

3

Etsi Cloud Services -osiosta Hybrid Data Security ja napsauta Set up (Määritä).

4

Valitse klusteri Hybriditietoturvaresurssit-sivulla.

5

Napsauta Cluster Settings -välilehteä.

6

Valitse klusterin asetukset -sivun kohdassa Päivitysaikataulu päivitysaikataulun kellonaika ja aikavyöhyke.

Huomautus: Aikavyöhykkeen alla näkyy seuraava saatavilla oleva päivityspäivä ja -aika. Voit tarvittaessa siirtää päivityksen seuraavalle päivälle napsauttamalla Postpone by 24 hours.

Solmun kokoonpanon muuttaminen

Joskus sinun on ehkä muutettava Hybrid Data Security -solmun kokoonpanoa esimerkiksi seuraavista syistä:

  • x.509-varmenteiden muuttaminen vanhentumisen tai muiden syiden vuoksi.

    Emme tue varmenteen CN-verkkotunnuksen nimen muuttamista. Verkkotunnuksen on vastattava klusterin rekisteröinnissä käytettyä alkuperäistä verkkotunnusta.

  • Tietokanta-asetusten päivittäminen PostgreSQL- tai Microsoft SQL Server -tietokannan kopion vaihtamiseksi.

    Emme tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin tai päinvastoin. Jos haluat vaihtaa tietokantaympäristön, aloita uusi Hybrid Data Security -käyttöönotto.

  • Uuden kokoonpanon luominen uuden datakeskuksen valmistelemiseksi.

Hybrid Data Security käyttää turvallisuussyistä myös palvelutilien salasanoja, joiden käyttöikä on yhdeksän kuukautta. Kun HDS-asennustyökalu on luonut nämä salasanat, otat ne käyttöön kussakin HDS-solmussa ISO-määritystiedostossa. Kun organisaatiosi salasanojen voimassaolo lähestyy päättymistään, saat Webex-tiimiltä ilmoituksen, jossa pyydetään palauttamaan konetilisi salasana. (Sähköpostiviestissä on teksti: "Päivitä salasana konetilin API:n avulla."). Jos salasanasi eivät ole vielä vanhentuneet, työkalu antaa sinulle kaksi vaihtoehtoa:

  • Pehmeä nollaus- Vanha ja uusi salasana toimivat molemmat enintään 10 päivän ajan. Käytä tätä ajanjaksoa ISO-tiedoston korvaamiseen solmuissa vähitellen.

  • Hard reset- Vanhat salasanat lakkaavat toimimasta välittömästi.

Jos salasanasi vanhenevat ilman nollausta, se vaikuttaa HDS-palveluun ja edellyttää välitöntä kovaa nollausta ja ISO-tiedoston vaihtamista kaikissa solmuissa.

Tämän menettelyn avulla voit luoda uuden ISO-konfiguraatiotiedoston ja soveltaa sitä klusteriin.

Ennen kuin aloitat

  • HDS Setup -työkalu toimii Docker-säiliönä paikallisella koneella. Voit käyttää sitä suorittamalla Dockerin kyseisellä koneella. Asennusprosessi edellyttää Partner Hub -tilin tunnistetietoja, joilla on kumppanin täydet järjestelmänvalvojan oikeudet .

    Jos HDS Setup -työkalu toimii ympäristössäsi välityspalvelimen takana, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien avulla, kun käynnistät Docker-säiliön osoitteessa 1.e. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:

    Kuvaus

    Muuttuja

    HTTP-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTP_PROXY=http://SERVER_IP:PORTTI IP:PORTTI

    HTTPS-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTPS_PROXY=http://SERVER_IP:PORTTI

    HTTP-välityspalvelin todennuksen kanssa

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

    HTTPS-välityspalvelin todennuksella

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

  • Tarvitset kopion nykyisestä kokoonpanon ISO-tiedostosta, jotta voit luoda uuden kokoonpanon. ISO-tietokanta sisältää pääavaimen, jolla PostgreSQL- tai Microsoft SQL Server -tietokanta salataan. Tarvitset ISO-tietoa, kun teet määritysmuutoksia, kuten tietokannan valtuustiedot, varmenteen päivitykset tai valtuutuskäytännön muutokset.

1

Suorita HDS-asennustyökalu Dockerin avulla paikallisella koneella.

  1. Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

    Tavallisissa ympäristöissä:

    docker rmi ciscocitg/hds-setup:stable

    FedRAMP-ympäristöissä:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Tämä vaihe puhdistaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

  2. Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti:

    docker login -u hdscustomersro

  3. Kirjoita salasanakehotteeseen tämä hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Lataa uusin vakaa imago ympäristöllesi:

    Tavallisissa ympäristöissä:

    docker pull ciscocitg/hds-setup:stable

    FedRAMP-ympäristöissä:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Varmista, että otat käyttöön uusimman asennustyökalun tätä toimenpidettä varten. Ennen 22. helmikuuta 2018 luoduissa työkalun versioissa ei ole salasanan palautusnäyttöjä.

  5. Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:

    • Tavallisissa ympäristöissä ilman välityspalvelinta:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • FedRAMP-ympäristöissä ilman välityspalvelinta:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080".

  6. Ota selaimella yhteys osoitteeseen localhost, http://127.0.0.1:8080.

    Setup-työkalu ei tue yhteyden muodostamista localhostiin http://localhost:8080 kautta. Käytä http://127.0.0.1:8080 muodostaaksesi yhteyden localhostiin.

  7. Anna pyydettäessä Partner Hub -asiakkaan kirjautumistiedot ja jatka sitten klikkaamalla Accept .

  8. Tuo nykyinen kokoonpano ISO-tiedosto.

  9. Suorita työkalu loppuun ja lataa päivitetty tiedosto noudattamalla ohjeita.

    Voit sammuttaa Setup-työkalun kirjoittamalla CTRL+C.

  10. Luo varmuuskopio päivitetystä tiedostosta toiseen datakeskukseen.

2

Jos sinulla on vain yksi HDS-solmu, jossa on käytössä, luo uusi Hybrid Data Security -solmun VM ja rekisteröi se käyttämällä uutta konfigurointi-ISO-tiedostoa. Tarkempia ohjeita on osoitteessa Create and register more nodes.

  1. Asenna HDS-isännän OVA.

  2. Määritä HDS VM.

  3. Kiinnitä päivitetty kokoonpanotiedosto.

  4. Rekisteröi uusi solmu Partner Hubissa.

3

Asenna ISO-tiedosto olemassa oleviin HDS-solmuihin, joissa on käytössä vanhempi kokoonpanotiedosto. Suorita seuraavat toimenpiteet jokaiselle solmulle vuorotellen ja päivitä jokainen solmu ennen seuraavan solmun sammuttamista:

  1. Sammuta virtuaalikone.

  2. Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia.

  3. Napsauta CD/DVD-asema 1, valitse vaihtoehto mount from an ISO file (kiinnitä ISO-tiedostosta) ja selaa paikkaan, josta latasit uuden kokoonpanon ISO-tiedoston.

  4. Tarkista Kytke virta päälle.

  5. Tallenna muutokset ja käynnistä virtuaalikone.

4

Toista vaihe 3 korvataksesi kokoonpano jokaisessa jäljellä olevassa solmussa, jossa on käytössä vanha kokoonpano.

Sammuta estetty ulkoinen DNS-resoluutiotila

Kun rekisteröit solmun tai tarkistat solmun välityspalvelinkokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex -pilveen. Jos solmun DNS-palvelin ei pysty ratkaisemaan julkisia DNS-nimiä, solmu siirtyy automaattisesti estetty ulkoinen DNS-resoluutio -tilaan.

Jos solmut pystyvät ratkaisemaan julkiset DNS-nimet sisäisten DNS-palvelimien kautta, voit poistaa tämän tilan käytöstä suorittamalla välityspalvelinyhteystestin uudelleen kussakin solmussa.

Ennen kuin aloitat

Varmista, että sisäiset DNS-palvelimesi pystyvät ratkaisemaan julkisia DNS-nimiä ja että solmusi voivat kommunikoida niiden kanssa.
1

Avaa verkkoselaimessa Hybrid Data Security -solmun käyttöliittymä (esimerkiksi IP-osoite/asetukset, https://192.0.2.0/setup), , syötä solmulle määrittämäsi järjestelmänvalvojan tunnukset ja napsauta sitten Kirjaudu sisään.

2

Siirry osoitteeseen Overview (oletussivu).

Kun se on käytössä, Estetty ulkoinen DNS-resoluutio on asetettu Kyllä.

3

Siirry Trust Store & Proxy -sivulle.

4

Napsauta Tarkista välityspalvelinyhteys.

Jos näet viestin, jonka mukaan ulkoinen DNS-resoluutio ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen, ja se pysyy tässä tilassa. Muussa tapauksessa, kun olet käynnistänyt solmun uudelleen ja palannut sivulle Overview , Blocked External DNS Resolution -asetuksen pitäisi olla ei.

Mitä tehdä seuraavaksi

Toista välityspalvelinyhteyden testaus Hybrid Data Security -klusterin jokaisessa solmussa.

Poista solmu

Tällä menettelyllä voit poistaa Hybrid Data Security -solmun Webex-pilvestä. Kun olet poistanut solmun klusterista, poista virtuaalikone, jotta suojaustietoihin ei pääse enää käsiksi.
1

Kirjaudu tietokoneen VMware vSphere -asiakasohjelmalla ESXi-virtuaali-isäntäkoneeseen ja sammuta virtuaalikone.

2

Poista solmu:

  1. Kirjaudu sisään Partner Hubiin ja valitse sitten Palvelut.

  2. Valitse Hybriditietoturva-kortissa Näytä kaikki , jolloin Hybriditietoturvaresurssit-sivu tulee näkyviin.

  3. Valitse klusteri näyttääksesi sen yleiskatsauspaneelin.

  4. Napsauta solmua, jonka haluat poistaa.

  5. Napsauta oikealle avautuvassa paneelissa Deregister this node .

  6. Voit myös poistaa solmun rekisteröinnin napsauttamalla ... solmun oikealla puolella ja valitsemalla Poista tämä solmu.

3

Poista VM vSphere-asiakasohjelmassa. (Napsauta hiiren kakkospainikkeella VM:ää vasemmassa navigointipaneelissa ja valitse Poista.)

Jos et poista VM:ää, muista poistaa konfigurointi-ISO-tiedosto. Ilman ISO-tiedostoa et voi käyttää VM:ää turvatietojen käyttämiseen.

Katastrofista palautuminen varalla olevan datakeskuksen avulla

Hybriditietoturvaklusterin tarjoama kriittisin palvelu on avainten luominen ja tallentaminen, joita käytetään viestien ja muun Webex-pilveen tallennetun sisällön salaamiseen. Jokaisen organisaatiossa olevan käyttäjän, joka on määritetty Hybrid Data Security -palveluun, uudet avainten luontipyynnöt ohjataan klusteriin. Klusteri on myös vastuussa luomiensa avainten palauttamisesta kaikille käyttäjille, joilla on oikeus hakea niitä, esimerkiksi keskusteluavaruuden jäsenille.

Koska klusterin kriittisenä tehtävänä on tarjota nämä avaimet, on ehdottoman tärkeää, että klusteri pysyy toiminnassa ja että asianmukaisia varmuuskopioita ylläpidetään. Hybriditietoturvatietokannan tai skeemassa käytetyn konfigurointi-ISO-tietokannan menetys johtaa asiakassisällön KORJAAMATTOMAAN HÄVIÖÖN. Seuraavat käytännöt ovat pakollisia tällaisten menetysten estämiseksi:

Jos katastrofi aiheuttaa sen, että ensisijaisen tietokeskuksen HDS-käyttöönotto ei ole käytettävissä, siirry manuaalisesti varakeskukseen vikasietoisesti tämän ohjeen mukaisesti.

Ennen kuin aloitat

Poista kaikkien solmujen rekisteröinti Partner Hubista, kuten kohdassa Remove a Node on mainittu. Käytä uusinta ISO-tiedostoa, joka on määritetty aiemmin aktiivisena olleen klusterin solmuja varten, suorittaaksesi alla mainitun vikasietoisen siirtomenettelyn.
1

Käynnistä HDS Setup -työkalu ja noudata kohdassa Create a Configuration ISO for the HDS Hosts mainittuja ohjeita.

2

Suorita konfigurointiprosessi loppuun ja tallenna ISO-tiedosto paikkaan, josta se on helppo löytää.

3

Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmään. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää tietokannan sisällön pääsalausavaimen. Rajoita käyttöoikeus vain niille Hybrid Data Securityn järjestelmänvalvojille, joiden pitäisi tehdä määritysmuutoksia.

4

Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia.

5

Napsauta Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.

Varmista, että Connected ja Connect at power on on valittuna, jotta päivitetyt konfiguraatiomuutokset tulevat voimaan solmujen käynnistämisen jälkeen.

6

Kytke HDS-solmuun virta ja varmista, ettei hälytyksiä ole kuulunut vähintään 15 minuuttiin.

7

Rekisteröi solmu Partner-keskukseen. Katso Rekisteröi klusterin ensimmäinen solmu.

8

Toista prosessi jokaiselle valmiustietokeskuksen solmulle.

Mitä tehdä seuraavaksi

Jos ensisijainen datakeskus aktivoituu uudelleen vikatilanteen jälkeen, poista varalla olevan datakeskuksen solmujen rekisteröinti ja toista ISO:n määrittäminen ja ensisijaisen datakeskuksen solmujen rekisteröinti edellä mainitulla tavalla.

(Valinnainen) Irrota ISO-levy HDS-konfiguraation jälkeen

HDS:n vakiokokoonpanossa ISO-levy on asennettuna. Jotkut asiakkaat eivät kuitenkaan halua jättää ISO-tiedostoja jatkuvasti asennettuna. Voit poistaa ISO-tiedoston liitännän, kun kaikki HDS-solmut ovat ottaneet uuden kokoonpanon käyttöön.

Voit edelleen käyttää ISO-tiedostoja kokoonpanomuutosten tekemiseen. Kun luot uuden ISO-tietolevyn tai päivität ISO-tietolevyn asetustyökalun avulla, päivitetty ISO-tietolevy on asennettava kaikkiin HDS-solmuihin. Kun kaikki solmusi ovat ottaneet konfiguraatiomuutokset käyttöön, voit poistaa ISO-levyn kiinnityksen uudelleen tällä tavalla.

Ennen kuin aloitat

Päivitä kaikki HDS-solmut versioon 2021.01.22.4720 tai uudempaan.

1

Sammuta yksi HDS-solmuistasi.

2

Valitse vCenter Server Appliance -laitteessa HDS-solmu.

3

Valitse Muokkaa asetuksia > CD/DVD-asema ja poista valinta Datastore ISO File.

4

Kytke HDS-solmuun virta ja varmista, että hälytyksiä ei ole tullut vähintään 20 minuuttiin.

5

Toista tämä vuorotellen jokaiselle HDS-solmulle.

Vianmääritys hybridi tietoturva

Näytä hälytykset ja vianmääritys

Hybriditietoturvakäytön katsotaan olevan käyttökelvoton, jos kaikki klusterin solmut eivät ole tavoitettavissa tai jos klusteri toimii niin hitaasti, että pyynnöt keskeytyvät. Jos käyttäjät eivät pääse Hybrid Data Security -klusteriin, he kokevat seuraavia oireita:

  • Uusia tiloja ei voida luoda (uusia avaimia ei voida luoda).

  • Viestien ja tilojen otsikot eivät onnistu salauksen purkamisessa:

    • Tilaan on lisätty uusia käyttäjiä (ei pysty hakemaan avaimia).

    • Tilan nykyiset käyttäjät, jotka käyttävät uutta asiakasta (eivät pysty hakemaan avaimia).

  • Tilan nykyiset käyttäjät jatkavat menestyksekkäästi toimintaansa niin kauan kuin heidän asiakkaillaan on salausavainten välimuisti.

On tärkeää, että valvot hybriditietoturvaklusteriasi asianmukaisesti ja käsittelet kaikki hälytykset nopeasti, jotta vältät palveluhäiriöt.

Hälytykset

Jos hybriditietoturva-asetuksissa on ongelmia, Partner Hub näyttää hälytyksiä organisaation ylläpitäjälle ja lähettää sähköpostiviestejä määritettyyn sähköpostiosoitteeseen. Hälytykset kattavat monia yleisiä skenaarioita.

Taulukko 1. Yleiset ongelmat ja niiden ratkaisemiseen tarvittavat vaiheet

Hälytys

Toiminta

Paikallisen tietokannan käyttöhäiriö.

Tarkista tietokantavirheet tai lähiverkko-ongelmat.

Paikallisen tietokantayhteyden epäonnistuminen.

Tarkista, että tietokantapalvelin on käytettävissä ja että solmun määrityksessä käytettiin oikeaa palvelutilin tunnistetietoja.

Pilvipalvelun käyttöhäiriö.

Tarkista, että solmut voivat käyttää Webex-palvelimia osoitteessa Ulkoiset yhteysvaatimukset määritellyllä tavalla.

Pilvipalvelun rekisteröinnin uusiminen.

Pilvipalveluihin rekisteröityminen lopetettiin. Rekisteröinnin uusiminen on käynnissä.

Pilvipalvelun rekisteröinti lopetettu.

Rekisteröinti pilvipalveluihin lopetettu. Palvelu suljetaan.

Palvelua ei ole vielä aktivoitu.

Aktivoi HDS Partner Hubissa.

Määritetty verkkotunnus ei vastaa palvelimen varmennetta.

Varmista, että palvelimen varmenne vastaa määritettyä palvelun aktivointialuetta.

Todennäköisin syy on se, että varmenteen CN-nimike on äskettäin vaihdettu ja se on nyt eri kuin alkuperäisen asennuksen aikana käytetty CN-nimike.

Pilvipalveluiden todennus epäonnistui.

Tarkista palvelutilin tunnusten oikeellisuus ja mahdollinen vanhentuminen.

Paikallista avainsäilytystiedostoa ei onnistuttu avaamaan.

Tarkista paikallisen avainsäilytystiedoston eheys ja salasanan oikeellisuus.

Paikallisen palvelimen varmenne on virheellinen.

Tarkista palvelimen varmenteen voimassaoloaika ja varmista, että sen on myöntänyt luotettava varmentaja.

Metriikoita ei voi lähettää.

Tarkista paikallisverkon pääsy ulkoisiin pilvipalveluihin.

/media/configdrive/hds-hakemistoa ei ole olemassa.

Tarkista virtuaalisen isäntäkoneen ISO-kiinnityskonfiguraatio. Tarkista, että ISO-tiedosto on olemassa, että se on määritetty liitettäväksi uudelleenkäynnistyksen yhteydessä ja että se liitetään onnistuneesti.

Vuokralaisen organisaation asetuksia ei ole saatu valmiiksi lisättyjen organisaatioiden osalta.

Viimeistele asennus luomalla CMK:t äskettäin lisätyille vuokralaisorganisaatioille HDS Setup Tool -työkalun avulla.

Vuokralaisen organisaation asetuksia ei ole saatu valmiiksi poistettujen organisaatioiden osalta.

Viimeistele asennus peruuttamalla HDS Setup Tool -työkalulla poistettujen vuokralaisorganisaatioiden CMK-tunnukset.

Vianmääritys hybridi tietoturva

Käytä seuraavia yleisiä ohjeita, kun ratkaiset Hybrid Data Securityn ongelmia.
1

Tarkista Partner Hubista mahdolliset hälytykset ja korjaa kaikki sieltä löytyvät kohteet. Katso viitteeksi alla oleva kuva.

2

Tarkista syslog-palvelimen tulosteet Hybrid Data Security -käyttöönoton toiminnan osalta. Suodata sanoja kuten "Varoitus" ja "Virhe" vianmäärityksen helpottamiseksi.

3

Ota yhteyttä osoitteeseen Ciscon tuki.

Muut huomautukset

Hybriditietoturvan tunnetut ongelmat

  • Jos sammutat Hybrid Data Security -klusterin (poistamalla sen Partner Hubissa tai sammuttamalla kaikki solmut), menetät määritys-ISO-tiedoston tai menetät pääsyn avainsäilytystietokantaan, asiakasorganisaatioiden Webex App -käyttäjät eivät voi enää käyttää henkilöluettelossaan olevia tiloja, jotka on luotu KMS-avaimilla. Meillä ei ole tällä hetkellä ratkaisua tai korjausta tähän ongelmaan, ja kehotamme sinua olemaan sammuttamatta HDS-palveluja, kun ne käsittelevät aktiivisia käyttäjätilejä.

  • Asiakas, jolla on olemassa oleva ECDH-yhteys KMS-järjestelmään, säilyttää yhteyden tietyn ajan (todennäköisesti tunnin).

Käytä OpenSSL:ää PKCS12-tiedoston luomiseen

Ennen kuin aloitat

  • OpenSSL on yksi työkalu, jota voidaan käyttää PKCS12-tiedoston saattamiseen oikeaan muotoon HDS-asennustyökalun lataamista varten. On muitakin tapoja tehdä tämä, emmekä me tue tai suosittele yhtä tapaa toisen sijaan.

  • Jos päätät käyttää OpenSSL:ää, annamme tämän ohjeen, jonka avulla voit luoda tiedoston, joka täyttää X.509-varmenteen vaatimukset osoitteessa X.509 Certificate Requirements. Ymmärrä nämä vaatimukset ennen kuin jatkat.

  • Asenna OpenSSL tuettuun ympäristöön. Katso ohjelmisto ja dokumentaatio osoitteesta https://www.openssl.org .

  • Luo yksityinen avain.

  • Aloita tämä toimenpide, kun saat palvelinvarmenteen varmentajalta.

1

Kun saat palvelinvarmenteen varmentajalta, tallenna se osoitteeseen hdsnode.pem.

2

Näytä varmenne tekstinä ja tarkista tiedot.

openssl x509 -text -noout -in hdsnode.pem

3

Luo tekstieditorilla varmennepakettitiedosto nimeltä hdsnode-bundle.pem. Pakettitiedoston on sisällettävä palvelinvarmenne, mahdolliset välivarmentajan varmenteet ja päävarmentajan varmenteet alla olevassa muodossa:

-----BEGIN CERTIFICATE----- ### Palvelinsertifikaatti. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----

4

Luo .p12-tiedosto, jonka nimi on kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Tarkista palvelimen varmenteen tiedot.

  1. openssl pkcs12 -in hdsnode.p12

  2. Kirjoita kehotteeseen salasana salataksesi yksityisen avaimen niin, että se näkyy tulosteessa. Tarkista sitten, että yksityinen avain ja ensimmäinen varmenne sisältävät rivit friendlyName: kms-private-key.

    Esimerkki:

    bash$ openssl pkcs12 -in hdsnode.p12 Anna tuontisalasana: MAC tarkistettu OK Laukun attribuutit friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Keskeiset ominaisuudet:  Syötä PEM-salasana: Verifying - Syötä PEM-salasana: -----BEGIN ENCRYPTED PRIVATE KEY-----  -----END ENCRYPTED PRIVATE KEY----- Laukun ominaisuudet friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE----- Laukku Attribuutit friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE-----

Mitä tehdä seuraavaksi

Palaa osoitteeseen Suorita Hybriditietoturvan edellytykset. Käytät hdsnode.p12 -tiedostoa ja sille asettamaasi salasanaa kohdassa Luo konfigurointi-ISO HDS-isäntäasemille.

Voit käyttää näitä tiedostoja uudelleen uuden varmenteen pyytämiseen, kun alkuperäinen varmenne vanhenee.

HDS-solmujen ja pilvipalvelun välinen liikenne

Lähtevien mittareiden keräysliikenne

Hybriditietoturvasolmut lähettävät tiettyjä mittareita Webex-pilveen. Näihin kuuluvat järjestelmän metriikat, jotka koskevat kasan enimmäismäärää, käytettyä kasaa, suorittimen kuormitusta ja säikeiden lukumäärää, synkronisten ja asynkronisten säikeiden metriikat, salausyhteyksien kynnysarvoa, viiveaikaa tai pyyntöjonon pituutta koskevien hälytysten metriikat, tietovaraston metriikat ja salausyhteyksien metriikat. Solmut lähettävät salatun avainmateriaalin kaistan ulkopuolisen (pyynnöstä erillisen) kanavan kautta.

Saapuva liikenne

Hybriditietoturvasolmut vastaanottavat Webex-pilvestä seuraavanlaista saapuvaa liikennettä:

  • Asiakkaiden salauspyynnöt, jotka salauspalvelu ohjaa eteenpäin.

  • Solmuohjelmiston päivitykset

Määritä Squid-välityspalvelimet hybridi-dataturvallisuutta varten

Websocket ei voi muodostaa yhteyttä Squid-proxyn kautta

HTTPS-liikennettä tarkastavat Squid-välityspalvelimet voivat häiritä Hybrid Data Securityn edellyttämien websocket-yhteyksien (wss:) muodostamista. Näissä osioissa annetaan ohjeita siitä, miten Squidin eri versiot voidaan konfiguroida sivuuttamaan wss: liikenne palvelujen moitteettoman toiminnan varmistamiseksi.

Kalmarit 4 ja 5

Lisää on_unsupported_protocol -direktiivi osoitteeseen squid.conf:

on_unsupported_protocol tunneli kaikki

Squid 3.5.27

Testasimme onnistuneesti Hybrid Data Securitya seuraavien sääntöjen avulla, jotka lisättiin osoitteeseen squid.conf. Nämä säännöt voivat muuttua, kun kehitämme ominaisuuksia ja päivitämme Webex-pilveä.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Uudet ja muuttuneet tiedot

Uudet ja muuttuneet tiedot

Tämä taulukko kattaa uudet ominaisuudet tai toiminnot, muutokset olemassa olevaan sisältöön ja kaikki merkittävät virheet, jotka on korjattu osoitteessa Deployment Guide for Multi-Tenant Hybrid Data Security.

Päiväys

Tehdyt muutokset

tammikuu 15, 2025

Lisättyjä rajoituksia usean vuokralaisen hybriditietoturvaan.

tammikuu 08, 2025

Lisätty huomautus kohtaan Suorita alkuasetukset ja lataa asennustiedostot , jossa todetaan, että asennusprosessin tärkeä vaihe on napsauttamalla Partner Hubin HDS-kortin Set up .

tammikuu 07, 2025

Päivitetty Virtual Host -vaatimukset, Hybrid Data Security Deployment Task Flow ja Install the HDS Host OVA osoittamaan ESXi 7.0:n uudet vaatimukset.

13. joulukuuta 2024

Julkaistu ensimmäisen kerran.

Multi-Tenant Hybrid Data Security -tietoturvan poistaminen käytöstä

Multi-Tenant HDS:n deaktivointitehtävän kulku

Voit poistaa Multi-Tenant HDS:n käytöstä kokonaan noudattamalla seuraavia ohjeita.

Ennen kuin aloitat

Tämän tehtävän saa suorittaa vain kumppanin täysivaltainen järjestelmänvalvoja.
1

Poista kaikki asiakkaat kaikista klustereistasi, kuten kohdassa Remove tenant organizations on mainittu.

2

Peruuta kaikkien asiakkaiden CMK:t, kuten mainitaan osoitteessa Peruuta HDS:stä poistettujen vuokralaisten CMK:t..

3

Poista kaikki solmut kaikista klustereistasi, kuten kohdassa Remove a Node on mainittu.

4

Poista kaikki klusterit Partner Hubista jommallakummalla seuraavista kahdesta menetelmästä.

  • Napsauta poistettavaa klusteria ja valitse yleiskatsaussivun oikeassa yläkulmassa Delete this Cluster .
  • Napsauta Resurssit-sivulla ... klusterin oikealla puolella ja valitse Poista klusteri.
5

Napsauta Asetukset -välilehteä Hybriditietojen suojauksen yleiskatsaussivulla ja napsauta Deactivate HDS HDS Status -kortissa.

Aloita Multi-Tenant Hybrid Data Security -palvelun käyttäminen

Multi-Tenant Hybrid Data Security - yleiskatsaus

Webex Appin suunnittelussa on alusta alkaen keskitytty ensisijaisesti tietoturvaan. Tämän turvallisuuden kulmakivi on päästä päähän -sisällön salaus, jonka Webex App -asiakkaat mahdollistavat avaintenhallintapalvelun (Key Management Service, KMS) kanssa. KMS vastaa niiden salausavainten luomisesta ja hallinnasta, joita asiakkaat käyttävät viestien ja tiedostojen dynaamiseen salaamiseen ja salauksen purkamiseen.

Oletusarvoisesti kaikki Webex App -asiakkaat saavat päästä päähän -salauksen, jonka dynaamiset avaimet on tallennettu pilven KMS-järjestelmään, Ciscon tietoturva-alueelle. Hybrid Data Security siirtää KMS:n ja muut tietoturvaan liittyvät toiminnot yrityksen datakeskukseen, joten salatun sisällön avaimet eivät ole kenelläkään muulla kuin sinulla.

Multi-Tenant Hybrid Data Security antaa organisaatioille mahdollisuuden hyödyntää HDS:ää luotettavan paikallisen kumppanin kautta, joka voi toimia palveluntarjoajana ja hallita tiloissa tapahtuvaa salausta ja muita tietoturvapalveluja. Tämä asetus antaa kumppaniorganisaatiolle täydellisen hallinnan salausavainten käyttöönotosta ja hallinnasta ja varmistaa, että asiakasorganisaatioiden käyttäjätiedot ovat turvassa ulkopuoliselta käytöltä. Kumppaniorganisaatiot asentavat HDS-instansseja ja luovat HDS-klustereita tarpeen mukaan. Kukin instanssi voi tukea useita asiakasorganisaatioita toisin kuin tavallinen HDS-käyttöönotto, joka on rajoitettu yhteen organisaatioon.

Vaikka kumppaniorganisaatiot hallitsevat käyttöönottoa ja hallintaa, niillä ei ole pääsyä asiakkaiden tuottamiin tietoihin ja sisältöön. Tämä käyttöoikeus on rajoitettu asiakasorganisaatioihin ja niiden käyttäjiin.

Näin myös pienemmät organisaatiot voivat hyödyntää HDS:ää, sillä luotettava paikallinen kumppani omistaa avainhallintapalvelun ja tietoturvainfrastruktuurin, kuten datakeskukset.

Miten Multi-Tenant Hybrid Data Security tarjoaa tietojen suvereenisuutta ja tiedonhallintaa

  • Käyttäjän luoma sisältö on suojattu ulkopuoliselta käytöltä, kuten pilvipalvelujen tarjoajilta.
  • Paikalliset luotetut kumppanit hallinnoivat niiden asiakkaiden salausavaimia, joihin niillä on jo vakiintunut suhde.
  • Mahdollisuus paikalliseen tekniseen tukeen, jos kumppani tarjoaa sitä.
  • Tukee kokousten, viestien ja puhelujen sisältöä.

Tämän asiakirjan tarkoituksena on auttaa kumppaniorganisaatioita perustamaan ja hallitsemaan asiakkaita Multi-Tenant Hybrid Data Security -järjestelmässä.

Monen käyttäjän hybriditietoturvan rajoitukset

  • Kumppaniorganisaatioilla ei saa olla aktiivista HDS-käyttöönottoa Control Hubissa.
  • Vuokralais- tai asiakasorganisaatioilla, joita kumppani haluaa hallita, ei saa olla olemassa olevaa HDS-käyttöönottoa Control Hubissa.
  • Kun kumppani on ottanut Multi-Tenant HDS:n käyttöön, kaikki asiakasorganisaatioiden käyttäjät sekä kumppaniorganisaation käyttäjät alkavat hyödyntää Multi-Tenant HDS:ää salauspalveluissaan.

    Kumppaniorganisaatio ja heidän hallinnoimansa asiakasorganisaatiot ovat samassa Multi-Tenant HDS -käyttöönotossa.

    Kumppaniorganisaatio ei enää käytä pilvi-KMS:ää sen jälkeen, kun Multi-Tenant HDS on otettu käyttöön.

  • Avaimia ei voi siirtää takaisin Cloud KMS:ään HDS:n käyttöönoton jälkeen.
  • Tällä hetkellä jokaisessa Multi-Tenant HDS -käyttöönotossa voi olla vain yksi klusteri, jonka alla on useita solmuja.
  • Järjestelmänvalvojan rooleilla on tiettyjä rajoituksia; katso lisätietoja alla olevasta osiosta.

Roolit monitilaaja-hybriditietoturvassa

  • Kumppanin täysi järjestelmänvalvoja - Voi hallita kaikkien kumppanin hallinnoimien asiakkaiden asetuksia. Voit myös määrittää ylläpitäjärooleja organisaation nykyisille käyttäjille ja määrittää tietyt asiakkaat kumppanien ylläpitäjien hallinnoitaviksi.
  • Kumppanin järjestelmänvalvoja - Voi hallita niiden asiakkaiden asetuksia, jotka järjestelmänvalvoja on määrittänyt tai jotka on osoitettu käyttäjälle.
  • Täysi järjestelmänvalvoja - Kumppaniorganisaation järjestelmänvalvoja, jolla on valtuudet suorittaa tehtäviä, kuten organisaation asetusten muuttaminen, lisenssien hallinta ja roolien jakaminen.
  • Kaikkien asiakasorganisaatioiden kokonaisvaltainen Multi-Tenant HDS -asennus ja -hallinta - Kumppanilta vaaditaan täydet järjestelmänvalvojan ja täyden järjestelmänvalvojan oikeudet.
  • Määritettyjen vuokralaisorganisaatioiden hallinta - Kumppanin järjestelmänvalvojan ja täyden järjestelmänvalvojan oikeudet vaaditaan.

Turvallisuusalueen arkkitehtuuri

Webexin pilviarkkitehtuurissa erityyppiset palvelut on jaettu erillisiin alueisiin eli luottamusalueisiin, kuten alla on kuvattu.

Erillisalueet (ilman hybriditietoturvaa)

Jotta hybriditietoturvaa voidaan ymmärtää paremmin, tarkastellaan ensin tätä puhdasta pilvitapausta, jossa Cisco tarjoaa kaikki toiminnot pilvialueillaan. Identiteettipalvelu, joka on ainoa paikka, jossa käyttäjät voidaan suoraan yhdistää henkilökohtaisiin tietoihinsa, kuten sähköpostiosoitteeseen, on loogisesti ja fyysisesti erillään tietoturva-alueesta datakeskuksessa B. Molemmat ovat puolestaan erillään alueesta, johon salattu sisältö lopulta tallennetaan, datakeskuksessa C.

Tässä kaaviossa asiakas on käyttäjän kannettavassa tietokoneessa oleva Webex-sovellus, joka on todennettu tunnistuspalvelun avulla. Kun käyttäjä laatii viestin lähetettäväksi tilaan, seuraavat vaiheet tapahtuvat:

  1. Asiakas luo suojatun yhteyden avaintenhallintapalveluun (KMS) ja pyytää sitten avainta viestin salaamista varten. Suojattu yhteys käyttää ECDH:ta, ja KMS salaa avaimen AES-256-pääavaimella.

  2. Viesti salataan ennen kuin se lähtee asiakkaalta. Asiakas lähettää sen indeksointipalveluun, joka luo salattuja hakuindeksejä sisällön myöhempien hakujen helpottamiseksi.

  3. Salattu viesti lähetetään vaatimustenmukaisuuden tarkistamista varten vaatimustenmukaisuuspalveluun.

  4. Salattu viesti tallennetaan tallennuskenttään.

Kun otat käyttöön hybriditietoturvan, siirrät tietoturvatoiminnot (KMS, indeksointi ja vaatimustenmukaisuus) toimitilakeskukseen. Muut Webexin muodostavat pilvipalvelut (kuten identiteetti ja sisällön tallennus) pysyvät Ciscon vastuulla.

Yhteistyö muiden organisaatioiden kanssa

Organisaatiosi käyttäjät saattavat käyttää Webex App -sovellusta säännöllisesti yhteistyöhön muiden organisaatioiden ulkopuolisten osallistujien kanssa. Kun joku käyttäjistäsi pyytää avainta tilaan, joka on organisaatiosi omistuksessa (koska sen on luonut joku käyttäjistäsi), KMS lähettää avaimen asiakkaalle ECDH-suojatun kanavan kautta. Kun tilan avain on kuitenkin toisen organisaation hallussa, KMS-järjestelmäsi reitittää pyynnön Webex-pilveen erillisen ECDH-kanavan kautta saadakseen avaimen asianmukaiselta KMS-järjestelmältä ja palauttaa avaimen sitten käyttäjälle alkuperäisen kanavan kautta.

Organisaatiossa A toimiva KMS-palvelu validoi yhteydet muiden organisaatioiden KMS-palveluihin x.509 PKI -varmenteiden avulla. Lisätietoja x.509-varmenteen luomisesta Multi-Tenant Hybrid Data Security -käyttöönoton yhteydessä on osoitteessa Prepare your Environment .

Hybriditietoturvan käyttöönottoa koskevat odotukset

Hybriditietoturvan käyttöönotto edellyttää merkittävää sitoutumista ja tietoisuutta riskeistä, joita salausavaimien omistamiseen liittyy.

Hybriditietoturvan käyttöönottamiseksi sinun on annettava seuraavat tiedot:

Jos Hybrid Data Securityn luomasi konfigurointi-ISO tai toimittamasi tietokanta katoaa kokonaan, avaimet menetetään. Avaimen menetys estää käyttäjiä purkamasta tilasisältöä ja muita Webex App -sovelluksen salattuja tietoja. Jos näin käy, voit rakentaa uuden käyttöönoton, mutta vain uusi sisältö on näkyvissä. Jotta vältät pääsyn menetyksen tietoihin, sinun on:

  • Hallitse tietokannan ja konfigurointi-ISO:n varmuuskopiointia ja palautusta.

  • Valmistaudu nopeaan palautukseen, jos tapahtuu katastrofi, kuten tietokannan levyn vikaantuminen tai tietokeskuksen katastrofi.

Avaimia ei voi siirtää takaisin pilvipalveluun HDS:n käyttöönoton jälkeen.

Korkean tason asennusprosessi

Tässä asiakirjassa käsitellään Multi-Tenant Hybrid Data Security -käyttöönoton asennusta ja hallintaa:

  • Hybrid Data Securityn perustaminen- Tähän sisältyy tarvittavan infrastruktuurin valmistelu ja Hybrid Data Security -ohjelmiston asentaminen, HDS-klusterin rakentaminen, vuokralaisorganisaatioiden lisääminen klusteriin ja niiden Customer Main Keys (CMK) -avaimien hallinta. Näin asiakasorganisaatioiden kaikki käyttäjät voivat käyttää Hybrid Data Security -klusteriasi tietoturvatoimintoihin.

    Asetus-, aktivointi- ja hallintavaiheita käsitellään yksityiskohtaisesti kolmessa seuraavassa luvussa.

  • Ylläpidä hybriditietoturvan käyttöönottoa- Webex-pilvi tarjoaa automaattisesti jatkuvia päivityksiä. Tietotekniikkaosastosi voi tarjota tason yksi tukea tälle käyttöönotolle ja ottaa tarvittaessa käyttöön Ciscon tuen. Voit käyttää näytön ilmoituksia ja määrittää sähköpostipohjaisia hälytyksiä Partner Hubissa.

  • Ymmärrä yleisiä hälytyksiä, vianmääritysvaiheita ja tunnettuja ongelmia-Jos Hybrid Data Securityn käyttöönotossa tai käytössä ilmenee ongelmia, tämän oppaan viimeinen luku ja Tunnetut ongelmat -liite voivat auttaa sinua ongelman määrittämisessä ja korjaamisessa.

Hybriditietoturvan käyttöönottomalli

Hybrid Data Security otetaan käyttöön yrityksen datakeskuksessa erillisissä virtuaalisissa isännöintiasemissa sijaitsevien solmujen klusterina. Solmut kommunikoivat Webex-pilven kanssa suojattujen websockettien ja suojatun HTTP:n kautta.

Asennusprosessin aikana annamme sinulle OVA-tiedoston, jonka avulla voit asentaa virtuaalilaitteen toimittamillesi VM-tietokoneille. HDS Setup Tool -työkalun avulla luot mukautetun klusterin kokoonpanon ISO-tiedoston, jonka asennat kuhunkin solmuun. Hybrid Data Security -klusteri käyttää toimittamaasi Syslogd-palvelinta ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. (Syslogd- ja tietokantayhteyden tiedot määritetään HDS Setup Tool -työkalussa.)

Hybriditietoturvan käyttöönottomalli

Klusterissa voi olla vähintään kaksi solmua. Suosittelemme vähintään kolmea klusteria kohti. Useiden solmujen käyttö varmistaa, että palvelu ei keskeydy ohjelmistopäivityksen tai muun huoltotoimen aikana. (Webex-pilvi päivittää vain yhden solmun kerrallaan.)

Kaikki klusterin solmut käyttävät samaa avaintietovarastoa ja kirjaavat toiminnan samaan syslog-palvelimeen. Itse solmut ovat tilattomia, ja ne käsittelevät avainpyyntöjä round-robin -periaatteella pilven ohjeiden mukaisesti.

Solmuista tulee aktiivisia, kun rekisteröit ne Partner Hubissa. Voit poistaa yksittäisen solmun käytöstä poistamalla sen rekisteristä ja rekisteröimällä sen myöhemmin uudelleen, jos se on tarpeen.

Valmiustietokeskus katastrofista toipumista varten

Käyttöönoton aikana perustat suojatun varakeskuspalvelinkeskuksen. Tietokeskuksen katastrofin sattuessa voit siirtää käyttöönoton manuaalisesti varakeskukseen.

Ennen viansiirtoa datakeskuksessa A on aktiivisia HDS-solmuja ja ensisijainen PostgreSQL- tai Microsoft SQL Server -tietokanta, kun taas datakeskuksessa B on kopio ISO-tiedostosta, jossa on lisäkonfiguraatioita, organisaatioon rekisteröityjä VM:iä ja vara-tietokanta. Viansiirron jälkeen datakeskuksessa B on aktiivisia HDS-solmuja ja ensisijainen tietokanta, kun taas datakeskuksessa A on rekisteröimättömiä VM:iä ja kopio ISO-tiedostosta, ja tietokanta on valmiustilassa.
Manuaalinen viansiirto valmiustietokeskukseen

Aktiivisen ja varalla olevan tietokeskuksen tietokannat ovat synkronoituina keskenään, mikä minimoi viansiirtoon kuluvan ajan.

Aktiivisten hybriditietoturvasolmujen on aina oltava samassa tietokeskuksessa kuin aktiivinen tietokantapalvelin.

Proxy-tuki

Hybrid Data Security tukee nimenomaisia, läpinäkyviä tarkastuksia ja tarkastamattomia välityspalvelimia. Voit liittää nämä välityspalvelimet käyttöönottoasi, jotta voit suojata ja valvoa liikennettä yrityksestä pilvipalveluun. Voit käyttää solmujen alustan hallintakäyttöliittymää varmenteiden hallintaan ja yhteyden yleisen tilan tarkistamiseen sen jälkeen, kun olet määrittänyt välityspalvelimen solmuihin.

Hybriditietoturvasolmut tukevat seuraavia välityspalvelinvaihtoehtoja:

  • Ei välityspalvelinta- Oletusarvo, jos et käytä HDS-solmun Trust Store & Proxy -määritystä välityspalvelimen integroimiseksi. Varmenteen päivitystä ei tarvita.

  • Läpinäkyvä ei-tarkastava välityspalvelin-solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen ei-tarkastavan välityspalvelimen kanssa. Varmenteen päivitystä ei tarvita.

  • Läpinäkyvä tunnelointi tai välityspalvelimen tarkastaminen-solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. Solmujen HTTP- tai HTTPS-konfiguraatioita ei tarvitse muuttaa. Solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne voivat luottaa välittäjään. Tietotekniikka käyttää tyypillisesti tarkastavia välityspalvelimia valvomaan käytäntöjä, jotka koskevat sitä, millä verkkosivustoilla voi vierailla ja minkä tyyppistä sisältöä ei saa käyttää. Tämäntyyppinen välityspalvelin purkaa kaiken liikennöintisi (jopa HTTPS).

  • Eksplisiittinen välityspalvelin- Eksplisiittisellä välityspalvelimella kerrot HDS-solmuille, mitä välityspalvelinta ja todennusjärjestelmää käytetään. Jos haluat määrittää nimenomaisen välityspalvelimen, sinun on annettava seuraavat tiedot kussakin solmussa:

    1. Proxy IP/FQDN-osoite, jolla välityskone voidaan tavoittaa.

    2. Välitysportti- Portin numero, jota välityspalvelin käyttää kuunnellakseen välitettyä liikennettä.

    3. Välityspalvelinprotokolla-Valikoima seuraavista protokollista riippuu siitä, mitä välityspalvelimesi tukee:

      • HTTP-näkökulma: Näkee ja valvoo kaikkia asiakkaan lähettämiä pyyntöjä.

      • HTTPS-Varaa kanavan palvelimelle. Asiakas vastaanottaa palvelimen varmenteen ja vahvistaa sen.

    4. Todennustyyppi-Valitse yksi seuraavista todennustyypeistä:

      • Ei ole- Muita todennuksia ei tarvita.

        Käytettävissä, jos valitset välityspalvelinprotokollaksi joko HTTP:n tai HTTPS:n.

      • Basic-Käytetään HTTP-käyttäjäagenttia antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.

        Käytettävissä, jos valitset välityspalvelinprotokollaksi joko HTTP:n tai HTTPS:n.

        Vaatii käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.

      • Digest-Käytetään tilin vahvistamiseen ennen arkaluontoisten tietojen lähettämistä. Soveltaa hash-funktiota käyttäjänimeen ja salasanaan ennen lähettämistä verkon yli.

        Käytettävissä vain, jos valitset välityspalvelinprotokollaksi HTTPS.

        Vaatii käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.

Esimerkki hybridi-tietoturvasolmuista ja välityspalvelimesta

Tässä kaaviossa on esimerkki Hybrid Data Securityn, verkon ja välityspalvelimen välisestä yhteydestä. Läpinäkyvä tarkastus ja HTTPS:n nimenomainen tarkastus -välityspalvelinvaihtoehdoissa sama juurivarmenne on asennettava välityspalvelimeen ja Hybrid Data Security -solmuun.

Estetty ulkoinen DNS-resoluutiotila (eksplisiittiset välityspalvelinkonfiguraatiot)

Kun rekisteröit solmun tai tarkistat solmun välityspalvelinkokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex -pilveen. Käyttöönotoissa, joissa on nimenomaiset välityspalvelinmääritykset, jotka eivät salli ulkoista DNS-resoluutiota sisäisille asiakkaille, jos solmu ei voi kysyä DNS-palvelimilta, se siirtyy automaattisesti estetty ulkoinen DNS-resoluutio -tilaan. Tässä tilassa solmun rekisteröinti ja muut välityspalvelimen yhteystestit voivat jatkua.

Ympäristön valmistelu

Monen käyttäjän hybriditietoturvaa koskevat vaatimukset

Cisco Webexin lisenssivaatimukset

Multi-Tenant Hybrid Data Securityn käyttöönotto:

  • Kumppanijärjestöt: Ota yhteyttä Cisco-kumppaniin tai tilipalvelun johtajaan ja varmista, että Multi-Tenant-ominaisuus on käytössä.

  • Vuokralaisjärjestöt: Sinulla on oltava Pro Pack for Cisco Webex Control Hub. (Katso https://www.cisco.com/go/pro-pack.)

Docker Desktop -vaatimukset

Ennen kuin asennat HDS-solmut, tarvitset Docker Desktopin asennusohjelman suorittamista varten. Docker päivitti hiljattain lisensointimalliaan. Organisaatiosi saattaa vaatia maksullisen Docker Desktop -tilauksen. Lisätietoja on Dockerin blogikirjoituksessa " Docker päivittää ja laajentaa tuotetilauksia".

X.509-varmenteen vaatimukset

Varmenteketjun on täytettävä seuraavat vaatimukset:

Taulukko 1. X.509-varmenteen vaatimukset hybriditietoturvan käyttöönottoa varten

Vaatimus

Tiedot

  • Luotettavan varmentajan (CA) allekirjoittama.

Oletusarvoisesti luotamme Mozillan luettelossa oleviin varmentajiin (lukuun ottamatta WoSignia ja StartComia) osoitteessa https://wiki.mozilla.org/CA:IncludedCAs.

  • Karhut Common Name (CN) -verkkotunnus, joka yksilöi hybriditietoturvan käyttöönoton

  • Ei ole jokerimerkkivarmenne

CN:n ei tarvitse olla tavoitettavissa eikä sen tarvitse olla elävä isäntä. Suosittelemme, että käytät organisaatiotasi kuvaavaa nimeä, esimerkiksi hds.company.com.

CN ei saa sisältää *-merkkiä (jokerimerkki).

CN:ää käytetään Hybrid Data Security -solmujen varmentamiseen Webex App -asiakkaille. Kaikki klusterin Hybrid Data Security -solmut käyttävät samaa varmentetta. KMS tunnistaa itsensä CN-toimialueen avulla, ei minkään x.509v3 SAN-kenttiin määritellyn toimialueen avulla.

Kun olet rekisteröinyt solmun tällä varmenteella, emme tue CN-verkkotunnuksen nimen muuttamista.

  • Muu kuin SHA1-allekirjoitus

KMS-ohjelmisto ei tue SHA1-allekirjoituksia yhteyksien vahvistamiseksi muiden organisaatioiden KMS-järjestelmiin.

  • Muotoiltu salasanalla suojatuksi PKCS #12-tiedostoksi.

  • Käytä ystävällistä nimeä kms-private-key merkitäksesi ladattavan varmenteen, yksityisen avaimen ja mahdolliset välivarmenteet.

Voit käyttää OpenSSL:n kaltaista muunninta varmenteen muodon muuttamiseen.

Sinun on annettava salasana, kun käynnistät HDS-asennustyökalun.

KMS-ohjelmisto ei noudata avaimen käyttöä tai laajennettua avaimen käyttöä koskevia rajoituksia. Jotkin varmentajat vaativat, että kuhunkin varmenteeseen sovelletaan laajennettuja avainkäyttörajoituksia, kuten palvelimen todennusta. Voit käyttää palvelimen todennusta tai muita asetuksia.

Virtuaalisen isännän vaatimukset

Virtuaalisilla isännöintiasemilla, jotka perustat hybridi-tietoturvasolmuiksi klusteriin, on seuraavat vaatimukset:

  • Vähintään kaksi erillistä isäntäkonetta (suositellaan kolmea), jotka sijaitsevat samassa suojatussa tietokeskuksessa.

  • VMware ESXi 7.0 (tai uudempi) asennettuna ja käynnissä.

    Sinun on päivitettävä, jos käytössäsi on aikaisempi ESXi-versio.

  • Vähintään 4 vCPU:ta, 8 Gt keskusmuistia, 30 Gt paikallista kiintolevytilaa palvelinta kohden.

Tietokantapalvelimen vaatimukset

Luo uusi tietokanta avainten tallennusta varten. Älä käytä oletustietokantaa. Kun HDS-sovellukset asennetaan, ne luovat tietokantakaavion.

Tietokantapalvelimessa on kaksi vaihtoehtoa. Vaatimukset ovat seuraavat:

Taulukko 2. Tietokantapalvelimen vaatimukset tietokantatyypeittäin

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14, 15 tai 16 asennettuna ja käynnissä.

  • SQL Server 2016, 2017 tai 2019 (Enterprise tai Standard) asennettuna.

    SQL Server 2016 vaatii Service Pack 2:n ja kumulatiivisen päivityksen 2 tai uudemman.

Vähintään 8 vCPU:ta, 16 Gt keskusmuistia, riittävästi kiintolevytilaa ja valvonta sen varmistamiseksi, että sitä ei ylitetä (suositellaan 2 TB, jos haluat käyttää tietokantaa pitkään ilman, että tallennustilaa tarvitsee lisätä).

Vähintään 8 vCPU:ta, 16 Gt keskusmuistia, riittävästi kiintolevytilaa ja valvonta sen varmistamiseksi, että sitä ei ylitetä (suositellaan 2 TB, jos haluat käyttää tietokantaa pitkään ilman, että tallennustilaa tarvitsee lisätä).

HDS-ohjelmisto asentaa tällä hetkellä seuraavat ajuriversiot yhteydenpitoa varten tietokantapalvelimen kanssa:

PostgreSQL

Microsoft SQL Server

Postgres JDBC -ajuri 42.2.5

SQL Server JDBC -ajuri 4.6

Tämä ajuriversio tukee SQL Server Always On -palvelinta ( Always On Failover Cluster Instances ja Always On -saatavuusryhmät).

Lisävaatimukset Windows-todennusta varten Microsoft SQL Serveriä vastaan

Jos haluat, että HDS-solmut käyttävät Windows-todennusta Microsoft SQL Serverin avainsäilytystietokantaan pääsemiseksi, tarvitset ympäristössäsi seuraavat asetukset:

  • HDS-solmut, Active Directory -infrastruktuuri ja MS SQL Server on synkronoitava NTP:n avulla.

  • HDS-solmujen käyttöön annetulla Windows-tilillä on oltava tietokannan luku/kirjoitusoikeus.

  • HDS-solmujen käyttöön antamiesi DNS-palvelimien on kyettävä ratkaisemaan KDC-keskuksesi (Key Distribution Center).

  • Voit rekisteröidä Microsoft SQL Serverin HDS-tietokantainstanssin palvelupääkäyttäjänimeksi (Service Principal Name, SPN) Active Directoryyn. Katso Rekisteröi palvelupääkäyttäjän nimi Kerberos-yhteyksiä varten.

    HDS-asennustyökalun, HDS-launcherin ja paikallisen KMS:n on käytettävä Windows-todennusta avainsäilytystietokannan käyttämiseen. Ne käyttävät ISO-konfiguraation tietoja SPN:n muodostamiseen, kun ne pyytävät pääsyä Kerberos-todennuksen avulla.

Ulkoiset liitäntävaatimukset

Määritä palomuuri sallimaan seuraavat HDS-sovellusten yhteydet:

Sovellus

Protokolla

Portti

Suunta sovelluksesta

Kohde

Hybriditietoturvasolmut

TCP

443

Lähtevä HTTPS ja WSS

  • Webex-palvelimet:

    • *.wbx2.com

    • *.ciscospark.com

  • Kaikki Common Identity -isännät

  • Muut URL-osoitteet, jotka on lueteltu hybriditietoturvan osalta osoitteessa Additional URLs for Webex Hybrid Services -taulukossa Webex-palvelujen verkkovaatimukset

HDS-asennustyökalu

TCP

443

Lähtevä HTTPS

  • *.wbx2.com

  • Kaikki Common Identity -isännät

  • hub.docker.com

Hybriditietoturvasolmut toimivat NAT:n (Network Access Translation) kanssa tai palomuurin takana, kunhan NAT tai palomuuri sallii vaaditut lähtevät yhteydet edellisessä taulukossa esitettyihin toimialueen kohteisiin. Hybriditietoturvasolmuihin saapuvien yhteyksien porttien ei pitäisi näkyä internetistä. Tietokeskuksessasi asiakkaat tarvitsevat hallinnollisia tarkoituksia varten pääsyn hybriditietoturvasolmujen TCP-portteihin 443 ja 22.

Yhteisen identiteetin (CI) isäntien URL-osoitteet ovat aluekohtaisia. Nämä ovat nykyiset CI-isännät:

Alue

Yleiset identiteetin isäntä-URL-osoitteet

Americas

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Euroopan unioni

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Arabiemiirikunnat

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Välityspalvelimen vaatimukset

  • Tuemme virallisesti seuraavia välityspalvelinratkaisuja, jotka voidaan integroida hybriditietoturvasolmujen kanssa.

    • Läpinäkyvä välityspalvelin-Cisco Web Security Appliance (WSA).

    • Eksplisiittinen proxy-Squid.

      HTTPS-liikennettä tarkastavat Squid-välityspalvelimet voivat häiritä websocket (wss:) -yhteyksien muodostamista. Voit kiertää tämän ongelman osoitteessa Configure Squid Proxies for Hybrid Data Security.

  • Tuemme seuraavia todennustyyppiyhdistelmiä nimenomaisille välityspalvelimille:

    • Ei todennusta HTTP:llä tai HTTPS:llä

    • Perustodennus HTTP:llä tai HTTPS:llä

    • Digest-todennus vain HTTPS:n kanssa

  • Läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-selkeän välityspalvelimen osalta sinulla on oltava kopio välityspalvelimen juurivarmenteesta. Tämän oppaan käyttöönotto-ohjeissa kerrotaan, miten kopio ladataan hybriditietoturvasolmujen luotettavuusvarastoihin.

  • HDS-solmuja isännöivä verkko on määritettävä siten, että portista 443 lähtevä TCP-liikenne reititetään välityspalvelimen kautta.

  • Verkkoliikennettä tarkastavat välityspalvelimet voivat häiritä verkkoliikenneyhteyksiä. Jos tämä ongelma ilmenee, ongelman voi ratkaista ohittamalla (tarkastamatta) liikenteen osoitteisiin wbx2.com ja ciscospark.com .

Täytä hybridi-tietoturvan edellytykset.

Varmista tämän tarkistuslistan avulla, että olet valmis asentamaan ja määrittämään Hybrid Data Security -klusterin.
1

Varmista, että kumppaniorganisaatiossasi on Multi-Tenant HDS -ominaisuus käytössä, ja hanki tilitiedot tilille, jolla on kumppanin täysi järjestelmänvalvojan ja järjestelmänvalvojan oikeudet. Varmista, että Webex-asiakasorganisaatiossasi on käytössä Pro Pack for Cisco Webex Control Hub. Ota yhteyttä Cisco-kumppaniin tai asiakaspäällikköön saadaksesi apua tässä prosessissa.

Asiakasorganisaatioilla ei saa olla olemassa olevaa HDS-käyttöönottoa.

2

Valitse toimialueen nimi HDS-käyttöönotollesi (esimerkiksi hds.company.com) ja hanki varmenne-ketju, joka sisältää X.509-varmenteen, yksityisen avaimen ja mahdolliset välivarmenteet. Varmenteiden ketjun on täytettävä vaatimukset, jotka on esitetty osoitteessa X.509 Certificate Requirements.

3

Valmistele identtiset virtuaaliset isännät, jotka perustat hybridi-tietoturvasolmuiksi klusteriin. Tarvitset vähintään kaksi erillistä isäntäkonetta (suositellaan kolmea), jotka sijaitsevat samassa suojatussa datakeskuksessa ja jotka täyttävät vaatimukset, jotka on esitetty osoitteessa Virtual Host Requirements.

4

Valmistele tietokantapalvelin, joka toimii klusterin keskeisenä tietovarastona, Tietokantapalvelimen vaatimukset mukaisesti. Tietokantapalvelin on sijoitettava samaan turvalliseen datakeskukseen virtuaalisten isäntien kanssa.

  1. Luo tietokanta avainten tallentamista varten. (Sinun on luotava tämä tietokanta - älä käytä oletustietokantaa.) Kun HDS-sovellukset asennetaan, ne luovat tietokantakaavion.).

  2. Kerää tiedot, joita solmut käyttävät kommunikoidessaan tietokantapalvelimen kanssa:

    • isännän nimi tai IP-osoite (host) ja portti.

    • tietokannan nimi (dbname), johon avaimet tallennetaan.

    • sen käyttäjän käyttäjätunnus ja salasana, jolla on kaikki oikeudet avainten tallennustietokantaan.

5

Jos haluat nopean palautumisen katastrofista, voit perustaa varmuuskopioympäristön toiseen datakeskukseen. Varmuuskopiointiympäristö peilaa tuotantoympäristöä, joka koostuu VM:istä ja varmuuskopioidusta tietokantapalvelimesta. Jos esimerkiksi tuotannossa on 3 VM:ää, joilla on HDS-solmuja, varmuuskopiointiympäristössä pitäisi olla 3 VM:ää.

6

Määritä syslog-isäntä keräämään lokit klusterin solmuista. Kerää sen verkko-osoite ja syslog-portti (oletusarvo on UDP 514).

7

Luo turvallinen varmuuskopiointikäytäntö hybriditietoturvasolmuja, tietokantapalvelinta ja syslog-isäntää varten. Jos haluat estää tietojen menetyksen, jota ei voida palauttaa, sinun on varmuuskopioitava ainakin tietokanta ja hybridi-tietoturvasolmuja varten luotu määritys-ISO-tiedosto.

Koska hybriditietoturvasolmut tallentavat sisällön salauksessa ja salauksen purkamisessa käytettävät avaimet, toimivan käyttöönoton laiminlyönti johtaa UNRECOVERABLE LOSS kyseisen sisällön menetykseen.

Webex App -asiakkaat tallentavat avaimet välimuistiin, joten katkos ei välttämättä näy heti, mutta se näkyy ajan myötä. Tilapäisiä katkoksia on mahdotonta estää, mutta ne ovat palautettavissa. Jos tietokanta tai konfigurointi-ISO-tiedosto kuitenkin menetetään kokonaan (varmuuskopioita ei ole saatavilla), asiakastietoja ei voida palauttaa. Hybriditietoturvasolmujen ylläpitäjien odotetaan ylläpitävän usein varmuuskopioita tietokannasta ja konfigurointi-ISO-tiedostosta ja olevan valmiita rakentamaan hybriditietoturvatietokeskuksen uudelleen, jos tapahtuu katastrofaalinen vika.

8

Varmista, että palomuurin kokoonpano sallii Hybrid Data Security -solmujen yhteyden Ulkoisen yhteyden vaatimukset mukaisesti.

9

Asenna Docker ( https://www.docker.com) mihin tahansa paikalliseen koneeseen, jossa on tuettu käyttöjärjestelmä (Microsoft Windows 10 Professional tai Enterprise 64-bittinen tai Mac OSX Yosemite 10.10.3 tai uudempi), jossa on verkkoselain, joka voi käyttää sitä osoitteessa http://127.0.0.1:8080.

Docker-instanssin avulla lataat ja suoritat HDS Setup Tool -työkalun, joka luo paikalliset määritystiedot kaikille Hybrid Data Security -solmuille. Saatat tarvita Docker Desktop -lisenssin. Katso lisätietoja osoitteesta Docker Desktop -vaatimukset .

Jotta HDS Setup Tool voidaan asentaa ja käyttää, paikallisella koneella on oltava osoitteessa External connectivity requirements esitetyt liitettävyysvaatimukset.

10

Jos integroit välityspalvelimen Hybrid Data Securityyn, varmista, että se täyttää Proxy Server Requirements-vaatimukset.

Hybriditietoturvaklusterin perustaminen

Hybriditietoturvan käyttöönoton tehtävävirta

Ennen kuin aloitat

1

Suorita alkuasetukset ja lataa asennustiedostot

Lataa OVA-tiedosto paikalliselle koneellesi myöhempää käyttöä varten.

2

Luo konfigurointi-ISO HDS-isäntäkoneille.

Käytä HDS Setup Tool -työkalua luodaksesi ISO-kokoonpanotiedoston Hybrid Data Security -solmuja varten.

3

Asenna HDS Host OVA

Luo virtuaalikone OVA-tiedostosta ja suorita alkumääritykset, kuten verkkoasetukset.

Mahdollisuus määrittää verkkoasetukset OVA-käyttöönoton aikana on testattu ESXi 7.0:lla. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

4

Hybriditietoturva VM:n määrittäminen

Kirjaudu VM-konsoliin ja määritä kirjautumistiedot. Määritä solmun verkkoasetukset, jos et määrittänyt niitä OVA-käyttöönoton yhteydessä.

5

Lataa ja asenna HDS-konfiguraatio-ISO-tiedosto.

Määritä VM HDS Setup Tool -työkalulla luodusta ISO-kokoonpanotiedostosta.

6

HDS-solmun määrittäminen välityspalvelimen integrointia varten

Jos verkkoympäristö edellyttää välityspalvelinkonfiguraatiota, määritä solmun käyttämä välityspalvelintyyppi ja lisää tarvittaessa välityspalvelinvarmenne luottamussäilöön.

7

Rekisteröi klusterin ensimmäinen solmu

Rekisteröi VM Cisco Webex -pilvipalveluun Hybrid Data Security -solmuksi.

8

Luo ja rekisteröi lisää solmuja

Viimeistele klusterin asennus.

9

Aktivoi Multi-Tenant HDS Partner Hubissa.

Aktivoi HDS ja hallinnoi vuokralaisorganisaatioita Partner Hubissa.

Suorita alkuasetukset ja lataa asennustiedostot

Tässä tehtävässä lataat OVA-tiedoston koneellesi (ei palvelimille, jotka olet määrittänyt hybridi-tietoturvasolmuiksi). Käytät tätä tiedostoa myöhemmin asennusprosessissa.

1

Kirjaudu sisään Partner Hubiin ja valitse sitten Palvelut.

2

Etsi Pilvipalvelut-osiosta Hybrid Data Security -kortti ja valitse sitten Määritä.

Käyttöönottoprosessin kannalta on tärkeää, että napsautat Partner Hubissa Set up . Älä jatka asennusta suorittamatta tätä vaihetta.

3

Napsauta Lisää resurssi ja napsauta Lataa .OVA-tiedosto Asenna ja määritä ohjelmisto -kortilla.

Ohjelmistopaketin vanhemmat versiot (OVA) eivät ole yhteensopivia uusimpien Hybrid Data Security -päivitysten kanssa. Tämä voi aiheuttaa ongelmia sovelluksen päivittämisen aikana. Varmista, että lataat OVA-tiedoston uusimman version.

Voit myös ladata OVA:n milloin tahansa osoitteesta Help . Napsauta Asetukset > Ohje > Lataa Hybrid Data Security -ohjelmisto.

OVA-tiedoston lataaminen alkaa automaattisesti. Tallenna tiedosto johonkin paikkaan koneellasi.
4

Voit myös tarkistaa, onko tästä oppaasta saatavilla uudempi versio, valitsemalla Katso hybriditietoturvan käyttöönotto-opas .

Luo konfigurointi-ISO HDS-isäntäkoneille.

Hybrid Data Security -asennusprosessi luo ISO-tiedoston. Tämän jälkeen voit määrittää Hybrid Data Security -isäntäsovelluksen ISO-version avulla.

Ennen kuin aloitat
1

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

2

Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti:

docker login -u hdscustomersro
3

Kirjoita salasanakehotteeseen tämä hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Lataa uusin vakaa imago ympäristöllesi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:

  • Tavallisissa ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • FedRAMP-ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080".

6

Setup-työkalu ei tue yhteyden muodostamista localhostiin http://localhost:8080 kautta. Käytä http://127.0.0.1:8080 muodostaaksesi yhteyden localhostiin.

Siirry verkkoselaimella osoitteeseen localhost, http://127.0.0.1:8080, ja kirjoita kehotteeseen Partner Hubin admin-käyttäjätunnus.

Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää asettaakseen oikean ympäristön kyseiselle tilille. Tämän jälkeen työkalu näyttää tavallisen kirjautumiskehotteen.

7

Anna pyydettäessä Partner Hubin ylläpitäjän kirjautumistiedot ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn hybriditietoturvan edellyttämiin palveluihin.

8

Napsauta Setup Tool -katsaussivulla Get Started.

9

ISO Import -sivulla on seuraavat vaihtoehdot:

  • Ei- Jos luot ensimmäistä HDS-solmua, sinulla ei ole ISO-tiedostoa ladattavaksi.
  • Kyllä- Jos olet jo luonut HDS-solmuja, valitse ISO-tiedosto selaimesta ja lataa se.
10

Tarkista, että X.509-varmenne täyttää osoitteessa X.509-varmenteen vaatimukset esitetyt vaatimukset.

  • Jos et ole aiemmin ladannut varmenteita, lataa X.509-varmenne, syötä salasana ja napsauta Jatka.
  • Jos varmenne on OK, valitse Jatka.
  • Jos varmenteesi on vanhentunut tai haluat korvata sen, valitse Ei varten Jatka edellisen ISO:n HDS-varmenteiden ketjun ja yksityisen avaimen käyttöä?. Lataa uusi X.509-varmenne, syötä salasana ja napsauta Jatka.
11

Anna tietokantaosoite ja tili, jonka avulla HDS voi käyttää avaintietovarastoa:

  1. Valitse Tietokantatyyppi (PostgreSQL tai Microsoft SQL Server).

    Jos valitset Microsoft SQL Server, saat Authentication Type -kentän.

  2. (Vain Microsoft SQL Server ) Valitse Todennustyyppi:

    • Perustodennus: Tarvitset paikallisen SQL Server -tilin nimen Käyttäjänimi -kenttään.

    • Windows-todennus: Tarvitset Windows-tilin muodossa username@DOMAIN kenttään Username .

  3. Kirjoita tietokantapalvelimen osoite muodossa : tai :.

    Esimerkki:
    dbhost.example.org:1433 tai 198.51.100.17:1433

    Voit käyttää IP-osoitetta perustodennukseen, jos solmut eivät voi käyttää DNS:ää isäntänimen ratkaisemiseen.

    Jos käytät Windows-tunnistautumista, sinun on annettava täyteen määritetty verkkotunnus muodossa dbhost.example.org:1433.

  4. Kirjoita tietokannan nimi.

  5. Kirjoita Käyttäjätunnus ja Salasana käyttäjälle, jolla on kaikki oikeudet avaintallennustietokantaan.

12

Valitse TLS-tietokantayhteystapa:

Tila

Kuvaus

Prefer TLS (oletusasetus)

HDS-solmut eivät vaadi TLS-yhteyttä tietokantapalvelimeen. Jos otat TLS:n käyttöön tietokantapalvelimessa, solmut yrittävät muodostaa salatun yhteyden.

Vaadi TLS

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

Vaadi TLS ja tarkista varmenteen allekirjoittaja

Tätä tilaa ei voi käyttää SQL Server -tietokantoihin.

  • HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

  • TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa tietokannan juurivarmenteessa olevaan varmentajaan. Jos ne eivät täsmää, solmu katkaisee yhteyden.

Lataa tätä vaihtoehtoa varten tarvittava juurivarmenne Tietokannan juurivarmenne -pudotusvalikon alapuolella olevalla ohjaimella.

Vaadi TLS ja tarkista varmenteen allekirjoittaja ja isäntänimi.

  • HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

  • TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa tietokannan juurivarmenteessa olevaan varmentajaan. Jos ne eivät täsmää, solmu katkaisee yhteyden.

  • Solmut tarkistavat myös, että palvelinvarmenteessa oleva isäntänimi vastaa tietokannan isäntä ja portti -kentässä olevaa isäntänimeä. Nimien on täsmälleen täsmättävä, tai solmu katkaisee yhteyden.

Lataa tätä vaihtoehtoa varten tarvittava juurivarmenne Tietokannan juurivarmenne -pudotusvalikon alapuolella olevalla ohjaimella.

Kun lataat juurivarmenteen (tarvittaessa) ja napsautat Jatka, HDS Setup Tool testaa TLS-yhteyden tietokantapalvelimeen. Työkalu tarkistaa tarvittaessa myös varmenteen allekirjoittajan ja isäntänimen. Jos testi epäonnistuu, työkalu näyttää virheilmoituksen, jossa kuvataan ongelma. Voit valita, jätätkö virheen huomiotta ja jatkatko asennusta. (Yhteyseroista johtuen HDS-solmut saattavat pystyä muodostamaan TLS-yhteyden, vaikka HDS Setup Tool -kone ei pystyisi onnistuneesti testaamaan sitä.)

13

Määritä Syslogd-palvelin Järjestelmälokit-sivulla:

  1. Kirjoita syslog-palvelimen URL-osoite.

    Jos palvelin ei ole DNS-ratkaisukelpoinen HDS-klusterin solmuista, käytä URL-osoitteessa IP-osoitetta.

    Esimerkki:
    udp://10.92.43.23:514 osoittaa kirjautumisen Syslogd-isäntään 10.92.43.23 UDP-porttiin 514.

  2. Jos olet määrittänyt palvelimesi käyttämään TLS-salausta, tarkista Onko syslog-palvelimesi määritetty SSL-salausta varten?.

    Jos valitset tämän valintaruudun, varmista, että annat TCP-osoitteen, kuten tcp://10.92.43.23:514.

  3. Valitse ISO-tiedostolle sopiva asetus Valitse syslog-tietueen lopetus -pudotusvalikosta: Valitse tai Newline käytetään Graylog- ja Rsyslog TCP -palveluissa.

    • Nollatavu -- \x00

    • Newline -- \n-Valitse tämä valinta Graylog- ja Rsyslog TCP -palveluille.

  4. Napsauta Jatka.

14

(Valinnainen) Voit muuttaa joidenkin tietokantayhteysparametrien oletusarvoa osoitteessa Lisäasetukset. Yleensä tämä parametri on ainoa, jota kannattaa muuttaa:

app_datasource_connection_pool_maxKoko: 10
15

Napsauta Jatka Nollaa palvelutilien salasana -näytössä.

Palvelutilien salasanojen käyttöikä on yhdeksän kuukautta. Käytä tätä näyttöä, kun salasanasi ovat umpeutumassa tai haluat nollata ne aiempien ISO-tiedostojen mitätöimiseksi.

16

Klikkaa Lataa ISO-tiedosto. Tallenna tiedosto paikkaan, josta se on helppo löytää.

17

Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmään.

Pidä varmuuskopio turvassa. Tämä tiedosto sisältää tietokannan sisällön pääsalausavaimen. Rajoita käyttöoikeus vain niille Hybrid Data Securityn järjestelmänvalvojille, joiden pitäisi tehdä määritysmuutoksia.

18

Voit sammuttaa Setup-työkalun kirjoittamalla CTRL+C.

Mitä tehdä seuraavaksi

Varmuuskopioi konfigurointi-ISO-tiedosto. Tarvitset sitä luodaksesi lisää solmuja toipumista varten tai tehdessäsi kokoonpanomuutoksia. Jos menetät kaikki ISO-tiedoston kopiot, menetät myös pääavaimen. Avainten palauttaminen PostgreSQL- tai Microsoft SQL Server -tietokannasta ei ole mahdollista.

Meillä ei ole koskaan kopiota tästä avaimesta, emmekä voi auttaa, jos kadotat sen.

Asenna HDS Host OVA

Luo virtuaalikone OVA-tiedostosta tämän menettelyn avulla.
1

Kirjaudu ESXi-virtuaali-isäntäkoneeseen VMware vSphere -asiakasohjelman avulla.

2

Valitse File > Deploy OVF Template.

3

Määritä ohjatussa toiminnossa aiemmin lataamasi OVA-tiedoston sijainti ja napsauta sitten Next.

4

Kirjoita Valitse nimi ja kansio -sivulla Virtuaalikoneen nimi solmulle (esimerkiksi "HDS_Node_1"), valitse sijainti, jossa virtuaalikoneen solmun käyttöönotto voi sijaita, ja napsauta sitten Seuraava.

5

Valitse Valitse laskentaresurssi -sivulla kohdelaskentaresurssi ja napsauta sitten Seuraava.

Validointitarkistus suoritetaan. Kun se on valmis, mallin tiedot tulevat näkyviin.

6

Tarkista mallin tiedot ja napsauta sitten Next.

7

Jos sinua pyydetään valitsemaan resurssikokoonpano sivulla Configuration , valitse 4 CPU ja valitse sitten Next.

8

Valitse Valitse tallennustila -sivulla Seuraava hyväksyäksesi oletusarvoisen levymuodon ja VM-tallennuskäytännön.

9

Valitse Valitse verkot -sivulla verkkovaihtoehto luettelosta, joka tarjoaa VM:lle halutun yhteyden.

10

Määritä seuraavat verkkoasetukset sivulla Customize template :

  • Isäntänimi- Kirjoita solmun FQDN (isäntänimi ja toimialue) tai yksisanainen isäntänimi.

    • Verkkotunnuksen ei tarvitse vastata verkkotunnusta, jota käytit X.509-varmenteen hankkimiseen.

    • Jotta rekisteröinti pilvipalveluun onnistuisi, käytä solmulle asettamassasi FQDN- tai isäntänimessä vain pieniä kirjaimia. Suuraakkosia ei tällä hetkellä tueta.

    • FQDN-nimen kokonaispituus saa olla enintään 64 merkkiä.

  • IP-osoite- Syötä solmun sisäisen liitännän IP-osoite.

    Solmulla pitäisi olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.

  • Mask- Syötä aliverkon peiteosoite pistemääräisenä. Esimerkiksi 255.255.255.255.0.
  • Yhdyskäytävä-Kirjoita yhdyskäytävän IP-osoite. Yhdyskäytävä on verkon solmu, joka toimii yhteyspisteenä toiseen verkkoon.
  • DNS-palvelimet-Kirjoita pilkulla erotettu luettelo DNS-palvelimista, jotka huolehtivat verkkotunnusten muuntamisesta numeerisiksi IP-osoitteiksi. (Enintään 4 DNS-merkintää on sallittu.)
  • NTP-palvelimet-Kirjoita organisaatiosi NTP-palvelin tai muu organisaatiossasi käytettävä ulkoinen NTP-palvelin. Oletusarvoiset NTP-palvelimet eivät välttämättä toimi kaikissa yrityksissä. Voit myös käyttää pilkulla erotettua luetteloa useiden NTP-palvelimien syöttämiseen.

  • Aseta kaikki solmut samaan aliverkkoon tai VLAN:iin, jotta kaikki klusterin solmut ovat tavoitettavissa verkon asiakkaista hallinnollisia tarkoituksia varten.

Voit halutessasi ohittaa verkkoasetusten määrityksen ja määrittää asetukset solmun konsolissa kohdan Hybriditietoturva-VM:n määrittäminen ohjeiden mukaisesti.

Mahdollisuus määrittää verkkoasetukset OVA-käyttöönoton aikana on testattu ESXi 7.0:lla. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

11

Napsauta hiiren kakkospainikkeella solmun VM:ää ja valitse sitten Power > Power On.

Hybrid Data Security -ohjelmisto asennetaan vieraana VM-isäntään. Olet nyt valmis kirjautumaan konsoliin ja määrittämään solmun.

Vianmääritysvinkkejä

Saattaa esiintyä muutaman minuutin viive, ennen kuin solmupisteiden säiliöt tulevat esiin. Konsolissa näkyy siltapalomuuriviesti ensimmäisen käynnistyksen aikana, jolloin et voi kirjautua sisään.

Hybriditietoturva VM:n määrittäminen

Tällä menettelyllä voit kirjautua Hybrid Data Security -solmun VM-konsoliin ensimmäistä kertaa ja määrittää kirjautumistiedot. Voit myös määrittää solmun verkkoasetukset konsolin avulla, jos et määrittänyt niitä OVA-käyttöönoton yhteydessä.

1

Valitse VMware vSphere -asiakasohjelmassa Hybrid Data Security -solmun VM ja valitse Console -välilehti.

VM käynnistyy ja näyttöön tulee kirjautumiskehote. Jos kirjautumiskehote ei tule näkyviin, paina Enter.
2

Kirjaudu sisään ja vaihda tunnistetiedot seuraavilla oletustunnuksilla: käyttäjätunnus ja salasana:

  1. Kirjaudu sisään: admin

  2. Salasana: cisco

Koska kirjaudut VM:ään ensimmäistä kertaa, sinun on vaihdettava järjestelmänvalvojan salasana.

3

Jos olet jo määrittänyt verkkoasetukset kohdassa Install the HDS Host OVA, ohita tämän ohjeen loppuosa. Muussa tapauksessa valitse päävalikosta Muokkaa kokoonpanoa .

4

Määritä staattinen konfiguraatio, jossa on IP-osoite, maski, yhdyskäytävä ja DNS-tiedot. Solmulla pitäisi olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.

5

(Valinnainen) Muuta isäntänimeä, toimialuetta tai NTP-palvelinta (-palvelimia) tarvittaessa verkkokäytäntösi mukaiseksi.

Verkkotunnuksen ei tarvitse vastata verkkotunnusta, jota käytit X.509-varmenteen hankkimiseen.

6

Tallenna verkkokokoonpano ja käynnistä VM uudelleen, jotta muutokset tulevat voimaan.

Lataa ja asenna HDS-konfiguraatio-ISO-tiedosto.

Määritä virtuaalikone HDS Setup Tool -työkalulla luodusta ISO-tiedostosta tämän menettelyn avulla.

Ennen kuin aloitat

Koska ISO-tiedostossa on pääavain, se tulisi paljastaa vain, jos se on tarpeen, jotta hybriditietoturva-VM:t ja mahdolliset järjestelmänvalvojat, jotka saattavat joutua tekemään muutoksia, pääsevät siihen käsiksi. Varmista, että vain kyseiset järjestelmänvalvojat voivat käyttää tietovarastoa.

1

Lataa ISO-tiedosto tietokoneeltasi:

  1. Napsauta VMware vSphere -asiakasohjelman vasemmassa navigointipaneelissa ESXi-palvelinta.

  2. Valitse Configuration-välilehden Hardware (Laitteisto) -luettelosta Storage (Tallennus).

  3. Napsauta Datastores-luettelossa hiiren kakkospainikkeella VM-tietovarastoa ja valitse Browse Datastore.

  4. Napsauta Upload Files -kuvaketta ja valitse sitten Upload File.

  5. Siirry paikkaan, josta latasit ISO-tiedoston tietokoneellesi, ja napsauta Avaa.

  6. Hyväksy lataus/download-toiminnon varoitus napsauttamalla Yes ja sulje tietovarasto-valintaikkuna.

2

Kiinnitä ISO-tiedosto:

  1. Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia.

  2. Hyväksy rajoitettujen muokkausasetusten varoitus napsauttamalla OK .

  3. Napsauta CD/DVD-asema 1, valitse vaihtoehto mount from a datastore ISO file ja selaa paikkaan, johon latasit kokoonpanon ISO-tiedoston.

  4. Tarkista Kytketty ja Kytke virta päälle.

  5. Tallenna muutokset ja käynnistä virtuaalikone uudelleen.

Mitä tehdä seuraavaksi

Jos tietotekniikkakäytäntösi edellyttää, voit vaihtoehtoisesti poistaa ISO-tiedoston liittämisen sen jälkeen, kun kaikki solmut ovat ottaneet käyttöön määritysmuutokset. Katso lisätietoja osoitteesta (Valinnainen) Unmount ISO After HDS Configuration .

HDS-solmun määrittäminen välityspalvelimen integrointia varten

Jos verkkoympäristö edellyttää välityspalvelinta, määritä tällä tavalla, minkä tyyppinen välityspalvelin haluat integroida Hybrid Data Securityyn. Jos valitset läpinäkyvän tarkastavan välityspalvelimen tai nimenomaisen HTTPS-välityspalvelimen, voit ladata ja asentaa juurivarmenteen solmun käyttöliittymän avulla. Voit myös tarkistaa välityspalvelinyhteyden käyttöliittymästä ja korjata mahdollisia ongelmia.

Ennen kuin aloitat

1

Kirjoita HDS-solmun asetusten URL-osoite https://[HDS-solmun IP- tai FQDN]/setup verkkoselaimessa, syötä solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.

2

Siirry osoitteeseen Trust Store & Proxy ja valitse sitten vaihtoehto:

  • Ei välityspalvelinta- Oletusvaihtoehto ennen välityspalvelimen integroimista. Varmenteen päivitystä ei tarvita.
  • Läpinäkyvä ei-tarkastava välityspalvelin-Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen ei-tarkastavan välityspalvelimen kanssa. Varmenteen päivitystä ei tarvita.
  • Läpinäkyvä välityspalvelimen tarkastaminen-Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. Hybrid Data Security -käyttöönotossa ei tarvita HTTPS-konfiguraatiomuutoksia, mutta HDS-solmut tarvitsevat juurivarmenteen, jotta ne luottavat välityspalvelimeen. Tietotekniikka käyttää tyypillisesti tarkastavia välityspalvelimia valvomaan käytäntöjä, jotka koskevat sitä, millä verkkosivustoilla voi vierailla ja minkä tyyppistä sisältöä ei saa käyttää. Tämäntyyppinen välityspalvelin purkaa kaiken liikennöintisi (jopa HTTPS).
  • Explicit Proxy-Explisiittisellä välityspalvelimella kerrot asiakkaalle (HDS-solmut), mitä välityspalvelinta käyttää, ja tämä vaihtoehto tukee useita todennustyyppejä. Kun olet valinnut tämän vaihtoehdon, sinun on annettava seuraavat tiedot:

    1. Proxy IP/FQDN-osoite, jolla välityskone voidaan tavoittaa.

    2. Välitysportti- Portin numero, jota välityspalvelin käyttää kuunnellakseen välitettyä liikennettä.

    3. Proxy Protocol-Valitse http (tarkastelee ja valvoo kaikkia asiakkaalta vastaanotettuja pyyntöjä) tai https (tarjoaa kanavan palvelimelle ja asiakas vastaanottaa ja vahvistaa palvelimen varmenteen). Valitse vaihtoehto sen mukaan, mitä välityspalvelimesi tukee.

    4. Todennustyyppi-Valitse yksi seuraavista todennustyypeistä:

      • Ei ole- Muita todennuksia ei tarvita.

        Käytettävissä HTTP- tai HTTPS-välityspalvelimille.

      • Basic-Käytetään HTTP-käyttäjäagenttia antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.

        Käytettävissä HTTP- tai HTTPS-välityspalvelimille.

        Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjänimi ja salasana.

      • Digest-Käytetään tilin vahvistamiseen ennen arkaluontoisten tietojen lähettämistä. Soveltaa hash-funktiota käyttäjänimeen ja salasanaan ennen lähettämistä verkon yli.

        Käytettävissä vain HTTPS-välityspalvelimille.

        Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjänimi ja salasana.

Noudata seuraavia vaiheita, kun kyseessä on läpinäkyvä tarkastava välityspalvelin, HTTP-selkeä välityspalvelin, jossa on perustodennus, tai HTTPS-selkeä välityspalvelin.

3

Napsauta Juurivarmenteen tai loppuyksikön varmenteen lataaminen ja siirry sitten valitsemaan välityspalvelimen juurivarmenne.

Varmenne on ladattu, mutta sitä ei ole vielä asennettu, koska solmun on käynnistettävä uudelleen varmenteen asentamiseksi. Saat lisätietoja napsauttamalla varmenteen myöntäjän nimen vieressä olevaa nuolta tai napsauttamalla Poista , jos teit virheen ja haluat ladata tiedoston uudelleen.

4

Testaa solmun ja välityspalvelimen välinen verkkoyhteys napsauttamalla Check Proxy Connection .

Jos yhteystesti epäonnistuu, näyttöön tulee virheilmoitus, jossa kerrotaan syy ja miten voit korjata ongelman.

Jos näet viestin, jonka mukaan ulkoinen DNS-resoluutio ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen. Tämä ehto on odotettavissa monissa eksplisiittisissä välityspalvelinkokoonpanoissa. Voit jatkaa asetusten määrittämistä, ja solmu toimii Estetty ulkoinen DNS-resoluutio -tilassa. Jos luulet, että kyseessä on virhe, suorita nämä vaiheet ja katso sitten Ota estetty ulkoinen DNS-resoluutiotila pois käytöstä.

5

Kun yhteystesti on läpäisty, jos vain https:n välityspalvelimeksi on asetettu explicit proxy, kytke päälle . Reititä kaikki porttien 443/444 https-pyynnöt tästä solmusta explicit proxyn kautta. Tämä asetus vaatii 15 sekuntia tullakseen voimaan.

6

Napsauta Asenna kaikki varmenteet luottamussäilöön (tulee näkyviin, jos kyseessä on HTTPS-selkeän välityspalvelimen tai läpinäkyvän tarkastavan välityspalvelimen käyttö) tai Käynnistä uudelleen (tulee näkyviin, jos kyseessä on HTTP-selkeän välityspalvelimen käyttö), lue kehote ja napsauta sitten Asenna , jos olet valmis.

Solmu käynnistyy uudelleen muutamassa minuutissa.

7

Kun solmu on käynnistetty uudelleen, kirjaudu tarvittaessa uudelleen sisään ja avaa sitten Overview -sivu tarkistaaksesi yhteystarkastukset ja varmistaaksesi, että ne ovat kaikki vihreässä tilassa.

Välityspalvelinyhteyden tarkistus testaa vain webex.com-sivuston aliverkkotunnuksen. Jos yhteysongelmia ilmenee, yleinen ongelma on, että jotkin asennusohjeissa luetelluista pilvialueen verkkotunnuksista on estetty välityspalvelimessa.

Rekisteröi klusterin ensimmäinen solmu

Tässä tehtävässä otetaan yleinen solmu, jonka loit kohdassa Hybriditietoturvan VM:n määrittäminen, rekisteröidään solmu Webex-pilveen ja muutetaan se Hybriditietoturvan solmuksi.

Kun rekisteröit ensimmäisen solmun, luot klusterin, johon solmu liitetään. Klusteri sisältää yhden tai useamman solmun, jotka on sijoitettu tarjoamaan redundanssia.

Ennen kuin aloitat

  • Kun aloitat solmun rekisteröinnin, sinun on saatettava se päätökseen 60 minuutin kuluessa tai sinun on aloitettava alusta.

  • Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen admin.webex.com-sivustolle.

1

Kirjaudu sisään osoitteessa https://admin.webex.com.

2

Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

3

Etsi Cloud Services -osiosta Hybrid Data Security -kortti ja napsauta Set up.

4

Valitse avautuvalla sivulla Add a resource.

5

Kirjoita kortin Add a node ensimmäiseen kenttään nimi klusterille, johon haluat määrittää Hybrid Data Security -solmun.

Suosittelemme, että nimeät klusterin sen mukaan, missä klusterin solmut sijaitsevat maantieteellisesti. Esimerkkejä: "San Francisco" tai "New York" tai "Dallas".

6

Kirjoita toiseen kenttään solmun sisäinen IP-osoite tai FQDN (fully qualified domain name) ja napsauta näytön alareunassa Add .

Tämän IP-osoitteen tai FQDN:n tulisi vastata IP-osoitetta tai isäntänimeä ja toimialuetta, joita käytit kohdassa Hybrid Data Security VM:n määrittäminen.

Näyttöön tulee viesti, jossa ilmoitetaan, että voit rekisteröidä solmun Webexiin.
7

Napsauta Go to Node.

Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmujen yhteystesteihin. Jos kaikki testit ovat onnistuneet, Salli pääsy hybridi-tietoturvasolmulle -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa Webex-organisaatiollesi oikeudet käyttää solmua.

8

Tarkista Allow Access to Your Hybrid Data Security Node -valintaruutu ja napsauta sitten Continue.

Tilisi on vahvistettu ja "Rekisteröinti valmis" -viesti osoittaa, että solmusi on nyt rekisteröity Webex-pilveen.
9

Napsauta linkkiä tai sulje välilehti, niin pääset takaisin Partner Hub Hybrid Data Security -sivulle.

Hybrid Data Security -sivulla Resurssit -välilehdellä näkyy uusi klusteri, joka sisältää rekisteröimäsi solmun. Solmu lataa automaattisesti uusimman ohjelmiston pilvestä.

Luo ja rekisteröi lisää solmuja

Jos haluat lisätä klusteriin lisää solmuja, luot yksinkertaisesti uusia VM:iä ja asennat saman konfigurointi-ISO-tiedoston ja rekisteröit solmun. Suosittelemme, että sinulla on vähintään 3 solmua.

Ennen kuin aloitat

  • Kun aloitat solmun rekisteröinnin, sinun on saatettava se päätökseen 60 minuutin kuluessa tai sinun on aloitettava alusta.

  • Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen admin.webex.com-sivustolle.

1

Luo uusi virtuaalikone OVA:sta toistamalla vaiheet osoitteessa Install the HDS Host OVA.

2

Määritä uuden VM:n alkukokoonpano toistamalla kohdasta Set up the Hybrid Data Security VM löytyvät vaiheet.

3

Toista uudessa VM:ssä vaiheet osoitteessa Lataa ja asenna HDS-kokoonpanon ISO.

4

Jos otat käyttöön välityspalvelimen, toista kohdan Configure the HDS Node for Proxy Integration vaiheet tarpeen mukaan uutta solmua varten.

5

Rekisteröi solmu.

  1. Valitse https://admin.webex.com-sivustolla Palvelut näytön vasemmassa reunassa olevasta valikosta.

  2. Etsi Cloud Services -osiosta Hybrid Data Security -kortti ja napsauta View all.

    Hybriditietoturvaresurssit-sivu tulee näkyviin.

  3. Äskettäin luotu klusteri näkyy sivulla Resurssit .

  4. Klikkaa klusteria nähdäksesi klusteriin määritetyt solmut.

  5. Napsauta Add a node näytön oikeassa reunassa.

  6. Kirjoita solmun sisäinen IP-osoite tai FQDN (fully qualified domain name) ja napsauta Add.

    Avautuu sivu, jossa on viesti, jonka mukaan voit rekisteröidä solmun Webex-pilveen. Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmujen yhteystesteihin. Jos kaikki testit ovat onnistuneet, Salli pääsy hybridi-tietoturvasolmulle -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa organisaatiollesi oikeudet käyttää solmua.

  7. Tarkista Allow Access to Your Hybrid Data Security Node -valintaruutu ja napsauta sitten Continue.

    Tilisi on vahvistettu ja "Rekisteröinti valmis" -viesti osoittaa, että solmusi on nyt rekisteröity Webex-pilveen.

  8. Napsauta linkkiä tai sulje välilehti, niin pääset takaisin Partner Hub Hybrid Data Security -sivulle.

    Node added ponnahdusviesti näkyy myös Partner Hubin näytön alareunassa.

    Solmusi on rekisteröity.

Hallitse vuokralaisorganisaatioita Multi-Tenant Hybrid Data Security -palvelussa.

Aktivoi Multi-Tenant HDS Partner Hubissa.

Tällä tehtävällä varmistetaan, että kaikki asiakasorganisaatioiden käyttäjät voivat alkaa hyödyntää HDS:n On-Premises-salausavaimia ja muita tietoturvapalveluja.

Ennen kuin aloitat

Varmista, että olet saanut valmiiksi Multi-Tenant HDS -klusterin määrityksen, jossa on tarvittava määrä solmuja.

1

Kirjaudu sisään osoitteessa https://admin.webex.com.

2

Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

3

Etsi Pilvipalvelut-osiosta Hybrid Data Security ja napsauta Muokkaa asetuksia.

4

Napsauta Aktivoi HDS HDS Status -kortilla Aktivoi HDS .

Lisää vuokralaisorganisaatioita Partner Hubiin

Tässä tehtävässä määrität asiakasorganisaatiot hybridi-tietoturvaklusteriin.

1

Kirjaudu sisään osoitteessa https://admin.webex.com.

2

Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

3

Etsi Cloud Services -osiosta Hybrid Data Security ja napsauta View all.

4

Napsauta klusteria, johon haluat määrittää asiakkaan.

5

Siirry Kohdennetut asiakkaat -välilehdelle.

6

Napsauta Lisää asiakkaita.

7

Valitse avattavasta valikosta asiakas, jonka haluat lisätä.

8

Napsauta Add, asiakas lisätään klusteriin.

9

Toista vaiheet 6-8 lisätäksesi useita asiakkaita klusteriin.

10

Kun olet lisännyt asiakkaat, napsauta näytön alareunassa Done .

Mitä tehdä seuraavaksi

Käynnistä HDS-asennustyökalu, kuten kohdassa on kuvattu. Create Customer Main Keys (CMKs) using the HDS Setup tool (Luo asiakkaan pääavaimet (CMK:t) HDS-asennustyökalun avulla), jotta saat asennusprosessin päätökseen.

Luo asiakkaan pääavaimet (CMK) HDS Setup -työkalun avulla.

Ennen kuin aloitat

Määritä asiakkaat sopivaan klusteriin, kuten kohdassa Add tenant organizations in Partner Hub on kuvattu. Suorita HDS Setup -työkalu, jotta saat äskettäin lisättyjen asiakasorganisaatioiden määritysprosessin päätökseen.

  • HDS Setup -työkalu toimii Docker-säiliönä paikallisella koneella. Voit käyttää sitä suorittamalla Dockerin kyseisellä koneella. Asennusprosessi edellyttää Partner Hub -tilin tunnistetietoja, joilla on organisaatiosi täydet järjestelmänvalvojan oikeudet.

    Jos HDS Setup -työkalu toimii ympäristössäsi välityspalvelimen takana, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien avulla, kun käynnistät Docker-säiliön vaiheessa 5. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:

    Kuvaus

    Muuttuja

    HTTP-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTP_PROXY=http://SERVER_IP:PORTTI IP:PORTTI

    HTTPS-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTPS_PROXY=http://SERVER_IP:PORTTI

    HTTP-välityspalvelin todennuksen kanssa

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

    HTTPS-välityspalvelin todennuksella

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

  • Luomasi konfigurointi-ISO-tiedosto sisältää pääavaimen, jolla PostgreSQL- tai Microsoft SQL Server -tietokanta salataan. Tarvitset uusimman kopion tästä tiedostosta aina, kun teet määritysmuutoksia, kuten näitä:

    • Tietokannan tunnistetiedot

    • Todistuksen päivitykset

    • Muutokset valtuutuskäytäntöön

  • Jos aiot salata tietokantayhteyksiä, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:ää varten.

Hybrid Data Security -asennusprosessi luo ISO-tiedoston. Tämän jälkeen voit määrittää Hybrid Data Security -isäntäsovelluksen ISO-version avulla.

1

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

2

Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti:

docker login -u hdscustomersro
3

Kirjoita salasanakehotteeseen tämä hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Lataa uusin vakaa imago ympäristöllesi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:

  • Tavallisissa ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • FedRAMP-ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080".

6

Setup-työkalu ei tue yhteyden muodostamista localhostiin http://localhost:8080 kautta. Käytä http://127.0.0.1:8080 muodostaaksesi yhteyden localhostiin.

Siirry verkkoselaimella osoitteeseen localhost, http://127.0.0.1:8080, ja kirjoita kehotteeseen Partner Hubin admin-käyttäjätunnus.

Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää asettaakseen oikean ympäristön kyseiselle tilille. Tämän jälkeen työkalu näyttää tavallisen kirjautumiskehotteen.

7

Anna pyydettäessä Partner Hubin ylläpitäjän kirjautumistiedot ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn hybriditietoturvan edellyttämiin palveluihin.

8

Napsauta Setup Tool -katsaussivulla Get Started.

9

Valitse ISO Import -sivulla Yes.

10

Valitse ISO-tiedosto selaimessa ja lataa se.

Varmista yhteys tietokantaan CMK:n hallintaa varten.
11

Siirry Vuokralaisen CMK:n hallinta -välilehdelle, jossa on seuraavat kolme tapaa hallita vuokralaisen CMK:ta.

  • Create CMK for all ORGs tai Create CMK - Napsauta tätä painiketta näytön yläreunan bannerissa luodaksesi CMK:t kaikille äskettäin lisätyille organisaatioille.
  • Napsauta Manage CMKs -painiketta näytön oikeassa reunassa ja napsauta Create CMKs luodaksesi CMK:t kaikille äskettäin lisätyille organisaatioille.
  • Napsauta ... tietyn organisaation CMK-hallinnan odottavan tilan lähellä taulukossa ja napsauta Luo CMK luodaksesi CMK:n kyseiselle organisaatiolle.
12

Kun CMK:n luominen on onnistunut, tila muuttuu taulukossa CMK:n hallinta vireillä -tilasta CMK hallinnoitu-tilaan.

13

Jos CMK:n luominen ei onnistu, näyttöön tulee virheilmoitus.

Poista vuokralaisorganisaatiot

Ennen kuin aloitat

Poistamisen jälkeen asiakasorganisaatioiden käyttäjät eivät voi hyödyntää HDS:ää salaustarpeisiinsa ja menettävät kaikki olemassa olevat tilat. Ennen asiakasorganisaatioiden poistamista ota yhteyttä Cisco-kumppaniin tai asiakaspäällikköön.

1

Kirjaudu sisään osoitteessa https://admin.webex.com.

2

Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

3

Etsi Cloud Services -osiosta Hybrid Data Security ja napsauta View all.

4

Napsauta Resurssit -välilehdellä klusteria, josta haluat poistaa asiakasorganisaatiot.

5

Valitse avautuvalla sivulla Kohdennetut asiakkaat.

6

Napsauta näkyviin tulevasta asiakasorganisaatioiden luettelosta ... sen asiakasorganisaation oikealla puolella, jonka haluat poistaa, ja napsauta Poista klusterista.

Mitä tehdä seuraavaksi

Suorita poistoprosessi loppuun peruuttamalla asiakasorganisaatioiden CMK-tunnukset osoitteessa HDS:stä poistettujen vuokralaisten CMK-tunnusten peruuttaminen.

HDS:stä poistettujen vuokralaisten CMK-tunnusten peruuttaminen.

Ennen kuin aloitat

Poista asiakkaat kyseisestä klusterista, kuten kohdassa Poista vuokralaisorganisaatiot on kuvattu. Suorita HDS-asennustyökalu, jotta poistettujen asiakasorganisaatioiden poistoprosessi saadaan päätökseen.

  • HDS Setup -työkalu toimii Docker-säiliönä paikallisella koneella. Voit käyttää sitä suorittamalla Dockerin kyseisellä koneella. Asennusprosessi edellyttää Partner Hub -tilin tunnistetietoja, joilla on organisaatiosi täydet järjestelmänvalvojan oikeudet.

    Jos HDS Setup -työkalu toimii ympäristössäsi välityspalvelimen takana, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien avulla, kun käynnistät Docker-säiliön vaiheessa 5. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:

    Kuvaus

    Muuttuja

    HTTP-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTP_PROXY=http://SERVER_IP:PORTTI IP:PORTTI

    HTTPS-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTPS_PROXY=http://SERVER_IP:PORTTI

    HTTP-välityspalvelin todennuksen kanssa

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

    HTTPS-välityspalvelin todennuksella

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

  • Luomasi konfigurointi-ISO-tiedosto sisältää pääavaimen, jolla PostgreSQL- tai Microsoft SQL Server -tietokanta salataan. Tarvitset uusimman kopion tästä tiedostosta aina, kun teet määritysmuutoksia, kuten näitä:

    • Tietokannan tunnistetiedot

    • Todistuksen päivitykset

    • Muutokset valtuutuskäytäntöön

  • Jos aiot salata tietokantayhteyksiä, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:ää varten.

Hybrid Data Security -asennusprosessi luo ISO-tiedoston. Tämän jälkeen voit määrittää Hybrid Data Security -isäntäsovelluksen ISO-version avulla.

1

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

2

Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti:

docker login -u hdscustomersro
3

Kirjoita salasanakehotteeseen tämä hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Lataa uusin vakaa imago ympäristöllesi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:

  • Tavallisissa ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • FedRAMP-ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080".

6

Setup-työkalu ei tue yhteyden muodostamista localhostiin http://localhost:8080 kautta. Käytä http://127.0.0.1:8080 muodostaaksesi yhteyden localhostiin.

Siirry verkkoselaimella osoitteeseen localhost, http://127.0.0.1:8080, ja kirjoita kehotteeseen Partner Hubin admin-käyttäjätunnus.

Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää asettaakseen oikean ympäristön kyseiselle tilille. Tämän jälkeen työkalu näyttää tavallisen kirjautumiskehotteen.

7

Anna pyydettäessä Partner Hubin ylläpitäjän kirjautumistiedot ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn hybriditietoturvan edellyttämiin palveluihin.

8

Napsauta Setup Tool -katsaussivulla Get Started.

9

Valitse ISO Import -sivulla Yes.

10

Valitse ISO-tiedosto selaimessa ja lataa se.

11

Siirry Vuokralaisen CMK:n hallinta -välilehdelle, jossa on seuraavat kolme tapaa hallita vuokralaisen CMK:ta.

  • Revoke CMK for all ORGs or Revoke CMK - Napsauta tätä painiketta näytön yläreunassa olevassa bannerissa peruuttaaksesi kaikkien poistettujen organisaatioiden CMK:t.
  • Napsauta Manage CMKs -painiketta näytön oikeassa reunassa ja napsauta Revoke CMKs peruuttaaksesi kaikkien poistettujen organisaatioiden CMK:t.
  • Napsauta ... lähellä CMK, joka peruutetaan tietyn organisaation tilaa taulukossa ja napsauta Revoke CMK peruuttaaksesi CMK:n kyseiseltä organisaatiolta.
12

Kun CMK:n peruuttaminen on onnistunut, asiakasorganisaatio ei enää näy taulukossa.

13

Jos CMK:n peruuttaminen ei onnistu, näyttöön tulee virheilmoitus.

Testaa hybriditietoturvan käyttöönottoa

Testaa hybriditietoturvan käyttöönottoa

Tällä menettelyllä voit testata Multi-Tenant Hybrid Data Security -salausskenaarioita.

Ennen kuin aloitat

  • Määritä Multi-Tenant Hybrid Data Security -käyttöönotto.

  • Varmista, että sinulla on pääsy syslogiin, jotta voit tarkistaa, että avainpyynnöt kulkevat Multi-Tenant Hybrid Data Security -käyttöönottoon.

1

Avaimet tietylle tilalle asettaa tilan luoja. Kirjaudu Webex-sovellukseen yhtenä asiakasorganisaation käyttäjistä ja luo tila.

Jos poistat hybriditietoturva-asennuksen käytöstä, käyttäjien luomien tilojen sisältöön ei enää pääse käsiksi, kun salausavainten asiakaskeskeytetyt kopiot on korvattu.

2

Lähetä viestejä uuteen tilaan.

3

Tarkista syslog-tulosteesta, että avainpyynnöt kulkevat Hybrid Data Security -käyttöönottoon.

  1. Jos haluat tarkistaa, että käyttäjä on ensin luonut suojatun kanavan KMS:ään, suodata kms.data.method=create ja kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Löydät seuraavan kaltaisen merkinnän (tunnukset on lyhennetty luettavuuden vuoksi):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] vastaanotettu, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Jos haluat tarkistaa, onko käyttäjä pyytänyt olemassa olevaa avainta KMS:stä, suodata kms.data.method=retrieve ja kms.data.type=KEY:

    Sinun pitäisi löytää seuraava merkintä:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] vastaanotettu, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Jos haluat tarkistaa, onko käyttäjä pyytänyt uuden KMS-avaimen luomista, suodata kms.data.method=create ja kms.data.type=KEY_COLLECTION:

    Sinun pitäisi löytää seuraava merkintä:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] vastaanotettu, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Jos haluat tarkistaa, onko käyttäjä pyytänyt uuden KMS-resurssiobjektin (KRO) luomista, kun tila tai muu suojattu resurssi luodaan, suodata kms.data.method=create ja kms.data.type=RESOURCE_COLLECTION:

    Sinun pitäisi löytää seuraava merkintä: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] vastaanotettu, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Hybriditietojen tietoturvan tilan seuranta

Partner Hubin tilaindikaattori näyttää, onko Multi-Tenant Hybrid Data Security -käyttöönotossa kaikki kunnossa. Jos haluat ennakoivampia hälytyksiä, tilaa sähköposti-ilmoitukset. Sinulle ilmoitetaan, kun palveluun vaikuttavia hälytyksiä tai ohjelmistopäivityksiä tulee.
1

Valitse Partner Hubissa vasemmalla puolella olevasta valikosta Palvelut .

2

Etsi Pilvipalvelut-osiosta Hybrid Data Security ja napsauta Muokkaa asetuksia.

Hybriditietojen suojausasetukset -sivu tulee näkyviin.
3

Kirjoita Sähköposti-ilmoitukset-osioon yksi tai useampi sähköpostiosoite pilkuilla erotettuna ja paina Enter.

Hallitse HDS-käyttöönottoa

Hallitse HDS:n käyttöönottoa

Käytä tässä kuvattuja tehtäviä Hybrid Data Security -käyttöönoton hallintaan.

Aseta klusterin päivitysaikataulu

Hybrid Data Securityn ohjelmistopäivitykset tehdään automaattisesti klusteritasolla, mikä varmistaa, että kaikissa solmuissa on aina sama ohjelmistoversio. Päivitykset tehdään klusterin päivitysaikataulun mukaisesti. Kun ohjelmistopäivitys tulee saataville, voit päivittää klusterin manuaalisesti ennen suunniteltua päivitysaikaa. Voit määrittää tietyn päivitysaikataulun tai käyttää oletusaikataulua 3:00 AM Daily United States: Amerikka/Los Angeles. Voit myös tarvittaessa lykätä tulevaa päivitystä.

Päivityksen aikataulun asettaminen:

1

Kirjaudu sisään Partner Hubiin.

2

Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

3

Etsi Cloud Services -osiosta Hybrid Data Security ja napsauta Set up (Määritä).

4

Valitse klusteri Hybriditietoturvaresurssit-sivulla.

5

Napsauta Cluster Settings -välilehteä.

6

Valitse klusterin asetukset -sivun kohdassa Päivitysaikataulu päivitysaikataulun kellonaika ja aikavyöhyke.

Huomautus: Aikavyöhykkeen alla näkyy seuraava saatavilla oleva päivityspäivä ja -aika. Voit tarvittaessa siirtää päivityksen seuraavalle päivälle napsauttamalla Lykkää 24 tuntia.

Solmun kokoonpanon muuttaminen

Joskus sinun on ehkä muutettava Hybrid Data Security -solmun kokoonpanoa esimerkiksi seuraavista syistä:

  • x.509-varmenteiden muuttaminen vanhentumisen tai muiden syiden vuoksi.

    Emme tue varmenteen CN-verkkotunnuksen nimen muuttamista. Verkkotunnuksen on vastattava klusterin rekisteröinnissä käytettyä alkuperäistä verkkotunnusta.

  • Tietokanta-asetusten päivittäminen PostgreSQL- tai Microsoft SQL Server -tietokannan kopion vaihtamiseksi.

    Emme tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin tai päinvastoin. Jos haluat vaihtaa tietokantaympäristön, aloita uusi Hybrid Data Security -käyttöönotto.

  • Uuden kokoonpanon luominen uuden datakeskuksen valmistelemiseksi.

Hybrid Data Security käyttää turvallisuussyistä myös palvelutilien salasanoja, joiden käyttöikä on yhdeksän kuukautta. Kun HDS-asennustyökalu on luonut nämä salasanat, otat ne käyttöön kussakin HDS-solmussa ISO-määritystiedostossa. Kun organisaatiosi salasanojen voimassaolo lähestyy päättymistään, saat Webex-tiimiltä ilmoituksen, jossa pyydetään palauttamaan konetilisi salasana. (Sähköpostiviestissä on teksti: "Päivitä salasana konetilin API:n avulla."). Jos salasanasi eivät ole vielä vanhentuneet, työkalu antaa sinulle kaksi vaihtoehtoa:

  • Pehmeä nollaus- Vanha ja uusi salasana toimivat molemmat enintään 10 päivän ajan. Käytä tätä ajanjaksoa ISO-tiedoston korvaamiseen solmuissa vähitellen.

  • Hard reset- Vanhat salasanat lakkaavat toimimasta välittömästi.

Jos salasanasi vanhenevat ilman nollausta, se vaikuttaa HDS-palveluun ja edellyttää välitöntä kovaa nollausta ja ISO-tiedoston vaihtamista kaikissa solmuissa.

Tämän menettelyn avulla voit luoda uuden ISO-konfiguraatiotiedoston ja soveltaa sitä klusteriin.

Ennen kuin aloitat

  • HDS Setup -työkalu toimii Docker-säiliönä paikallisella koneella. Voit käyttää sitä suorittamalla Dockerin kyseisellä koneella. Asennusprosessi edellyttää Partner Hub -tilin tunnistetietoja, joilla on kumppanin täydet järjestelmänvalvojan oikeudet .

    Jos HDS Setup -työkalu toimii ympäristössäsi välityspalvelimen takana, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien avulla, kun käynnistät Docker-säiliön osoitteessa 1.e. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:

    Kuvaus

    Muuttuja

    HTTP-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTP_PROXY=http://SERVER_IP:PORTTI IP:PORTTI

    HTTPS-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTPS_PROXY=http://SERVER_IP:PORTTI

    HTTP-välityspalvelin todennuksen kanssa

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

    HTTPS-välityspalvelin todennuksella

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

  • Tarvitset kopion nykyisestä kokoonpanon ISO-tiedostosta uuden kokoonpanon luomiseksi. ISO-tietokanta sisältää pääavaimen, jolla PostgreSQL- tai Microsoft SQL Server -tietokanta salataan. Tarvitset ISO-tietoa, kun teet määritysmuutoksia, kuten tietokannan valtuustiedot, varmenteen päivitykset tai valtuutuskäytännön muutokset.

1

Suorita HDS-asennustyökalu Dockerin avulla paikallisella koneella.

  1. Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

    Tavallisissa ympäristöissä:

    docker rmi ciscocitg/hds-setup:stable

    FedRAMP-ympäristöissä:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Tämä vaihe puhdistaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

  2. Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti:

    docker login -u hdscustomersro

  3. Kirjoita salasanakehotteeseen tämä hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Lataa uusin vakaa imago ympäristöllesi:

    Tavallisissa ympäristöissä:

    docker pull ciscocitg/hds-setup:stable

    FedRAMP-ympäristöissä:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Varmista, että otat käyttöön uusimman asennustyökalun tätä toimenpidettä varten. Ennen 22. helmikuuta 2018 luoduissa työkalun versioissa ei ole salasanan palautusnäyttöjä.

  5. Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:

    • Tavallisissa ympäristöissä ilman välityspalvelinta:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • FedRAMP-ympäristöissä ilman välityspalvelinta:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080".

  6. Ota selaimella yhteys osoitteeseen localhost, http://127.0.0.1:8080.

    Setup-työkalu ei tue yhteyden muodostamista localhostiin http://localhost:8080 kautta. Käytä http://127.0.0.1:8080 muodostaaksesi yhteyden localhostiin.

  7. Anna pyydettäessä Partner Hub -asiakkaan kirjautumistiedot ja jatka sitten klikkaamalla Accept .

  8. Tuo nykyinen kokoonpano ISO-tiedosto.

  9. Suorita työkalu loppuun ja lataa päivitetty tiedosto noudattamalla ohjeita.

    Voit sammuttaa Setup-työkalun kirjoittamalla CTRL+C.

  10. Luo varmuuskopio päivitetystä tiedostosta toiseen datakeskukseen.

2

Jos sinulla on vain yksi HDS-solmu, jossa on käytössä, luo uusi Hybrid Data Security -solmun VM ja rekisteröi se käyttämällä uutta konfiguraatio-ISO-tiedostoa. Tarkempia ohjeita on osoitteessa Luo ja rekisteröi lisää solmuja.

  1. Asenna HDS-isännän OVA.

  2. Määritä HDS VM.

  3. Kiinnitä päivitetty kokoonpanotiedosto.

  4. Rekisteröi uusi solmu Partner Hubissa.

3

Asenna ISO-tiedosto olemassa oleviin HDS-solmuihin, joissa on käytössä vanhempi kokoonpanotiedosto. Suorita seuraavat toimenpiteet jokaiselle solmulle vuorotellen ja päivitä jokainen solmu ennen seuraavan solmun sammuttamista:

  1. Sammuta virtuaalikone.

  2. Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia.

  3. Napsauta CD/DVD-asema 1, valitse vaihtoehto mount from an ISO file (kiinnitä ISO-tiedostosta) ja selaa paikkaan, josta latasit uuden kokoonpanon ISO-tiedoston.

  4. Tarkista Kytke virta päälle.

  5. Tallenna muutokset ja käynnistä virtuaalikone.

4

Toista vaihe 3 korvataksesi kokoonpano jokaisessa jäljellä olevassa solmussa, jossa on käytössä vanha kokoonpano.

Sammuta estetty ulkoinen DNS-resoluutiotila

Kun rekisteröit solmun tai tarkistat solmun välityspalvelinkokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex -pilveen. Jos solmun DNS-palvelin ei pysty ratkaisemaan julkisia DNS-nimiä, solmu siirtyy automaattisesti estetty ulkoinen DNS-resoluutio -tilaan.

Jos solmut pystyvät ratkaisemaan julkiset DNS-nimet sisäisten DNS-palvelimien kautta, voit poistaa tämän tilan käytöstä suorittamalla välityspalvelinyhteystestin uudelleen kussakin solmussa.

Ennen kuin aloitat

Varmista, että sisäiset DNS-palvelimesi pystyvät ratkaisemaan julkisia DNS-nimiä ja että solmusi voivat kommunikoida niiden kanssa.
1

Avaa verkkoselaimessa Hybrid Data Security -solmun käyttöliittymä (esimerkiksi IP-osoite/asetukset, https://192.0.2.0/setup), , syötä solmulle määrittämäsi järjestelmänvalvojan tunnukset ja napsauta sitten Kirjaudu sisään.

2

Siirry osoitteeseen Overview (oletussivu).

Kun se on käytössä, Estetty ulkoinen DNS-resoluutio on asetettu Kyllä.

3

Siirry Trust Store & Proxy -sivulle.

4

Napsauta Tarkista välityspalvelinyhteys.

Jos näet viestin, jonka mukaan ulkoinen DNS-resoluutio ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen, ja se pysyy tässä tilassa. Muussa tapauksessa, kun olet käynnistänyt solmun uudelleen ja palannut sivulle Overview , Blocked External DNS Resolution -asetuksen pitäisi olla ei.

Mitä tehdä seuraavaksi

Toista välityspalvelinyhteyden testaus Hybrid Data Security -klusterin jokaisessa solmussa.

Poista solmu

Tällä menettelyllä voit poistaa Hybrid Data Security -solmun Webex-pilvestä. Kun olet poistanut solmun klusterista, poista virtuaalikone, jotta suojaustietoihin ei pääse enää käsiksi.
1

Kirjaudu tietokoneen VMware vSphere -asiakasohjelmalla ESXi-virtuaali-isäntäkoneeseen ja sammuta virtuaalikone.

2

Poista solmu:

  1. Kirjaudu sisään Partner Hubiin ja valitse sitten Palvelut.

  2. Valitse Hybriditietoturva-kortissa Näytä kaikki , jolloin Hybriditietoturvaresurssit-sivu tulee näkyviin.

  3. Valitse klusteri näyttääksesi sen yleiskatsauspaneelin.

  4. Napsauta solmua, jonka haluat poistaa.

  5. Napsauta oikealle avautuvassa paneelissa Deregister this node .

  6. Voit myös poistaa solmun rekisteröinnin napsauttamalla ... solmun oikealla puolella ja valitsemalla Poista tämä solmu.

3

Poista VM vSphere-asiakasohjelmassa. (Napsauta hiiren kakkospainikkeella VM:ää vasemmassa navigointipaneelissa ja valitse Poista.)

Jos et poista VM:ää, muista poistaa konfigurointi-ISO-tiedosto. Ilman ISO-tiedostoa et voi käyttää VM:ää turvatietojen käyttämiseen.

Katastrofista palautuminen varalla olevan datakeskuksen avulla

Hybriditietoturvaklusterin tarjoama kriittisin palvelu on avainten luominen ja tallentaminen, joita käytetään viestien ja muun Webex-pilveen tallennetun sisällön salaamiseen. Jokaisen organisaatiossa olevan käyttäjän, joka on määritetty Hybrid Data Security -palveluun, uudet avainten luontipyynnöt ohjataan klusteriin. Klusteri on myös vastuussa luomiensa avainten palauttamisesta kaikille käyttäjille, joilla on oikeus hakea niitä, esimerkiksi keskusteluavaruuden jäsenille.

Koska klusterin kriittisenä tehtävänä on tarjota nämä avaimet, on ehdottoman tärkeää, että klusteri pysyy toiminnassa ja että asianmukaisia varmuuskopioita ylläpidetään. Hybriditietoturvatietokannan tai skeemassa käytetyn konfigurointi-ISO-tietokannan menetys johtaa asiakassisällön KORJAAMATTOMAAN HÄVIÖÖN. Seuraavat käytännöt ovat pakollisia tällaisten menetysten estämiseksi:

Jos katastrofi aiheuttaa sen, että ensisijaisen tietokeskuksen HDS-käyttöönotto ei ole käytettävissä, siirry manuaalisesti varakeskukseen vikasietoisesti tämän ohjeen mukaisesti.

Ennen kuin aloitat

Poista kaikkien solmujen rekisteröinti Partner Hubista, kuten kohdassa Remove a Node on mainittu. Käytä uusinta ISO-tiedostoa, joka on määritetty aiemmin aktiivisena olleen klusterin solmuja varten, suorittaaksesi alla mainitun vikasietoisen siirtomenettelyn.
1

Käynnistä HDS Setup -työkalu ja noudata kohdassa Luo konfigurointi-ISO HDS-isäntäkoneille. mainittuja ohjeita.

2

Suorita konfigurointiprosessi loppuun ja tallenna ISO-tiedosto paikkaan, josta se on helppo löytää.

3

Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmään. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää tietokannan sisällön pääsalausavaimen. Rajoita käyttöoikeus vain niille Hybrid Data Securityn järjestelmänvalvojille, joiden pitäisi tehdä määritysmuutoksia.

4

Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia.

5

Napsauta Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.

Varmista, että Connected ja Connect at power on on valittuna, jotta päivitetyt konfiguraatiomuutokset tulevat voimaan solmujen käynnistämisen jälkeen.

6

Kytke HDS-solmuun virta ja varmista, ettei hälytyksiä ole kuulunut vähintään 15 minuuttiin.

7

Rekisteröi solmu Partner-keskukseen. Katso Rekisteröi klusterin ensimmäinen solmu.

8

Toista prosessi jokaiselle valmiustietokeskuksen solmulle.

Mitä tehdä seuraavaksi

Jos ensisijainen datakeskus aktivoituu uudelleen vikatilanteen jälkeen, poista varalla olevan datakeskuksen solmujen rekisteröinti ja toista ISO:n määrittäminen ja ensisijaisen datakeskuksen solmujen rekisteröinti edellä mainitulla tavalla.

(Valinnainen) Irrota ISO-levy HDS-konfiguraation jälkeen

HDS:n vakiokokoonpanossa ISO-levy on asennettuna. Jotkut asiakkaat eivät kuitenkaan halua jättää ISO-tiedostoja jatkuvasti asennettuna. Voit poistaa ISO-tiedoston liitännän, kun kaikki HDS-solmut ovat ottaneet uuden kokoonpanon käyttöön.

Voit edelleen käyttää ISO-tiedostoja kokoonpanomuutosten tekemiseen. Kun luot uuden ISO-tietolevyn tai päivität ISO-tietolevyn asetustyökalun avulla, päivitetty ISO-tietolevy on asennettava kaikkiin HDS-solmuihin. Kun kaikki solmusi ovat ottaneet konfiguraatiomuutokset käyttöön, voit poistaa ISO-levyn kiinnityksen uudelleen tällä tavalla.

Ennen kuin aloitat

Päivitä kaikki HDS-solmut versioon 2021.01.22.4720 tai uudempaan.

1

Sammuta yksi HDS-solmuistasi.

2

Valitse vCenter Server Appliance -laitteessa HDS-solmu.

3

Valitse Muokkaa asetuksia > CD/DVD-asema ja poista valinta Datastore ISO File.

4

Kytke HDS-solmuun virta ja varmista, että hälytyksiä ei ole tullut vähintään 20 minuuttiin.

5

Toista tämä vuorotellen jokaiselle HDS-solmulle.

Vianmääritys hybridi tietoturva

Näytä hälytykset ja vianmääritys

Hybriditietoturvakäytön katsotaan olevan käyttökelvoton, jos kaikki klusterin solmut eivät ole tavoitettavissa tai jos klusteri toimii niin hitaasti, että pyynnöt keskeytyvät. Jos käyttäjät eivät pääse Hybrid Data Security -klusteriin, he kokevat seuraavia oireita:

  • Uusia tiloja ei voida luoda (uusia avaimia ei voida luoda).

  • Viestien ja tilojen otsikot eivät onnistu salauksen purkamisessa:

    • Tilaan on lisätty uusia käyttäjiä (ei pysty hakemaan avaimia).

    • Tilan nykyiset käyttäjät, jotka käyttävät uutta asiakasta (eivät pysty hakemaan avaimia).

  • Tilan nykyiset käyttäjät jatkavat menestyksekkäästi toimintaansa niin kauan kuin heidän asiakkaillaan on salausavainten välimuisti.

On tärkeää, että valvot hybriditietoturvaklusteriasi asianmukaisesti ja käsittelet kaikki hälytykset nopeasti, jotta vältät palveluhäiriöt.

Hälytykset

Jos hybriditietoturva-asetuksissa on ongelmia, Partner Hub näyttää hälytyksiä organisaation ylläpitäjälle ja lähettää sähköpostiviestejä määritettyyn sähköpostiosoitteeseen. Hälytykset kattavat monia yleisiä skenaarioita.

Taulukko 1. Yleiset ongelmat ja niiden ratkaisemiseen tarvittavat vaiheet

Hälytys

Toiminta

Paikallisen tietokannan käyttöhäiriö.

Tarkista tietokantavirheet tai lähiverkko-ongelmat.

Paikallisen tietokantayhteyden epäonnistuminen.

Tarkista, että tietokantapalvelin on käytettävissä ja että solmun määrityksessä käytettiin oikeaa palvelutilin tunnistetietoja.

Pilvipalvelun käyttöhäiriö.

Tarkista, että solmut voivat käyttää Webex-palvelimia osoitteessa Ulkoiset yhteysvaatimukset määritellyllä tavalla.

Pilvipalvelun rekisteröinnin uusiminen.

Pilvipalveluihin rekisteröityminen lopetettiin. Rekisteröinnin uusiminen on käynnissä.

Pilvipalvelun rekisteröinti lopetettu.

Rekisteröinti pilvipalveluihin lopetettu. Palvelu suljetaan.

Palvelua ei ole vielä aktivoitu.

Aktivoi HDS Partner Hubissa.

Määritetty verkkotunnus ei vastaa palvelimen varmennetta.

Varmista, että palvelimen varmenne vastaa määritettyä palvelun aktivointialuetta.

Todennäköisin syy on se, että varmenteen CN-nimike on äskettäin vaihdettu ja se on nyt eri kuin alkuperäisen asennuksen aikana käytetty CN-nimike.

Pilvipalveluiden todennus epäonnistui.

Tarkista palvelutilin tunnusten oikeellisuus ja mahdollinen vanhentuminen.

Paikallista avainsäilytystiedostoa ei onnistuttu avaamaan.

Tarkista paikallisen avainsäilytystiedoston eheys ja salasanan oikeellisuus.

Paikallisen palvelimen varmenne on virheellinen.

Tarkista palvelimen varmenteen voimassaoloaika ja varmista, että sen on myöntänyt luotettava varmentaja.

Metriikoita ei voi lähettää.

Tarkista paikallisverkon pääsy ulkoisiin pilvipalveluihin.

/media/configdrive/hds-hakemistoa ei ole olemassa.

Tarkista virtuaalisen isäntäkoneen ISO-kiinnityskonfiguraatio. Tarkista, että ISO-tiedosto on olemassa, että se on määritetty liitettäväksi uudelleenkäynnistyksen yhteydessä ja että se liitetään onnistuneesti.

Vuokralaisen organisaation asetuksia ei ole saatu valmiiksi lisättyjen organisaatioiden osalta.

Viimeistele asennus luomalla CMK:t äskettäin lisätyille vuokralaisorganisaatioille HDS Setup Tool -työkalun avulla.

Vuokralaisen organisaation asetuksia ei ole saatu valmiiksi poistettujen organisaatioiden osalta.

Viimeistele asennus peruuttamalla HDS Setup Tool -työkalulla poistettujen vuokralaisorganisaatioiden CMK-tunnukset.

Vianmääritys hybridi tietoturva

Käytä seuraavia yleisiä ohjeita, kun ratkaiset Hybrid Data Securityn ongelmia.
1

Tarkista Partner Hubista mahdolliset hälytykset ja korjaa kaikki sieltä löytyvät kohteet. Katso viitteeksi alla oleva kuva.

2

Tarkista syslog-palvelimen tulosteet Hybrid Data Security -käyttöönoton toiminnan osalta. Suodata sanoja kuten "Varoitus" ja "Virhe" vianmäärityksen helpottamiseksi.

3

Ota yhteyttä osoitteeseen Ciscon tuki.

Muut huomautukset

Hybriditietoturvan tunnetut ongelmat

  • Jos sammutat Hybrid Data Security -klusterin (poistamalla sen Partner Hubissa tai sammuttamalla kaikki solmut), menetät määritys-ISO-tiedoston tai menetät pääsyn avainsäilytystietokantaan, asiakasorganisaatioiden Webex App -käyttäjät eivät voi enää käyttää henkilöluettelossaan olevia tiloja, jotka on luotu KMS-avaimilla. Meillä ei ole tällä hetkellä ratkaisua tai korjausta tähän ongelmaan, ja kehotamme sinua olemaan sammuttamatta HDS-palveluja, kun ne käsittelevät aktiivisia käyttäjätilejä.

  • Asiakas, jolla on olemassa oleva ECDH-yhteys KMS-järjestelmään, säilyttää yhteyden tietyn ajan (todennäköisesti tunnin).

Käytä OpenSSL:ää PKCS12-tiedoston luomiseen

Ennen kuin aloitat

  • OpenSSL on yksi työkalu, jota voidaan käyttää PKCS12-tiedoston saattamiseen oikeaan muotoon HDS-asennustyökalun lataamista varten. On muitakin tapoja tehdä tämä, emmekä me tue tai suosittele yhtä tapaa toisen sijaan.

  • Jos päätät käyttää OpenSSL:ää, annamme tämän ohjeen, jonka avulla voit luoda tiedoston, joka täyttää X.509-varmenteen vaatimukset osoitteessa X.509 Certificate Requirements. Ymmärrä nämä vaatimukset ennen kuin jatkat.

  • Asenna OpenSSL tuettuun ympäristöön. Katso ohjelmisto ja dokumentaatio osoitteesta https://www.openssl.org .

  • Luo yksityinen avain.

  • Aloita tämä toimenpide, kun saat palvelinvarmenteen varmentajalta.

1

Kun saat palvelinvarmenteen varmentajalta, tallenna se osoitteeseen hdsnode.pem.

2

Näytä varmenne tekstinä ja tarkista tiedot.

openssl x509 -text -noout -in hdsnode.pem

3

Luo tekstieditorilla varmennepakettitiedosto nimeltä hdsnode-bundle.pem. Pakettitiedoston on sisällettävä palvelinvarmenne, mahdolliset välivarmentajan varmenteet ja päävarmentajan varmenteet alla olevassa muodossa:

-----BEGIN CERTIFICATE----- ### Palvelinsertifikaatti. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----

4

Luo .p12-tiedosto, jonka nimi on kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Tarkista palvelimen varmenteen tiedot.

  1. openssl pkcs12 -in hdsnode.p12

  2. Kirjoita kehotteeseen salasana salataksesi yksityisen avaimen niin, että se näkyy tulosteessa. Tarkista sitten, että yksityinen avain ja ensimmäinen varmenne sisältävät rivit friendlyName: kms-private-key.

    Esimerkki:

    bash$ openssl pkcs12 -in hdsnode.p12 Anna tuontisalasana: MAC tarkistettu OK Laukun attribuutit friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Keskeiset ominaisuudet:  Syötä PEM-salasana: Verifying - Syötä PEM-salasana: -----BEGIN ENCRYPTED PRIVATE KEY-----  -----END ENCRYPTED PRIVATE KEY----- Laukun ominaisuudet friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE----- Laukku Attribuutit friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE-----

Mitä tehdä seuraavaksi

Palaa osoitteeseen Suorita Hybriditietoturvan edellytykset. Käytät hdsnode.p12 -tiedostoa ja sille asettamaasi salasanaa kohdassa Luo konfigurointi-ISO HDS-isäntäasemille.

Voit käyttää näitä tiedostoja uudelleen uuden varmenteen pyytämiseen, kun alkuperäinen varmenne vanhenee.

HDS-solmujen ja pilvipalvelun välinen liikenne

Lähtevien mittareiden keräysliikenne

Hybriditietoturvasolmut lähettävät tiettyjä mittareita Webex-pilveen. Näihin kuuluvat järjestelmän metriikat, jotka koskevat kasan enimmäismäärää, käytettyä kasaa, suorittimen kuormitusta ja säikeiden lukumäärää, synkronisten ja asynkronisten säikeiden metriikat, salausyhteyksien kynnysarvoa, viiveaikaa tai pyyntöjonon pituutta koskevien hälytysten metriikat, tietovaraston metriikat ja salausyhteyksien metriikat. Solmut lähettävät salatun avainmateriaalin kaistan ulkopuolisen (pyynnöstä erillisen) kanavan kautta.

Saapuva liikenne

Hybriditietoturvasolmut vastaanottavat Webex-pilvestä seuraavanlaista saapuvaa liikennettä:

  • Asiakkaiden salauspyynnöt, jotka salauspalvelu ohjaa eteenpäin.

  • Solmuohjelmiston päivitykset

Määritä Squid-välityspalvelimet hybridi-dataturvallisuutta varten

Websocket ei voi muodostaa yhteyttä Squid-proxyn kautta

HTTPS-liikennettä tarkastavat Squid-välityspalvelimet voivat häiritä Hybrid Data Securityn edellyttämien websocket-yhteyksien (wss:) muodostamista. Näissä osioissa annetaan ohjeita siitä, miten Squidin eri versiot voidaan konfiguroida sivuuttamaan wss: liikenne palvelujen moitteettoman toiminnan varmistamiseksi.

Kalmarit 4 ja 5

Lisää on_unsupported_protocol -direktiivi osoitteeseen squid.conf:

on_unsupported_protocol tunneli kaikki

Squid 3.5.27

Testasimme onnistuneesti Hybrid Data Securitya seuraavien sääntöjen avulla, jotka lisättiin osoitteeseen squid.conf. Nämä säännöt voivat muuttua, kun kehitämme ominaisuuksia ja päivitämme Webex-pilveä.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Uudet ja muuttuneet tiedot

Uudet ja muuttuneet tiedot

Tämä taulukko kattaa uudet ominaisuudet tai toiminnot, muutokset olemassa olevaan sisältöön ja kaikki merkittävät virheet, jotka on korjattu osoitteessa Deployment Guide for Multi-Tenant Hybrid Data Security.

Tiedot

Muutokset tallennettu

tammikuu 30, 2025

Lisätty SQL-palvelimen versio 2022 tuettujen SQL-palvelimien luetteloon osoitteessa Tietokantapalvelinvaatimukset.

tammikuu 15, 2025

Lisättyjä rajoituksia usean vuokralaisen hybriditietoturvaan.

tammikuu 08, 2025

Lisätty huomautus kohtaan Suorita alkuasetukset ja lataa asennustiedostot, jossa todetaan, että asennusprosessin tärkeä vaihe on napsauttamalla Partner Hubin HDS-kortin Set up.

tammikuu 07, 2025

Päivitetty Virtual Host -vaatimukset, Hybrid Data Security Deployment Task Flow ja Install the HDS Host OVA osoittamaan ESXi 7.0:n uudet vaatimukset.

13. joulukuuta 2024

Julkaistu ensimmäisen kerran.

Multi-Tenant Hybrid Data Security -tietoturvan poistaminen käytöstä

Multi-Tenant HDS:n deaktivointitehtävän kulku

Voit poistaa Multi-Tenant HDS:n käytöstä kokonaan noudattamalla seuraavia ohjeita.

Ennen kuin aloitat

Tämän tehtävän saa suorittaa vain kumppanin täysivaltainen järjestelmänvalvoja.
1

Poista kaikki asiakkaat kaikista klustereistasi, kuten kohdassa Remove tenant organizations on mainittu.

2

Peruuta kaikkien asiakkaiden CMK:t, kuten mainitaan osoitteessa Peruuta HDS:stä poistettujen vuokralaisten CMK:t..

3

Poista kaikki solmut kaikista klustereistasi, kuten kohdassa Remove a Node on mainittu.

4

Poista kaikki klusterit Partner Hubista jommallakummalla seuraavista kahdesta menetelmästä.

  • Napsauta poistettavaa klusteria ja valitse yleiskatsaussivun oikeassa yläkulmassa Delete this Cluster.
  • Napsauta Resurssit-sivulla ... klusterin oikealla puolella ja valitse Poista klusteri.
5

Napsauta Asetukset -välilehteä Hybriditietojen suojauksen yleiskatsaussivulla ja napsauta Deactivate HDS HDS Status -kortissa.

Aloita Multi-Tenant Hybrid Data Security -palvelun käyttäminen

Multi-Tenant Hybrid Data Security - yleiskatsaus

Webex Appin suunnittelussa on alusta alkaen keskitytty ensisijaisesti tietoturvaan. Tämän turvallisuuden kulmakivi on päästä päähän -sisällön salaus, jonka Webex App -asiakkaat mahdollistavat avaintenhallintapalvelun (Key Management Service, KMS) kanssa. KMS vastaa niiden salausavainten luomisesta ja hallinnasta, joita asiakkaat käyttävät viestien ja tiedostojen dynaamiseen salaamiseen ja salauksen purkamiseen.

Oletusarvoisesti kaikki Webex App -asiakkaat saavat päästä päähän -salauksen, jonka dynaamiset avaimet on tallennettu pilven KMS-järjestelmään, Ciscon tietoturva-alueelle. Hybrid Data Security siirtää KMS:n ja muut tietoturvaan liittyvät toiminnot yrityksen datakeskukseen, joten salatun sisällön avaimet eivät ole kenelläkään muulla kuin sinulla.

Multi-Tenant Hybrid Data Security antaa organisaatioille mahdollisuuden hyödyntää HDS:ää luotettavan paikallisen kumppanin kautta, joka voi toimia palveluntarjoajana ja hallita tiloissa tapahtuvaa salausta ja muita tietoturvapalveluja. Tämä asetus antaa kumppaniorganisaatiolle täydellisen hallinnan salausavainten käyttöönotosta ja hallinnasta ja varmistaa, että asiakasorganisaatioiden käyttäjätiedot ovat turvassa ulkopuoliselta käytöltä. Kumppaniorganisaatiot asentavat HDS-instansseja ja luovat HDS-klustereita tarpeen mukaan. Kukin instanssi voi tukea useita asiakasorganisaatioita toisin kuin tavallinen HDS-käyttöönotto, joka on rajoitettu yhteen organisaatioon.

Vaikka kumppaniorganisaatiot hallitsevat käyttöönottoa ja hallintaa, niillä ei ole pääsyä asiakkaiden tuottamiin tietoihin ja sisältöön. Tämä käyttöoikeus on rajoitettu asiakasorganisaatioihin ja niiden käyttäjiin.

Näin myös pienemmät organisaatiot voivat hyödyntää HDS:ää, sillä luotettava paikallinen kumppani omistaa avainhallintapalvelun ja tietoturvainfrastruktuurin, kuten datakeskukset.

Miten Multi-Tenant Hybrid Data Security tarjoaa tietojen suvereenisuutta ja tiedonhallintaa

  • Käyttäjän luoma sisältö on suojattu ulkopuoliselta käytöltä, kuten pilvipalvelujen tarjoajilta.
  • Paikalliset luotetut kumppanit hallinnoivat niiden asiakkaiden salausavaimia, joihin niillä on jo vakiintunut suhde.
  • Mahdollisuus paikalliseen tekniseen tukeen, jos kumppani tarjoaa sitä.
  • Tukee kokousten, viestien ja puhelujen sisältöä.

Tämän asiakirjan tarkoituksena on auttaa kumppaniorganisaatioita perustamaan ja hallitsemaan asiakkaita Multi-Tenant Hybrid Data Security -järjestelmässä.

Monen käyttäjän hybriditietoturvan rajoitukset

  • Kumppaniorganisaatioilla ei saa olla aktiivista HDS-käyttöönottoa Control Hubissa.
  • Vuokralais- tai asiakasorganisaatioilla, joita kumppani haluaa hallita, ei saa olla olemassa olevaa HDS-käyttöönottoa Control Hubissa.
  • Kun kumppani on ottanut Multi-Tenant HDS:n käyttöön, kaikki asiakasorganisaatioiden käyttäjät sekä kumppaniorganisaation käyttäjät alkavat hyödyntää Multi-Tenant HDS:ää salauspalveluissaan.

    Kumppaniorganisaatio ja heidän hallinnoimansa asiakasorganisaatiot ovat samassa Multi-Tenant HDS -käyttöönotossa.

    Kumppaniorganisaatio ei enää käytä pilvi-KMS:ää sen jälkeen, kun Multi-Tenant HDS on otettu käyttöön.

  • Avaimia ei voi siirtää takaisin Cloud KMS:ään HDS:n käyttöönoton jälkeen.
  • Tällä hetkellä jokaisessa Multi-Tenant HDS -käyttöönotossa voi olla vain yksi klusteri, jonka alla on useita solmuja.
  • Järjestelmänvalvojan rooleilla on tiettyjä rajoituksia; katso lisätietoja alla olevasta osiosta.

Roolit monitilaaja-hybriditietoturvassa

  • Kumppanin täysi järjestelmänvalvoja - Voi hallita kaikkien kumppanin hallinnoimien asiakkaiden asetuksia. Voit myös määrittää ylläpitäjärooleja organisaation nykyisille käyttäjille ja määrittää tietyt asiakkaat kumppanien ylläpitäjien hallinnoitaviksi.
  • Kumppanin järjestelmänvalvoja - Voi hallita niiden asiakkaiden asetuksia, jotka järjestelmänvalvoja on määrittänyt tai jotka on osoitettu käyttäjälle.
  • Täysi järjestelmänvalvoja - Kumppaniorganisaation järjestelmänvalvoja, jolla on valtuudet suorittaa tehtäviä, kuten organisaation asetusten muuttaminen, lisenssien hallinta ja roolien jakaminen.
  • Kaikkien asiakasorganisaatioiden kokonaisvaltainen Multi-Tenant HDS -asennus ja -hallinta - Kumppanilta vaaditaan täydet järjestelmänvalvojan ja täyden järjestelmänvalvojan oikeudet.
  • Määritettyjen vuokralaisorganisaatioiden hallinta - Kumppanin järjestelmänvalvojan ja täyden järjestelmänvalvojan oikeudet vaaditaan.

Turvallisuusalueen arkkitehtuuri

Webexin pilviarkkitehtuurissa erityyppiset palvelut on jaettu erillisiin alueisiin eli luottamusalueisiin, kuten alla on kuvattu.

Erillisalueet (ilman hybriditietoturvaa)

Jotta hybriditietoturvaa voidaan ymmärtää paremmin, tarkastellaan ensin tätä puhdasta pilvitapausta, jossa Cisco tarjoaa kaikki toiminnot pilvialueillaan. Identiteettipalvelu, joka on ainoa paikka, jossa käyttäjät voidaan suoraan yhdistää henkilökohtaisiin tietoihinsa, kuten sähköpostiosoitteeseen, on loogisesti ja fyysisesti erillään tietoturva-alueesta datakeskuksessa B. Molemmat ovat puolestaan erillään alueesta, johon salattu sisältö lopulta tallennetaan, datakeskuksessa C.

Tässä kaaviossa asiakas on käyttäjän kannettavassa tietokoneessa oleva Webex-sovellus, joka on todennettu tunnistuspalvelun avulla. Kun käyttäjä laatii viestin lähetettäväksi tilaan, seuraavat vaiheet tapahtuvat:

  1. Asiakas luo suojatun yhteyden avaintenhallintapalveluun (KMS) ja pyytää sitten avainta viestin salaamista varten. Suojattu yhteys käyttää ECDH:ta, ja KMS salaa avaimen AES-256-pääavaimella.

  2. Viesti salataan ennen kuin se lähtee asiakkaalta. Asiakas lähettää sen indeksointipalveluun, joka luo salattuja hakuindeksejä sisällön myöhempien hakujen helpottamiseksi.

  3. Salattu viesti lähetetään vaatimustenmukaisuuden tarkistamista varten vaatimustenmukaisuuspalveluun.

  4. Salattu viesti tallennetaan tallennuskenttään.

Kun otat käyttöön hybriditietoturvan, siirrät tietoturvatoiminnot (KMS, indeksointi ja vaatimustenmukaisuus) toimitilakeskukseen. Muut Webexin muodostavat pilvipalvelut (kuten identiteetti ja sisällön tallennus) pysyvät Ciscon vastuulla.

Yhteistyö muiden organisaatioiden kanssa

Organisaatiosi käyttäjät saattavat käyttää Webex App -sovellusta säännöllisesti yhteistyöhön muiden organisaatioiden ulkopuolisten osallistujien kanssa. Kun joku käyttäjistäsi pyytää avainta tilaan, joka on organisaatiosi omistuksessa (koska sen on luonut joku käyttäjistäsi), KMS lähettää avaimen asiakkaalle ECDH-suojatun kanavan kautta. Kun tilan avain on kuitenkin toisen organisaation hallussa, KMS-järjestelmäsi reitittää pyynnön Webex-pilveen erillisen ECDH-kanavan kautta saadakseen avaimen asianmukaiselta KMS-järjestelmältä ja palauttaa avaimen sitten käyttäjälle alkuperäisen kanavan kautta.

Organisaatiossa A toimiva KMS-palvelu validoi yhteydet muiden organisaatioiden KMS-palveluihin x.509 PKI -varmenteiden avulla. Lisätietoja x.509-varmenteen luomisesta Multi-Tenant Hybrid Data Security -käyttöönoton yhteydessä on osoitteessa Prepare your Environment .

Hybriditietoturvan käyttöönottoa koskevat odotukset

Hybriditietoturvan käyttöönotto edellyttää merkittävää sitoutumista ja tietoisuutta riskeistä, joita salausavaimien omistamiseen liittyy.

Hybriditietoturvan käyttöönottamiseksi sinun on annettava seuraavat tiedot:

Jos Hybrid Data Securityn luomasi konfigurointi-ISO tai toimittamasi tietokanta katoaa kokonaan, avaimet menetetään. Avaimen menetys estää käyttäjiä purkamasta tilasisältöä ja muita Webex App -sovelluksen salattuja tietoja. Jos näin käy, voit rakentaa uuden käyttöönoton, mutta vain uusi sisältö on näkyvissä. Jotta vältät pääsyn menetyksen tietoihin, sinun on:

  • Hallitse tietokannan ja konfigurointi-ISO:n varmuuskopiointia ja palautusta.

  • Valmistaudu nopeaan palautukseen, jos tapahtuu katastrofi, kuten tietokannan levyn vikaantuminen tai tietokeskuksen katastrofi.

Avaimia ei voi siirtää takaisin pilvipalveluun HDS:n käyttöönoton jälkeen.

Korkean tason asennusprosessi

Tässä asiakirjassa käsitellään Multi-Tenant Hybrid Data Security -käyttöönoton asennusta ja hallintaa:

  • Hybrid Data Securityn perustaminen- Tähän sisältyy tarvittavan infrastruktuurin valmistelu ja Hybrid Data Security -ohjelmiston asentaminen, HDS-klusterin rakentaminen, vuokralaisorganisaatioiden lisääminen klusteriin ja niiden Customer Main Keys (CMK) -avaimien hallinta. Näin asiakasorganisaatioiden kaikki käyttäjät voivat käyttää Hybrid Data Security -klusteriasi tietoturvatoimintoihin.

    Asetus-, aktivointi- ja hallintavaiheita käsitellään yksityiskohtaisesti kolmessa seuraavassa luvussa.

  • Ylläpidä hybriditietoturvan käyttöönottoa- Webex-pilvi tarjoaa automaattisesti jatkuvia päivityksiä. Tietotekniikkaosastosi voi tarjota tason yksi tukea tälle käyttöönotolle ja ottaa tarvittaessa käyttöön Ciscon tuen. Voit käyttää näytön ilmoituksia ja määrittää sähköpostipohjaisia hälytyksiä Partner Hubissa.

  • Ymmärrä yleisiä hälytyksiä, vianmääritysvaiheita ja tunnettuja ongelmia-Jos Hybrid Data Securityn käyttöönotossa tai käytössä ilmenee ongelmia, tämän oppaan viimeinen luku ja Tunnetut ongelmat -liite voivat auttaa sinua ongelman määrittämisessä ja korjaamisessa.

Hybriditietoturvan käyttöönottomalli

Hybrid Data Security otetaan käyttöön yrityksen datakeskuksessa erillisissä virtuaalisissa isännöintiasemissa sijaitsevien solmujen klusterina. Solmut kommunikoivat Webex-pilven kanssa suojattujen websockettien ja suojatun HTTP:n kautta.

Asennusprosessin aikana annamme sinulle OVA-tiedoston, jonka avulla voit asentaa virtuaalilaitteen toimittamillesi VM-tietokoneille. HDS Setup Tool -työkalun avulla luot mukautetun klusterin kokoonpanon ISO-tiedoston, jonka asennat kuhunkin solmuun. Hybrid Data Security -klusteri käyttää toimittamaasi Syslogd-palvelinta ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. (Syslogd- ja tietokantayhteyden tiedot määritetään HDS Setup Tool -työkalussa.)

Hybriditietoturvan käyttöönottomalli

Klusterissa voi olla vähintään kaksi solmua. Suosittelemme vähintään kolmea klusteria kohti. Useiden solmujen käyttö varmistaa, että palvelu ei keskeydy ohjelmistopäivityksen tai muun huoltotoimen aikana. (Webex-pilvi päivittää vain yhden solmun kerrallaan.)

Kaikki klusterin solmut käyttävät samaa avaintietovarastoa ja kirjaavat toiminnan samaan syslog-palvelimeen. Itse solmut ovat tilattomia, ja ne käsittelevät avainpyyntöjä round-robin -periaatteella pilven ohjeiden mukaisesti.

Solmuista tulee aktiivisia, kun rekisteröit ne Partner Hubissa. Voit poistaa yksittäisen solmun käytöstä poistamalla sen rekisteristä ja rekisteröimällä sen myöhemmin uudelleen, jos se on tarpeen.

Valmiustietokeskus katastrofista toipumista varten

Käyttöönoton aikana perustat suojatun varakeskuspalvelinkeskuksen. Tietokeskuksen katastrofin sattuessa voit siirtää käyttöönoton manuaalisesti varakeskukseen.

Ennen viansiirtoa datakeskuksessa A on aktiivisia HDS-solmuja ja ensisijainen PostgreSQL- tai Microsoft SQL Server -tietokanta, kun taas datakeskuksessa B on kopio ISO-tiedostosta, jossa on lisäkonfiguraatioita, organisaatioon rekisteröityjä VM:iä ja vara-tietokanta. Viansiirron jälkeen datakeskuksessa B on aktiivisia HDS-solmuja ja ensisijainen tietokanta, kun taas datakeskuksessa A on rekisteröimättömiä VM:iä ja kopio ISO-tiedostosta, ja tietokanta on valmiustilassa.
Manuaalinen viansiirto valmiustietokeskukseen

Aktiivisen ja varalla olevan tietokeskuksen tietokannat ovat synkronoituina keskenään, mikä minimoi viansiirtoon kuluvan ajan.

Aktiivisten hybriditietoturvasolmujen on aina oltava samassa tietokeskuksessa kuin aktiivinen tietokantapalvelin.

Proxy-tuki

Hybrid Data Security tukee nimenomaisia, läpinäkyviä tarkastuksia ja tarkastamattomia välityspalvelimia. Voit liittää nämä välityspalvelimet käyttöönottoasi, jotta voit suojata ja valvoa liikennettä yrityksestä pilvipalveluun. Voit käyttää solmujen alustan hallintakäyttöliittymää varmenteiden hallintaan ja yhteyden yleisen tilan tarkistamiseen sen jälkeen, kun olet määrittänyt välityspalvelimen solmuihin.

Hybriditietoturvasolmut tukevat seuraavia välityspalvelinvaihtoehtoja:

  • Ei välityspalvelinta- Oletusarvo, jos et käytä HDS-solmun Trust Store & Proxy -määritystä välityspalvelimen integroimiseksi. Varmenteen päivitystä ei tarvita.

  • Läpinäkyvä ei-tarkastava välityspalvelin-solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen ei-tarkastavan välityspalvelimen kanssa. Varmenteen päivitystä ei tarvita.

  • Läpinäkyvä tunnelointi tai välityspalvelimen tarkastaminen-solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. Solmujen HTTP- tai HTTPS-konfiguraatioita ei tarvitse muuttaa. Solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne voivat luottaa välittäjään. Tietotekniikka käyttää tyypillisesti tarkastavia välityspalvelimia valvomaan käytäntöjä, jotka koskevat sitä, millä verkkosivustoilla voi vierailla ja minkä tyyppistä sisältöä ei saa käyttää. Tämäntyyppinen välityspalvelin purkaa kaiken liikennöintisi (jopa HTTPS).

  • Eksplisiittinen välityspalvelin- Eksplisiittisellä välityspalvelimella kerrot HDS-solmuille, mitä välityspalvelinta ja todennusjärjestelmää käytetään. Jos haluat määrittää nimenomaisen välityspalvelimen, sinun on annettava seuraavat tiedot kussakin solmussa:

    1. Proxy IP/FQDN-osoite, jolla välityskone voidaan tavoittaa.

    2. Välitysportti- Portin numero, jota välityspalvelin käyttää kuunnellakseen välitettyä liikennettä.

    3. Välityspalvelinprotokolla-Valikoima seuraavista protokollista riippuu siitä, mitä välityspalvelimesi tukee:

      • HTTP-näkökulma: Näkee ja valvoo kaikkia asiakkaan lähettämiä pyyntöjä.

      • HTTPS-Varaa kanavan palvelimelle. Asiakas vastaanottaa palvelimen varmenteen ja vahvistaa sen.

    4. Todennustyyppi-Valitse yksi seuraavista todennustyypeistä:

      • Ei ole- Muita todennuksia ei tarvita.

        Käytettävissä, jos valitset välityspalvelinprotokollaksi joko HTTP:n tai HTTPS:n.

      • Basic-Käytetään HTTP-käyttäjäagenttia antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.

        Käytettävissä, jos valitset välityspalvelinprotokollaksi joko HTTP:n tai HTTPS:n.

        Vaatii käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.

      • Digest-Käytetään tilin vahvistamiseen ennen arkaluontoisten tietojen lähettämistä. Soveltaa hash-funktiota käyttäjänimeen ja salasanaan ennen lähettämistä verkon yli.

        Käytettävissä vain, jos valitset välityspalvelinprotokollaksi HTTPS.

        Vaatii käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.

Esimerkki hybridi-tietoturvasolmuista ja välityspalvelimesta

Tässä kaaviossa on esimerkki Hybrid Data Securityn, verkon ja välityspalvelimen välisestä yhteydestä. Läpinäkyvä tarkastus ja HTTPS:n nimenomainen tarkastus -välityspalvelinvaihtoehdoissa sama juurivarmenne on asennettava välityspalvelimeen ja Hybrid Data Security -solmuun.

Estetty ulkoinen DNS-resoluutiotila (eksplisiittiset välityspalvelinkonfiguraatiot)

Kun rekisteröit solmun tai tarkistat solmun välityspalvelinkokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex -pilveen. Käyttöönotoissa, joissa on nimenomaiset välityspalvelinmääritykset, jotka eivät salli ulkoista DNS-resoluutiota sisäisille asiakkaille, jos solmu ei voi kysyä DNS-palvelimilta, se siirtyy automaattisesti estetty ulkoinen DNS-resoluutio -tilaan. Tässä tilassa solmun rekisteröinti ja muut välityspalvelimen yhteystestit voivat jatkua.

Ympäristön valmistelu

Monen käyttäjän hybriditietoturvaa koskevat vaatimukset

Cisco Webexin lisenssivaatimukset

Multi-Tenant Hybrid Data Securityn käyttöönotto:

  • Kumppanijärjestöt: Ota yhteyttä Cisco-kumppaniin tai tilipalvelun johtajaan ja varmista, että Multi-Tenant-ominaisuus on käytössä.

  • Vuokralaisjärjestöt: Sinulla on oltava Pro Pack for Cisco Webex Control Hub. (Katso https://www.cisco.com/go/pro-pack.)

Docker Desktop -vaatimukset

Ennen kuin asennat HDS-solmut, tarvitset Docker Desktopin asennusohjelman suorittamista varten. Docker päivitti hiljattain lisensointimalliaan. Organisaatiosi saattaa vaatia maksullisen Docker Desktop -tilauksen. Lisätietoja on Dockerin blogikirjoituksessa " Docker päivittää ja laajentaa tuotetilauksia".

X.509-varmenteen vaatimukset

Varmenteketjun on täytettävä seuraavat vaatimukset:

Taulukko 1. X.509-varmenteen vaatimukset hybriditietoturvan käyttöönottoa varten

Vaatimus

Tiedot

  • Luotettavan varmentajan (CA) allekirjoittama.

Oletusarvoisesti luotamme Mozillan luettelossa oleviin varmentajiin (lukuun ottamatta WoSignia ja StartComia) osoitteessa https://wiki.mozilla.org/CA:IncludedCAs.

  • Karhut Common Name (CN) -verkkotunnus, joka yksilöi hybriditietoturvan käyttöönoton

  • Ei ole jokerimerkkivarmenne

CN:n ei tarvitse olla tavoitettavissa eikä sen tarvitse olla elävä isäntä. Suosittelemme, että käytät organisaatiotasi kuvaavaa nimeä, esimerkiksi hds.company.com.

CN ei saa sisältää *-merkkiä (jokerimerkki).

CN:ää käytetään Hybrid Data Security -solmujen varmentamiseen Webex App -asiakkaille. Kaikki klusterin Hybrid Data Security -solmut käyttävät samaa varmentetta. KMS tunnistaa itsensä CN-toimialueen avulla, ei minkään x.509v3 SAN-kenttiin määritellyn toimialueen avulla.

Kun olet rekisteröinyt solmun tällä varmenteella, emme tue CN-verkkotunnuksen nimen muuttamista.

  • Muu kuin SHA1-allekirjoitus

KMS-ohjelmisto ei tue SHA1-allekirjoituksia yhteyksien vahvistamiseksi muiden organisaatioiden KMS-järjestelmiin.

  • Muotoiltu salasanalla suojatuksi PKCS #12-tiedostoksi.

  • Käytä ystävällistä nimeä kms-private-key merkitäksesi ladattavan varmenteen, yksityisen avaimen ja mahdolliset välivarmenteet.

Voit käyttää OpenSSL:n kaltaista muunninta varmenteen muodon muuttamiseen.

Sinun on annettava salasana, kun käynnistät HDS-asennustyökalun.

KMS-ohjelmisto ei noudata avaimen käyttöä tai laajennettua avaimen käyttöä koskevia rajoituksia. Jotkin varmentajat vaativat, että kuhunkin varmenteeseen sovelletaan laajennettuja avainkäyttörajoituksia, kuten palvelimen todennusta. Voit käyttää palvelimen todennusta tai muita asetuksia.

Virtuaalisen isännän vaatimukset

Virtuaalisilla isännöintiasemilla, jotka perustat hybridi-tietoturvasolmuiksi klusteriin, on seuraavat vaatimukset:

  • Vähintään kaksi erillistä isäntäkonetta (suositellaan kolmea), jotka sijaitsevat samassa suojatussa tietokeskuksessa.

  • VMware ESXi 7.0 (tai uudempi) asennettuna ja käynnissä.

    Sinun on päivitettävä, jos käytössäsi on aikaisempi ESXi-versio.

  • Vähintään 4 vCPU:ta, 8 Gt keskusmuistia, 30 Gt paikallista kiintolevytilaa palvelinta kohden.

Tietokantapalvelimen vaatimukset

Luo uusi tietokanta avainten tallennusta varten. Älä käytä oletustietokantaa. Kun HDS-sovellukset asennetaan, ne luovat tietokantakaavion.

Tietokantapalvelimessa on kaksi vaihtoehtoa. Vaatimukset ovat seuraavat:

Taulukko 2. Tietokantapalvelimen vaatimukset tietokantatyypeittäin

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14, 15 tai 16 asennettuna ja käynnissä.

  • SQL Server 2016, 2017, 2019 tai 2022 (Enterprise tai Standard) asennettuna.

    SQL Server 2016 vaatii Service Pack 2:n ja kumulatiivisen päivityksen 2 tai uudemman.

Vähintään 8 vCPU:ta, 16 Gt keskusmuistia, riittävästi kiintolevytilaa ja valvonta sen varmistamiseksi, että sitä ei ylitetä (suositellaan 2 TB, jos haluat käyttää tietokantaa pitkään ilman, että tallennustilaa tarvitsee lisätä).

Vähintään 8 vCPU:ta, 16 Gt keskusmuistia, riittävästi kiintolevytilaa ja valvonta sen varmistamiseksi, että sitä ei ylitetä (suositellaan 2 TB, jos haluat käyttää tietokantaa pitkään ilman, että tallennustilaa tarvitsee lisätä).

HDS-ohjelmisto asentaa tällä hetkellä seuraavat ajuriversiot yhteydenpitoa varten tietokantapalvelimen kanssa:

PostgreSQL

Microsoft SQL Server

Postgres JDBC -ajuri 42.2.5

SQL Server JDBC -ajuri 4.6

Tämä ajuriversio tukee SQL Server Always On -palvelinta ( Always On Failover Cluster Instances ja Always On -saatavuusryhmät).

Lisävaatimukset Windows-todennusta varten Microsoft SQL Serveriä vastaan

Jos haluat, että HDS-solmut käyttävät Windows-todennusta Microsoft SQL Serverin avainsäilytystietokantaan pääsemiseksi, tarvitset ympäristössäsi seuraavat asetukset:

  • HDS-solmut, Active Directory -infrastruktuuri ja MS SQL Server on synkronoitava NTP:n avulla.

  • HDS-solmujen käyttöön annetulla Windows-tilillä on oltava tietokannan luku/kirjoitusoikeus.

  • HDS-solmujen käyttöön antamiesi DNS-palvelimien on kyettävä ratkaisemaan KDC-keskuksesi (Key Distribution Center).

  • Voit rekisteröidä Microsoft SQL Serverin HDS-tietokantainstanssin palvelupääkäyttäjänimeksi (Service Principal Name, SPN) Active Directoryyn. Katso Rekisteröi palvelupääkäyttäjän nimi Kerberos-yhteyksiä varten.

    HDS-asennustyökalun, HDS-launcherin ja paikallisen KMS:n on käytettävä Windows-todennusta avainsäilytystietokannan käyttämiseen. Ne käyttävät ISO-konfiguraation tietoja SPN:n muodostamiseen, kun ne pyytävät pääsyä Kerberos-todennuksen avulla.

Ulkoiset liitäntävaatimukset

Määritä palomuuri sallimaan seuraavat HDS-sovellusten yhteydet:

Sovellus

Protokolla

Portti

Suunta sovelluksesta

Kohde

Hybriditietoturvasolmut

TCP

443

Lähtevä HTTPS ja WSS

  • Webex-palvelimet:

    • *.wbx2.com

    • *.ciscospark.com

  • Kaikki Common Identity -isännät

  • Muut URL-osoitteet, jotka on lueteltu hybriditietoturvan osalta osoitteessa Additional URLs for Webex Hybrid Services -taulukossa Webex-palvelujen verkkovaatimukset

HDS-asennustyökalu

TCP

443

Lähtevä HTTPS

  • *.wbx2.com

  • Kaikki Common Identity -isännät

  • hub.docker.com

Hybriditietoturvasolmut toimivat NAT:n (Network Access Translation) kanssa tai palomuurin takana, kunhan NAT tai palomuuri sallii vaaditut lähtevät yhteydet edellisessä taulukossa esitettyihin toimialueen kohteisiin. Hybriditietoturvasolmuihin saapuvien yhteyksien porttien ei pitäisi näkyä internetistä. Tietokeskuksessasi asiakkaat tarvitsevat hallinnollisia tarkoituksia varten pääsyn hybriditietoturvasolmujen TCP-portteihin 443 ja 22.

Yhteisen identiteetin (CI) isäntien URL-osoitteet ovat aluekohtaisia. Nämä ovat nykyiset CI-isännät:

Alue

Yleiset identiteetin isäntä-URL-osoitteet

Americas

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Euroopan unioni

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Arabiemiirikunnat

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Välityspalvelimen vaatimukset

  • Tuemme virallisesti seuraavia välityspalvelinratkaisuja, jotka voidaan integroida hybriditietoturvasolmujen kanssa.

    • Läpinäkyvä välityspalvelin-Cisco Web Security Appliance (WSA).

    • Eksplisiittinen proxy-Squid.

      HTTPS-liikennettä tarkastavat Squid-välityspalvelimet voivat häiritä websocket (wss:) -yhteyksien muodostamista. Voit kiertää tämän ongelman osoitteessa Configure Squid Proxies for Hybrid Data Security.

  • Tuemme seuraavia todennustyyppiyhdistelmiä nimenomaisille välityspalvelimille:

    • Ei todennusta HTTP:llä tai HTTPS:llä

    • Perustodennus HTTP:llä tai HTTPS:llä

    • Digest-todennus vain HTTPS:n kanssa

  • Läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-selkeän välityspalvelimen osalta sinulla on oltava kopio välityspalvelimen juurivarmenteesta. Tämän oppaan käyttöönotto-ohjeissa kerrotaan, miten kopio ladataan hybriditietoturvasolmujen luotettavuusvarastoihin.

  • HDS-solmuja isännöivä verkko on määritettävä siten, että portista 443 lähtevä TCP-liikenne reititetään välityspalvelimen kautta.

  • Verkkoliikennettä tarkastavat välityspalvelimet voivat häiritä verkkoliikenneyhteyksiä. Jos tämä ongelma ilmenee, ongelman voi ratkaista ohittamalla (tarkastamatta) liikenteen osoitteisiin wbx2.com ja ciscospark.com .

Täytä hybridi-tietoturvan edellytykset.

Varmista tämän tarkistuslistan avulla, että olet valmis asentamaan ja määrittämään Hybrid Data Security -klusterin.
1

Varmista, että kumppaniorganisaatiossasi on Multi-Tenant HDS -ominaisuus käytössä, ja hanki tilitiedot tilille, jolla on kumppanin täysi järjestelmänvalvojan ja järjestelmänvalvojan oikeudet. Varmista, että Webex-asiakasorganisaatiossasi on käytössä Pro Pack for Cisco Webex Control Hub. Ota yhteyttä Cisco-kumppaniin tai asiakaspäällikköön saadaksesi apua tässä prosessissa.

Asiakasorganisaatioilla ei saa olla olemassa olevaa HDS-käyttöönottoa.

2

Valitse toimialueen nimi HDS-käyttöönotollesi (esimerkiksi hds.company.com) ja hanki varmenne-ketju, joka sisältää X.509-varmenteen, yksityisen avaimen ja mahdolliset välivarmenteet. Varmenteiden ketjun on täytettävä vaatimukset, jotka on esitetty osoitteessa X.509 Certificate Requirements.

3

Valmistele identtiset virtuaaliset isännät, jotka perustat hybridi-tietoturvasolmuiksi klusteriin. Tarvitset vähintään kaksi erillistä isäntäkonetta (suositellaan kolmea), jotka sijaitsevat samassa suojatussa datakeskuksessa ja jotka täyttävät vaatimukset, jotka on esitetty osoitteessa Virtual Host Requirements.

4

Valmistele tietokantapalvelin, joka toimii klusterin keskeisenä tietovarastona, Tietokantapalvelimen vaatimukset mukaisesti. Tietokantapalvelin on sijoitettava samaan turvalliseen datakeskukseen virtuaalisten isäntien kanssa.

  1. Luo tietokanta avainten tallentamista varten. (Sinun on luotava tämä tietokanta - älä käytä oletustietokantaa.) Kun HDS-sovellukset asennetaan, ne luovat tietokantakaavion.).

  2. Kerää tiedot, joita solmut käyttävät kommunikoidessaan tietokantapalvelimen kanssa:

    • isännän nimi tai IP-osoite (host) ja portti.

    • tietokannan nimi (dbname), johon avaimet tallennetaan.

    • sen käyttäjän käyttäjätunnus ja salasana, jolla on kaikki oikeudet avainten tallennustietokantaan.

5

Jos haluat nopean palautumisen katastrofista, voit perustaa varmuuskopioympäristön toiseen datakeskukseen. Varmuuskopiointiympäristö peilaa tuotantoympäristöä, joka koostuu VM:istä ja varmuuskopioidusta tietokantapalvelimesta. Jos esimerkiksi tuotannossa on 3 VM:ää, joilla on HDS-solmuja, varmuuskopiointiympäristössä pitäisi olla 3 VM:ää.

6

Määritä syslog-isäntä keräämään lokit klusterin solmuista. Kerää sen verkko-osoite ja syslog-portti (oletusarvo on UDP 514).

7

Luo turvallinen varmuuskopiointikäytäntö hybriditietoturvasolmuja, tietokantapalvelinta ja syslog-isäntää varten. Jos haluat estää tietojen menetyksen, jota ei voida palauttaa, sinun on varmuuskopioitava ainakin tietokanta ja hybridi-tietoturvasolmuja varten luotu määritys-ISO-tiedosto.

Koska hybriditietoturvasolmut tallentavat sisällön salauksessa ja salauksen purkamisessa käytettävät avaimet, toimivan käyttöönoton laiminlyönti johtaa UNRECOVERABLE LOSS kyseisen sisällön menetykseen.

Webex App -asiakkaat tallentavat avaimet välimuistiin, joten katkos ei välttämättä näy heti, mutta se näkyy ajan myötä. Tilapäisiä katkoksia on mahdotonta estää, mutta ne ovat palautettavissa. Jos tietokanta tai konfigurointi-ISO-tiedosto kuitenkin menetetään kokonaan (varmuuskopioita ei ole saatavilla), asiakastietoja ei voida palauttaa. Hybriditietoturvasolmujen ylläpitäjien odotetaan ylläpitävän usein varmuuskopioita tietokannasta ja konfigurointi-ISO-tiedostosta ja olevan valmiita rakentamaan hybriditietoturvatietokeskuksen uudelleen, jos tapahtuu katastrofaalinen vika.

8

Varmista, että palomuurin kokoonpano sallii Hybrid Data Security -solmujen yhteyden Ulkoisen yhteyden vaatimukset mukaisesti.

9

Asenna Docker ( https://www.docker.com) mihin tahansa paikalliseen koneeseen, jossa on tuettu käyttöjärjestelmä (Microsoft Windows 10 Professional tai Enterprise 64-bittinen tai Mac OSX Yosemite 10.10.3 tai uudempi), jossa on verkkoselain, joka voi käyttää sitä osoitteessa http://127.0.0.1:8080.

Docker-instanssin avulla lataat ja suoritat HDS Setup Tool -työkalun, joka luo paikalliset määritystiedot kaikille Hybrid Data Security -solmuille. Saatat tarvita Docker Desktop -lisenssin. Katso lisätietoja osoitteesta Docker Desktop -vaatimukset .

Jotta HDS Setup Tool voidaan asentaa ja käyttää, paikallisella koneella on oltava osoitteessa External connectivity requirements esitetyt liitettävyysvaatimukset.

10

Jos integroit välityspalvelimen Hybrid Data Securityyn, varmista, että se täyttää Proxy Server Requirements-vaatimukset.

Hybriditietoturvaklusterin perustaminen

Hybriditietoturvan käyttöönoton tehtävävirta

Ennen kuin aloitat

1

Suorita alkuasetukset ja lataa asennustiedostot

Lataa OVA-tiedosto paikalliselle koneellesi myöhempää käyttöä varten.

2

Luo konfigurointi-ISO HDS-isäntäkoneille.

Käytä HDS Setup Tool -työkalua luodaksesi ISO-kokoonpanotiedoston Hybrid Data Security -solmuja varten.

3

Asenna HDS Host OVA

Luo virtuaalikone OVA-tiedostosta ja suorita alkumääritykset, kuten verkkoasetukset.

Mahdollisuus määrittää verkkoasetukset OVA-käyttöönoton aikana on testattu ESXi 7.0:lla. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

4

Hybriditietoturva VM:n määrittäminen

Kirjaudu VM-konsoliin ja määritä kirjautumistiedot. Määritä solmun verkkoasetukset, jos et määrittänyt niitä OVA-käyttöönoton yhteydessä.

5

Lataa ja asenna HDS-konfiguraatio-ISO-tiedosto.

Määritä VM HDS Setup Tool -työkalulla luodusta ISO-kokoonpanotiedostosta.

6

HDS-solmun määrittäminen välityspalvelimen integrointia varten

Jos verkkoympäristö edellyttää välityspalvelinkonfiguraatiota, määritä solmun käyttämä välityspalvelintyyppi ja lisää tarvittaessa välityspalvelinvarmenne luottamussäilöön.

7

Rekisteröi klusterin ensimmäinen solmu

Rekisteröi VM Cisco Webex -pilvipalveluun Hybrid Data Security -solmuksi.

8

Luo ja rekisteröi lisää solmuja

Viimeistele klusterin asennus.

9

Aktivoi Multi-Tenant HDS Partner Hubissa.

Aktivoi HDS ja hallinnoi vuokralaisorganisaatioita Partner Hubissa.

Suorita alkuasetukset ja lataa asennustiedostot

Tässä tehtävässä lataat OVA-tiedoston koneellesi (ei palvelimille, jotka olet määrittänyt hybridi-tietoturvasolmuiksi). Käytät tätä tiedostoa myöhemmin asennusprosessissa.

1

Kirjaudu sisään Partner Hubiin ja valitse sitten Palvelut.

2

Etsi Pilvipalvelut-osiosta Hybrid Data Security -kortti ja valitse sitten Määritä.

Käyttöönottoprosessin kannalta on tärkeää, että napsautat Partner Hubissa Set up . Älä jatka asennusta suorittamatta tätä vaihetta.

3

Napsauta Lisää resurssi ja napsauta Lataa .OVA-tiedosto Asenna ja määritä ohjelmisto -kortilla.

Ohjelmistopaketin vanhemmat versiot (OVA) eivät ole yhteensopivia uusimpien Hybrid Data Security -päivitysten kanssa. Tämä voi aiheuttaa ongelmia sovelluksen päivittämisen aikana. Varmista, että lataat OVA-tiedoston uusimman version.

Voit myös ladata OVA:n milloin tahansa osoitteesta Help . Napsauta Asetukset > Ohje > Lataa Hybrid Data Security -ohjelmisto.

OVA-tiedoston lataaminen alkaa automaattisesti. Tallenna tiedosto johonkin paikkaan koneellasi.
4

Voit myös tarkistaa, onko tästä oppaasta saatavilla uudempi versio, valitsemalla Katso hybriditietoturvan käyttöönotto-opas .

Luo konfigurointi-ISO HDS-isäntäkoneille.

Hybrid Data Security -asennusprosessi luo ISO-tiedoston. Tämän jälkeen voit määrittää Hybrid Data Security -isäntäsovelluksen ISO-version avulla.

Ennen kuin aloitat
1

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

2

Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti:

docker login -u hdscustomersro
3

Kirjoita salasanakehotteeseen tämä hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Lataa uusin vakaa imago ympäristöllesi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:

  • Tavallisissa ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • FedRAMP-ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080".

6

Setup-työkalu ei tue yhteyden muodostamista localhostiin http://localhost:8080 kautta. Käytä http://127.0.0.1:8080 muodostaaksesi yhteyden localhostiin.

Siirry verkkoselaimella osoitteeseen localhost, http://127.0.0.1:8080, ja kirjoita kehotteeseen Partner Hubin admin-käyttäjätunnus.

Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää asettaakseen oikean ympäristön kyseiselle tilille. Tämän jälkeen työkalu näyttää tavallisen kirjautumiskehotteen.

7

Anna pyydettäessä Partner Hubin ylläpitäjän kirjautumistiedot ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn hybriditietoturvan edellyttämiin palveluihin.

8

Napsauta Setup Tool -katsaussivulla Get Started.

9

ISO Import -sivulla on seuraavat vaihtoehdot:

  • Ei- Jos luot ensimmäistä HDS-solmua, sinulla ei ole ISO-tiedostoa ladattavaksi.
  • Kyllä- Jos olet jo luonut HDS-solmuja, valitse ISO-tiedosto selaimesta ja lataa se.
10

Tarkista, että X.509-varmenne täyttää osoitteessa X.509-varmenteen vaatimukset esitetyt vaatimukset.

  • Jos et ole aiemmin ladannut varmenteita, lataa X.509-varmenne, syötä salasana ja napsauta Jatka.
  • Jos varmenne on OK, valitse Jatka.
  • Jos varmenteesi on vanhentunut tai haluat korvata sen, valitse Ei varten Jatka edellisen ISO:n HDS-varmenteiden ketjun ja yksityisen avaimen käyttöä?. Lataa uusi X.509-varmenne, syötä salasana ja napsauta Jatka.
11

Anna tietokantaosoite ja tili, jonka avulla HDS voi käyttää avaintietovarastoa:

  1. Valitse Tietokantatyyppi (PostgreSQL tai Microsoft SQL Server).

    Jos valitset Microsoft SQL Server, saat Authentication Type -kentän.

  2. (Vain Microsoft SQL Server ) Valitse Todennustyyppi:

    • Perustodennus: Tarvitset paikallisen SQL Server -tilin nimen Käyttäjänimi -kenttään.

    • Windows-todennus: Tarvitset Windows-tilin muodossa username@DOMAIN kenttään Username .

  3. Kirjoita tietokantapalvelimen osoite muodossa : tai :.

    Esimerkki:
    dbhost.example.org:1433 tai 198.51.100.17:1433

    Voit käyttää IP-osoitetta perustodennukseen, jos solmut eivät voi käyttää DNS:ää isäntänimen ratkaisemiseen.

    Jos käytät Windows-tunnistautumista, sinun on annettava täyteen määritetty verkkotunnus muodossa dbhost.example.org:1433.

  4. Kirjoita tietokannan nimi.

  5. Kirjoita Käyttäjätunnus ja Salasana käyttäjälle, jolla on kaikki oikeudet avaintallennustietokantaan.

12

Valitse TLS-tietokantayhteystapa:

Tila

Kuvaus

Prefer TLS (oletusasetus)

HDS-solmut eivät vaadi TLS-yhteyttä tietokantapalvelimeen. Jos otat TLS:n käyttöön tietokantapalvelimessa, solmut yrittävät muodostaa salatun yhteyden.

Vaadi TLS

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

Vaadi TLS ja tarkista varmenteen allekirjoittaja

Tätä tilaa ei voi käyttää SQL Server -tietokantoihin.

  • HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

  • TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa tietokannan juurivarmenteessa olevaan varmentajaan. Jos ne eivät täsmää, solmu katkaisee yhteyden.

Lataa tätä vaihtoehtoa varten tarvittava juurivarmenne Database root certificate -pudotusvalikon alapuolella olevalla ohjaimella.

Vaadi TLS ja tarkista varmenteen allekirjoittaja ja isäntänimi.

  • HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

  • TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa tietokannan juurivarmenteessa olevaan varmentajaan. Jos ne eivät täsmää, solmu katkaisee yhteyden.

  • Solmut tarkistavat myös, että palvelinvarmenteessa oleva isäntänimi vastaa tietokannan isäntä ja portti -kentässä olevaa isäntänimeä. Nimien on täsmälleen täsmättävä, tai solmu katkaisee yhteyden.

Lataa tätä vaihtoehtoa varten tarvittava juurivarmenne Database root certificate -pudotusvalikon alapuolella olevalla ohjaimella.

Kun lataat juurivarmenteen (tarvittaessa) ja napsautat Jatka, HDS Setup Tool testaa TLS-yhteyden tietokantapalvelimeen. Työkalu tarkistaa tarvittaessa myös varmenteen allekirjoittajan ja isäntänimen. Jos testi epäonnistuu, työkalu näyttää virheilmoituksen, jossa kuvataan ongelma. Voit valita, jätätkö virheen huomiotta ja jatkatko asennusta. (Yhteyseroista johtuen HDS-solmut saattavat pystyä muodostamaan TLS-yhteyden, vaikka HDS Setup Tool -kone ei pystyisi onnistuneesti testaamaan sitä.)

13

Määritä Syslogd-palvelin Järjestelmälokit-sivulla:

  1. Kirjoita syslog-palvelimen URL-osoite.

    Jos palvelin ei ole DNS-ratkaisukelpoinen HDS-klusterin solmuista, käytä URL-osoitteessa IP-osoitetta.

    Esimerkki:
    udp://10.92.43.23:514 osoittaa kirjautumisen Syslogd-isäntään 10.92.43.23 UDP-porttiin 514.

  2. Jos olet määrittänyt palvelimesi käyttämään TLS-salausta, tarkista Onko syslog-palvelimesi määritetty SSL-salausta varten?.

    Jos valitset tämän valintaruudun, varmista, että annat TCP-osoitteen, kuten tcp://10.92.43.23:514.

  3. Valitse ISO-tiedostolle sopiva asetus Choose syslog record termination -pudotusvalikosta: Valitse tai Newline käytetään Graylog- ja Rsyslog TCP -palveluissa.

    • Nollatavu -- \x00

    • Newline -- \n-Valitse tämä valinta Graylog- ja Rsyslog TCP -palveluille.

  4. Napsauta Jatka.

14

(Valinnainen) Voit muuttaa joidenkin tietokantayhteysparametrien oletusarvoa osoitteessa Lisäasetukset. Yleensä tämä parametri on ainoa, jota kannattaa muuttaa:

app_datasource_connection_pool_maxKoko: 10
15

Napsauta Jatka Reset Service Accounts Password -näytössä.

Palvelutilien salasanojen käyttöikä on yhdeksän kuukautta. Käytä tätä näyttöä, kun salasanasi ovat umpeutumassa tai haluat nollata ne aiempien ISO-tiedostojen mitätöimiseksi.

16

Klikkaa Lataa ISO-tiedosto. Tallenna tiedosto paikkaan, josta se on helppo löytää.

17

Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmään.

Pidä varmuuskopio turvassa. Tämä tiedosto sisältää tietokannan sisällön pääsalausavaimen. Rajoita käyttöoikeus vain niille Hybrid Data Securityn järjestelmänvalvojille, joiden pitäisi tehdä määritysmuutoksia.

18

Voit sammuttaa Setup-työkalun kirjoittamalla CTRL+C.

Mitä tehdä seuraavaksi

Varmuuskopioi konfigurointi-ISO-tiedosto. Tarvitset sitä luodaksesi lisää solmuja toipumista varten tai tehdessäsi kokoonpanomuutoksia. Jos menetät kaikki ISO-tiedoston kopiot, menetät myös pääavaimen. Avainten palauttaminen PostgreSQL- tai Microsoft SQL Server -tietokannasta ei ole mahdollista.

Meillä ei ole koskaan kopiota tästä avaimesta, emmekä voi auttaa, jos kadotat sen.

Asenna HDS Host OVA

Luo virtuaalikone OVA-tiedostosta tämän menettelyn avulla.
1

Kirjaudu ESXi-virtuaali-isäntäkoneeseen VMware vSphere -asiakasohjelman avulla.

2

Valitse File > Deploy OVF Template.

3

Määritä ohjatussa toiminnossa aiemmin lataamasi OVA-tiedoston sijainti ja napsauta sitten Next.

4

Kirjoita Valitse nimi ja kansio -sivulla Virtuaalikoneen nimi solmulle (esimerkiksi "HDS_Node_1"), valitse sijainti, jossa virtuaalikoneen solmun käyttöönotto voi sijaita, ja napsauta sitten Seuraava.

5

Valitse Valitse laskentaresurssi -sivulla kohdelaskentaresurssi ja napsauta sitten Seuraava.

Validointitarkistus suoritetaan. Kun se on valmis, mallin tiedot tulevat näkyviin.

6

Tarkista mallin tiedot ja napsauta sitten Next.

7

Jos sinua pyydetään valitsemaan resurssikokoonpano sivulla Configuration , valitse 4 CPU ja valitse sitten Next.

8

Valitse Valitse tallennustila -sivulla Seuraava hyväksyäksesi oletusarvoisen levymuodon ja VM-tallennuskäytännön.

9

Valitse Valitse verkot -sivulla verkkovaihtoehto luettelosta, joka tarjoaa VM:lle halutun yhteyden.

10

Määritä seuraavat verkkoasetukset sivulla Customize template :

  • Isäntänimi- Kirjoita solmun FQDN (isäntänimi ja toimialue) tai yksisanainen isäntänimi.

    • Verkkotunnuksen ei tarvitse vastata verkkotunnusta, jota käytit X.509-varmenteen hankkimiseen.

    • Jotta rekisteröinti pilvipalveluun onnistuisi, käytä solmulle asettamassasi FQDN- tai isäntänimessä vain pieniä kirjaimia. Suuraakkosia ei tällä hetkellä tueta.

    • FQDN-nimen kokonaispituus saa olla enintään 64 merkkiä.

  • IP-osoite- Syötä solmun sisäisen liitännän IP-osoite.

    Solmulla pitäisi olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.

  • Mask- Syötä aliverkon peiteosoite pistemääräisenä. Esimerkiksi 255.255.255.255.0.
  • Yhdyskäytävä-Kirjoita yhdyskäytävän IP-osoite. Yhdyskäytävä on verkon solmu, joka toimii yhteyspisteenä toiseen verkkoon.
  • DNS-palvelimet-Kirjoita pilkulla erotettu luettelo DNS-palvelimista, jotka huolehtivat verkkotunnusten muuntamisesta numeerisiksi IP-osoitteiksi. (Enintään 4 DNS-merkintää on sallittu.)
  • NTP-palvelimet-Kirjoita organisaatiosi NTP-palvelin tai muu organisaatiossasi käytettävä ulkoinen NTP-palvelin. Oletusarvoiset NTP-palvelimet eivät välttämättä toimi kaikissa yrityksissä. Voit myös käyttää pilkulla erotettua luetteloa useiden NTP-palvelimien syöttämiseen.

  • Aseta kaikki solmut samaan aliverkkoon tai VLAN:iin, jotta kaikki klusterin solmut ovat tavoitettavissa verkon asiakkaista hallinnollisia tarkoituksia varten.

Voit halutessasi ohittaa verkkoasetusten määrityksen ja määrittää asetukset solmun konsolissa kohdan Hybriditietoturva-VM:n määrittäminen ohjeiden mukaisesti.

Mahdollisuus määrittää verkkoasetukset OVA-käyttöönoton aikana on testattu ESXi 7.0:lla. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

11

Napsauta hiiren kakkospainikkeella solmun VM:ää ja valitse sitten Power > Power On.

Hybrid Data Security -ohjelmisto asennetaan vieraana VM-isäntään. Olet nyt valmis kirjautumaan konsoliin ja määrittämään solmun.

Vianmääritysvinkkejä

Saattaa esiintyä muutaman minuutin viive, ennen kuin solmupisteiden säiliöt tulevat esiin. Konsolissa näkyy siltapalomuuriviesti ensimmäisen käynnistyksen aikana, jolloin et voi kirjautua sisään.

Hybriditietoturva VM:n määrittäminen

Tällä menettelyllä voit kirjautua Hybrid Data Security -solmun VM-konsoliin ensimmäistä kertaa ja määrittää kirjautumistiedot. Voit myös määrittää solmun verkkoasetukset konsolin avulla, jos et määrittänyt niitä OVA-käyttöönoton yhteydessä.

1

Valitse VMware vSphere -asiakasohjelmassa Hybrid Data Security -solmun VM ja valitse Console -välilehti.

VM käynnistyy ja näyttöön tulee kirjautumiskehote. Jos kirjautumiskehote ei tule näkyviin, paina Enter.
2

Kirjaudu sisään ja vaihda tunnistetiedot seuraavilla oletustunnuksilla: käyttäjätunnus ja salasana:

  1. Kirjaudu sisään: admin

  2. Salasana: cisco

Koska kirjaudut VM:ään ensimmäistä kertaa, sinun on vaihdettava järjestelmänvalvojan salasana.

3

Jos olet jo määrittänyt verkkoasetukset kohdassa Install the HDS Host OVA, ohita tämän ohjeen loppuosa. Muussa tapauksessa valitse päävalikosta Edit Configuration .

4

Määritä staattinen konfiguraatio, jossa on IP-osoite, maski, yhdyskäytävä ja DNS-tiedot. Solmulla pitäisi olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.

5

(Valinnainen) Muuta isäntänimeä, toimialuetta tai NTP-palvelinta (-palvelimia) tarvittaessa verkkokäytäntösi mukaiseksi.

Verkkotunnuksen ei tarvitse vastata verkkotunnusta, jota käytit X.509-varmenteen hankkimiseen.

6

Tallenna verkkokokoonpano ja käynnistä VM uudelleen, jotta muutokset tulevat voimaan.

Lataa ja asenna HDS-konfiguraatio-ISO-tiedosto.

Määritä virtuaalikone HDS Setup Tool -työkalulla luodusta ISO-tiedostosta tämän menettelyn avulla.

Ennen kuin aloitat

Koska ISO-tiedostossa on pääavain, se tulisi paljastaa vain, jos se on tarpeen, jotta hybriditietoturva-VM:t ja mahdolliset järjestelmänvalvojat, jotka saattavat joutua tekemään muutoksia, pääsevät siihen käsiksi. Varmista, että vain kyseiset järjestelmänvalvojat voivat käyttää tietovarastoa.

1

Lataa ISO-tiedosto tietokoneeltasi:

  1. Napsauta VMware vSphere -asiakasohjelman vasemmassa navigointipaneelissa ESXi-palvelinta.

  2. Valitse Configuration-välilehden Hardware (Laitteisto) -luettelosta Storage (Tallennus).

  3. Napsauta Datastores-luettelossa hiiren kakkospainikkeella VM-tietovarastoa ja valitse Browse Datastore.

  4. Napsauta Upload Files -kuvaketta ja valitse sitten Upload File.

  5. Siirry paikkaan, josta latasit ISO-tiedoston tietokoneellesi, ja napsauta Avaa.

  6. Hyväksy lataus/download-toiminnon varoitus napsauttamalla Yes ja sulje tietovarasto-valintaikkuna.

2

Kiinnitä ISO-tiedosto:

  1. Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia.

  2. Hyväksy rajoitettujen muokkausasetusten varoitus napsauttamalla OK .

  3. Napsauta CD/DVD-asema 1, valitse vaihtoehto mount from a datastore ISO file ja selaa paikkaan, johon latasit kokoonpanon ISO-tiedoston.

  4. Tarkista Kytketty ja Kytke virta päälle.

  5. Tallenna muutokset ja käynnistä virtuaalikone uudelleen.

Mitä tehdä seuraavaksi

Jos tietotekniikkakäytäntösi edellyttää, voit vaihtoehtoisesti poistaa ISO-tiedoston liittämisen sen jälkeen, kun kaikki solmut ovat ottaneet käyttöön määritysmuutokset. Katso lisätietoja osoitteesta (Valinnainen) Unmount ISO After HDS Configuration .

HDS-solmun määrittäminen välityspalvelimen integrointia varten

Jos verkkoympäristö edellyttää välityspalvelinta, määritä tällä tavalla, minkä tyyppinen välityspalvelin haluat integroida Hybrid Data Securityyn. Jos valitset läpinäkyvän tarkastavan välityspalvelimen tai nimenomaisen HTTPS-välityspalvelimen, voit ladata ja asentaa juurivarmenteen solmun käyttöliittymän avulla. Voit myös tarkistaa välityspalvelinyhteyden käyttöliittymästä ja korjata mahdollisia ongelmia.

Ennen kuin aloitat

1

Kirjoita HDS-solmun asetusten URL-osoite https://[HDS-solmun IP- tai FQDN]/setup verkkoselaimessa, syötä solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.

2

Siirry osoitteeseen Trust Store & Proxy ja valitse sitten vaihtoehto:

  • Ei välityspalvelinta- Oletusvaihtoehto ennen välityspalvelimen integroimista. Varmenteen päivitystä ei tarvita.
  • Läpinäkyvä ei-tarkastava välityspalvelin-Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen ei-tarkastavan välityspalvelimen kanssa. Varmenteen päivitystä ei tarvita.
  • Läpinäkyvä välityspalvelimen tarkastaminen-Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. Hybrid Data Security -käyttöönotossa ei tarvita HTTPS-konfiguraatiomuutoksia, mutta HDS-solmut tarvitsevat juurivarmenteen, jotta ne luottavat välityspalvelimeen. Tietotekniikka käyttää tyypillisesti tarkastavia välityspalvelimia valvomaan käytäntöjä, jotka koskevat sitä, millä verkkosivustoilla voi vierailla ja minkä tyyppistä sisältöä ei saa käyttää. Tämäntyyppinen välityspalvelin purkaa kaiken liikennöintisi (jopa HTTPS).
  • Explicit Proxy-Explisiittisellä välityspalvelimella kerrot asiakkaalle (HDS-solmut), mitä välityspalvelinta käyttää, ja tämä vaihtoehto tukee useita todennustyyppejä. Kun olet valinnut tämän vaihtoehdon, sinun on annettava seuraavat tiedot:

    1. Proxy IP/FQDN-osoite, jolla välityskone voidaan tavoittaa.

    2. Välitysportti- Portin numero, jota välityspalvelin käyttää kuunnellakseen välitettyä liikennettä.

    3. Proxy Protocol-Valitse http (tarkastelee ja valvoo kaikkia asiakkaalta vastaanotettuja pyyntöjä) tai https (tarjoaa kanavan palvelimelle ja asiakas vastaanottaa ja vahvistaa palvelimen varmenteen). Valitse vaihtoehto sen mukaan, mitä välityspalvelimesi tukee.

    4. Todennustyyppi-Valitse yksi seuraavista todennustyypeistä:

      • Ei ole- Muita todennuksia ei tarvita.

        Käytettävissä HTTP- tai HTTPS-välityspalvelimille.

      • Basic-Käytetään HTTP-käyttäjäagenttia antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.

        Käytettävissä HTTP- tai HTTPS-välityspalvelimille.

        Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjänimi ja salasana.

      • Digest-Käytetään tilin vahvistamiseen ennen arkaluontoisten tietojen lähettämistä. Soveltaa hash-funktiota käyttäjänimeen ja salasanaan ennen lähettämistä verkon yli.

        Käytettävissä vain HTTPS-välityspalvelimille.

        Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjänimi ja salasana.

Noudata seuraavia vaiheita, kun kyseessä on läpinäkyvä tarkastava välityspalvelin, HTTP-selkeä välityspalvelin, jossa on perustodennus, tai HTTPS-selkeä välityspalvelin.

3

Napsauta Upload a Root Certificate or End Entity Certificate ja siirry sitten valitsemaan välityspalvelimen juurivarmenne.

Varmenne on ladattu, mutta sitä ei ole vielä asennettu, koska solmun on käynnistettävä uudelleen varmenteen asentamiseksi. Saat lisätietoja napsauttamalla varmenteen myöntäjän nimen vieressä olevaa nuolta tai napsauttamalla Poista , jos teit virheen ja haluat ladata tiedoston uudelleen.

4

Testaa solmun ja välityspalvelimen välinen verkkoyhteys napsauttamalla Check Proxy Connection .

Jos yhteystesti epäonnistuu, näyttöön tulee virheilmoitus, jossa kerrotaan syy ja miten voit korjata ongelman.

Jos näet viestin, jonka mukaan ulkoinen DNS-resoluutio ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen. Tämä ehto on odotettavissa monissa eksplisiittisissä välityspalvelinkokoonpanoissa. Voit jatkaa asetusten määrittämistä, ja solmu toimii Estetty ulkoinen DNS-resoluutio -tilassa. Jos luulet, että kyseessä on virhe, suorita nämä vaiheet ja katso sitten Ota estetty ulkoinen DNS-resoluutiotila pois käytöstä.

5

Kun yhteystesti on läpäisty, jos vain https:n välityspalvelimeksi on asetettu explicit proxy, kytke päälle . Reititä kaikki porttien 443/444 https-pyynnöt tästä solmusta explicit proxyn kautta. Tämä asetus vaatii 15 sekuntia tullakseen voimaan.

6

Napsauta Asenna kaikki varmenteet luottamussäilöön (tulee näkyviin, jos kyseessä on HTTPS-selkeän välityspalvelimen tai läpinäkyvän tarkastavan välityspalvelimen käyttö) tai Käynnistä uudelleen (tulee näkyviin, jos kyseessä on HTTP-selkeän välityspalvelimen käyttö), lue kehote ja napsauta sitten Asenna , jos olet valmis.

Solmu käynnistyy uudelleen muutamassa minuutissa.

7

Kun solmu on käynnistetty uudelleen, kirjaudu tarvittaessa uudelleen sisään ja avaa sitten Overview -sivu tarkistaaksesi yhteystarkastukset ja varmistaaksesi, että ne ovat kaikki vihreässä tilassa.

Välityspalvelinyhteyden tarkistus testaa vain webex.com-sivuston aliverkkotunnuksen. Jos yhteysongelmia ilmenee, yleinen ongelma on, että jotkin asennusohjeissa luetelluista pilvialueen verkkotunnuksista on estetty välityspalvelimessa.

Rekisteröi klusterin ensimmäinen solmu

Tässä tehtävässä otetaan yleinen solmu, jonka loit kohdassa Hybriditietoturvan VM:n määrittäminen, rekisteröidään solmu Webex-pilveen ja muutetaan se Hybriditietoturvan solmuksi.

Kun rekisteröit ensimmäisen solmun, luot klusterin, johon solmu liitetään. Klusteri sisältää yhden tai useamman solmun, jotka on sijoitettu tarjoamaan redundanssia.

Ennen kuin aloitat

  • Kun aloitat solmun rekisteröinnin, sinun on saatettava se päätökseen 60 minuutin kuluessa tai sinun on aloitettava alusta.

  • Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen admin.webex.com-sivustolle.

1

Kirjaudu sisään osoitteessa https://admin.webex.com.

2

Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

3

Etsi Cloud Services -osiosta Hybrid Data Security -kortti ja napsauta Set up.

4

Valitse avautuvalla sivulla Add a resource.

5

Kirjoita kortin Add a node ensimmäiseen kenttään nimi klusterille, johon haluat määrittää Hybrid Data Security -solmun.

Suosittelemme, että nimeät klusterin sen mukaan, missä klusterin solmut sijaitsevat maantieteellisesti. Esimerkkejä: "San Francisco" tai "New York" tai "Dallas".

6

Kirjoita toiseen kenttään solmun sisäinen IP-osoite tai FQDN (fully qualified domain name) ja napsauta näytön alareunassa Add .

Tämän IP-osoitteen tai FQDN:n tulisi vastata IP-osoitetta tai isäntänimeä ja toimialuetta, joita käytit kohdassa Hybrid Data Security VM:n määrittäminen.

Näyttöön tulee viesti, jossa ilmoitetaan, että voit rekisteröidä solmun Webexiin.
7

Napsauta Go to Node.

Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmujen yhteystesteihin. Jos kaikki testit ovat onnistuneet, Salli pääsy hybridi-tietoturvasolmulle -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa Webex-organisaatiollesi oikeudet käyttää solmua.

8

Tarkista Allow Access to Your Hybrid Data Security Node -valintaruutu ja napsauta sitten Continue.

Tilisi on vahvistettu ja "Rekisteröinti valmis" -viesti osoittaa, että solmusi on nyt rekisteröity Webex-pilveen.
9

Napsauta linkkiä tai sulje välilehti, niin pääset takaisin Partner Hub Hybrid Data Security -sivulle.

Hybrid Data Security -sivulla Resurssit -välilehdellä näkyy uusi klusteri, joka sisältää rekisteröimäsi solmun. Solmu lataa automaattisesti uusimman ohjelmiston pilvestä.

Luo ja rekisteröi lisää solmuja

Jos haluat lisätä klusteriin lisää solmuja, luot yksinkertaisesti uusia VM:iä ja asennat saman konfigurointi-ISO-tiedoston ja rekisteröit solmun. Suosittelemme, että sinulla on vähintään 3 solmua.

Ennen kuin aloitat

  • Kun aloitat solmun rekisteröinnin, sinun on saatettava se päätökseen 60 minuutin kuluessa tai sinun on aloitettava alusta.

  • Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen admin.webex.com-sivustolle.

1

Luo uusi virtuaalikone OVA:sta toistamalla vaiheet osoitteessa Install the HDS Host OVA.

2

Määritä uuden VM:n alkukokoonpano toistamalla kohdasta Set up the Hybrid Data Security VM löytyvät vaiheet.

3

Toista uudessa VM:ssä vaiheet osoitteessa Lataa ja asenna HDS-kokoonpanon ISO.

4

Jos otat käyttöön välityspalvelimen, toista kohdan Configure the HDS Node for Proxy Integration vaiheet tarpeen mukaan uutta solmua varten.

5

Rekisteröi solmu.

  1. Valitse https://admin.webex.com-sivustolla Palvelut näytön vasemmassa reunassa olevasta valikosta.

  2. Etsi Cloud Services -osiosta Hybrid Data Security -kortti ja napsauta View all.

    Hybriditietoturvaresurssit-sivu tulee näkyviin.

  3. Äskettäin luotu klusteri näkyy sivulla Resurssit .

  4. Klikkaa klusteria nähdäksesi klusteriin määritetyt solmut.

  5. Napsauta Add a node näytön oikeassa reunassa.

  6. Kirjoita solmun sisäinen IP-osoite tai FQDN (fully qualified domain name) ja napsauta Add.

    Avautuu sivu, jossa on viesti, jonka mukaan voit rekisteröidä solmun Webex-pilveen. Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmujen yhteystesteihin. Jos kaikki testit ovat onnistuneet, Salli pääsy hybridi-tietoturvasolmulle -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa organisaatiollesi oikeudet käyttää solmua.

  7. Tarkista Allow Access to Your Hybrid Data Security Node -valintaruutu ja napsauta sitten Continue.

    Tilisi on vahvistettu ja "Rekisteröinti valmis" -viesti osoittaa, että solmusi on nyt rekisteröity Webex-pilveen.

  8. Napsauta linkkiä tai sulje välilehti, niin pääset takaisin Partner Hub Hybrid Data Security -sivulle.

    Node added ponnahdusviesti näkyy myös Partner Hubin näytön alareunassa.

    Solmusi on rekisteröity.

Hallitse vuokralaisorganisaatioita Multi-Tenant Hybrid Data Security -palvelussa.

Aktivoi Multi-Tenant HDS Partner Hubissa.

Tällä tehtävällä varmistetaan, että kaikki asiakasorganisaatioiden käyttäjät voivat alkaa hyödyntää HDS:n On-Premises-salausavaimia ja muita tietoturvapalveluja.

Ennen kuin aloitat

Varmista, että olet saanut valmiiksi Multi-Tenant HDS -klusterin määrityksen, jossa on tarvittava määrä solmuja.

1

Kirjaudu sisään osoitteessa https://admin.webex.com.

2

Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

3

Etsi Pilvipalvelut-osiosta Hybrid Data Security ja napsauta Muokkaa asetuksia.

4

Napsauta Aktivoi HDS HDS Status -kortilla Aktivoi HDS .

Lisää vuokralaisorganisaatioita Partner Hubiin

Tässä tehtävässä määrität asiakasorganisaatiot hybridi-tietoturvaklusteriin.

1

Kirjaudu sisään osoitteessa https://admin.webex.com.

2

Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

3

Etsi Cloud Services -osiosta Hybrid Data Security ja napsauta View all.

4

Napsauta klusteria, johon haluat määrittää asiakkaan.

5

Siirry Assigned customers -välilehdelle.

6

Napsauta Lisää asiakkaita.

7

Valitse avattavasta valikosta asiakas, jonka haluat lisätä.

8

Napsauta Add, asiakas lisätään klusteriin.

9

Toista vaiheet 6-8 lisätäksesi useita asiakkaita klusteriin.

10

Kun olet lisännyt asiakkaat, napsauta näytön alareunassa Done .

Mitä tehdä seuraavaksi

Käynnistä HDS-asennustyökalu, kuten kohdassa on kuvattu. Create Customer Main Keys (CMKs) using the HDS Setup tool (Luo asiakkaan pääavaimet (CMK:t) HDS-asennustyökalun avulla), jotta saat asennusprosessin päätökseen.

Luo asiakkaan pääavaimet (CMK) HDS Setup -työkalun avulla.

Ennen kuin aloitat

Määritä asiakkaat sopivaan klusteriin, kuten kohdassa Add tenant organizations in Partner Hub on kuvattu. Suorita HDS Setup -työkalu, jotta saat äskettäin lisättyjen asiakasorganisaatioiden määritysprosessin päätökseen.

  • HDS Setup -työkalu toimii Docker-säiliönä paikallisella koneella. Voit käyttää sitä suorittamalla Dockerin kyseisellä koneella. Asennusprosessi edellyttää Partner Hub -tilin tunnistetietoja, joilla on organisaatiosi täydet järjestelmänvalvojan oikeudet.

    Jos HDS Setup -työkalu toimii ympäristössäsi välityspalvelimen takana, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien avulla, kun käynnistät Docker-säiliön vaiheessa 5. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:

    Kuvaus

    Muuttuja

    HTTP-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTP_PROXY=http://SERVER_IP:PORTTI IP:PORTTI

    HTTPS-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTPS_PROXY=http://SERVER_IP:PORTTI

    HTTP-välityspalvelin todennuksen kanssa

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

    HTTPS-välityspalvelin todennuksella

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

  • Luomasi konfigurointi-ISO-tiedosto sisältää pääavaimen, jolla PostgreSQL- tai Microsoft SQL Server -tietokanta salataan. Tarvitset uusimman kopion tästä tiedostosta aina, kun teet määritysmuutoksia, kuten näitä:

    • Tietokannan tunnistetiedot

    • Todistuksen päivitykset

    • Muutokset valtuutuskäytäntöön

  • Jos aiot salata tietokantayhteyksiä, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:ää varten.

Hybrid Data Security -asennusprosessi luo ISO-tiedoston. Tämän jälkeen voit määrittää Hybrid Data Security -isäntäsovelluksen ISO-version avulla.

1

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

2

Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti:

docker login -u hdscustomersro
3

Kirjoita salasanakehotteeseen tämä hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Lataa uusin vakaa imago ympäristöllesi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:

  • Tavallisissa ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • FedRAMP-ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080".

6

Setup-työkalu ei tue yhteyden muodostamista localhostiin http://localhost:8080 kautta. Käytä http://127.0.0.1:8080 muodostaaksesi yhteyden localhostiin.

Siirry verkkoselaimella osoitteeseen localhost, http://127.0.0.1:8080, ja kirjoita kehotteeseen Partner Hubin admin-käyttäjätunnus.

Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää asettaakseen oikean ympäristön kyseiselle tilille. Tämän jälkeen työkalu näyttää tavallisen kirjautumiskehotteen.

7

Anna pyydettäessä Partner Hubin ylläpitäjän kirjautumistiedot ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn hybriditietoturvan edellyttämiin palveluihin.

8

Napsauta Setup Tool -katsaussivulla Get Started.

9

Valitse ISO Import -sivulla Yes.

10

Valitse ISO-tiedosto selaimessa ja lataa se.

Varmista yhteys tietokantaan CMK:n hallintaa varten.
11

Siirry Vuokralaisen CMK:n hallinta -välilehdelle, jossa on seuraavat kolme tapaa hallita vuokralaisen CMK:ta.

  • Create CMK for all ORGs tai Create CMK - Napsauta tätä painiketta näytön yläreunan bannerissa luodaksesi CMK:t kaikille äskettäin lisätyille organisaatioille.
  • Napsauta Manage CMKs -painiketta näytön oikeassa reunassa ja napsauta Create CMKs luodaksesi CMK:t kaikille äskettäin lisätyille organisaatioille.
  • Napsauta ... tietyn organisaation CMK-hallinnan odottavan tilan lähellä taulukossa ja napsauta Luo CMK luodaksesi CMK:n kyseiselle organisaatiolle.
12

Kun CMK:n luominen on onnistunut, tila muuttuu taulukossa CMK:n hallinta vireillä -tilasta CMK hallinnoitu-tilaan.

13

Jos CMK:n luominen ei onnistu, näyttöön tulee virheilmoitus.

Poista vuokralaisorganisaatiot

Ennen kuin aloitat

Poistamisen jälkeen asiakasorganisaatioiden käyttäjät eivät voi hyödyntää HDS:ää salaustarpeisiinsa ja menettävät kaikki olemassa olevat tilat. Ennen asiakasorganisaatioiden poistamista ota yhteyttä Cisco-kumppaniin tai asiakaspäällikköön.

1

Kirjaudu sisään osoitteessa https://admin.webex.com.

2

Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

3

Etsi Cloud Services -osiosta Hybrid Data Security ja napsauta View all.

4

Napsauta Resurssit -välilehdellä klusteria, josta haluat poistaa asiakasorganisaatiot.

5

Valitse avautuvalla sivulla Assigned Customers.

6

Napsauta näkyviin tulevasta asiakasorganisaatioiden luettelosta ... sen asiakasorganisaation oikealla puolella, jonka haluat poistaa, ja napsauta Poista klusterista.

Mitä tehdä seuraavaksi

Suorita poistoprosessi loppuun peruuttamalla asiakasorganisaatioiden CMK-tunnukset osoitteessa Revoke CMKs of tenants removed from HDS.

HDS:stä poistettujen vuokralaisten CMK-tunnusten peruuttaminen.

Ennen kuin aloitat

Poista asiakkaat kyseisestä klusterista, kuten kohdassa Remove tenant organizations on kuvattu. Suorita HDS-asennustyökalu, jotta poistettujen asiakasorganisaatioiden poistoprosessi saadaan päätökseen.

  • HDS Setup -työkalu toimii Docker-säiliönä paikallisella koneella. Voit käyttää sitä suorittamalla Dockerin kyseisellä koneella. Asennusprosessi edellyttää Partner Hub -tilin tunnistetietoja, joilla on organisaatiosi täydet järjestelmänvalvojan oikeudet.

    Jos HDS Setup -työkalu toimii ympäristössäsi välityspalvelimen takana, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien avulla, kun käynnistät Docker-säiliön vaiheessa 5. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:

    Kuvaus

    Muuttuja

    HTTP-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTP_PROXY=http://SERVER_IP:PORTTI IP:PORTTI

    HTTPS-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTPS_PROXY=http://SERVER_IP:PORTTI

    HTTP-välityspalvelin todennuksen kanssa

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

    HTTPS-välityspalvelin todennuksella

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

  • Luomasi konfigurointi-ISO-tiedosto sisältää pääavaimen, jolla PostgreSQL- tai Microsoft SQL Server -tietokanta salataan. Tarvitset uusimman kopion tästä tiedostosta aina, kun teet määritysmuutoksia, kuten näitä:

    • Tietokannan tunnistetiedot

    • Todistuksen päivitykset

    • Muutokset valtuutuskäytäntöön

  • Jos aiot salata tietokantayhteyksiä, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:ää varten.

Hybrid Data Security -asennusprosessi luo ISO-tiedoston. Tämän jälkeen voit määrittää Hybrid Data Security -isäntäsovelluksen ISO-version avulla.

1

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

2

Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti:

docker login -u hdscustomersro
3

Kirjoita salasanakehotteeseen tämä hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Lataa uusin vakaa imago ympäristöllesi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:

  • Tavallisissa ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • FedRAMP-ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080".

6

Setup-työkalu ei tue yhteyden muodostamista localhostiin http://localhost:8080 kautta. Käytä http://127.0.0.1:8080 muodostaaksesi yhteyden localhostiin.

Siirry verkkoselaimella osoitteeseen localhost, http://127.0.0.1:8080, ja kirjoita kehotteeseen Partner Hubin admin-käyttäjätunnus.

Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää asettaakseen oikean ympäristön kyseiselle tilille. Tämän jälkeen työkalu näyttää tavallisen kirjautumiskehotteen.

7

Anna pyydettäessä Partner Hubin ylläpitäjän kirjautumistiedot ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn hybriditietoturvan edellyttämiin palveluihin.

8

Napsauta Setup Tool -katsaussivulla Get Started.

9

Valitse ISO Import -sivulla Yes.

10

Valitse ISO-tiedosto selaimessa ja lataa se.

11

Siirry Vuokralaisen CMK:n hallinta -välilehdelle, jossa on seuraavat kolme tapaa hallita vuokralaisen CMK:ta.

  • Revoke CMK for all ORGs or Revoke CMK - Napsauta tätä painiketta näytön yläreunassa olevassa bannerissa peruuttaaksesi kaikkien poistettujen organisaatioiden CMK:t.
  • Napsauta Manage CMKs -painiketta näytön oikeassa reunassa ja napsauta Revoke CMKs peruuttaaksesi kaikkien poistettujen organisaatioiden CMK:t.
  • Napsauta ... lähellä CMK, joka peruutetaan tietyn organisaation tilaa taulukossa ja napsauta Revoke CMK peruuttaaksesi CMK:n kyseiseltä organisaatiolta.
12

Kun CMK:n peruuttaminen on onnistunut, asiakasorganisaatio ei enää näy taulukossa.

13

Jos CMK:n peruuttaminen ei onnistu, näyttöön tulee virheilmoitus.

Testaa hybriditietoturvan käyttöönottoa

Testaa hybriditietoturvan käyttöönottoa

Tällä menettelyllä voit testata Multi-Tenant Hybrid Data Security -salausskenaarioita.

Ennen kuin aloitat

  • Määritä Multi-Tenant Hybrid Data Security -käyttöönotto.

  • Varmista, että sinulla on pääsy syslogiin, jotta voit tarkistaa, että avainpyynnöt kulkevat Multi-Tenant Hybrid Data Security -käyttöönottoon.

1

Avaimet tietylle tilalle asettaa tilan luoja. Kirjaudu Webex-sovellukseen yhtenä asiakasorganisaation käyttäjistä ja luo tila.

Jos poistat hybriditietoturva-asennuksen käytöstä, käyttäjien luomien tilojen sisältöön ei enää pääse käsiksi, kun salausavainten asiakaskeskeytetyt kopiot on korvattu.

2

Lähetä viestejä uuteen tilaan.

3

Tarkista syslog-tulosteesta, että avainpyynnöt kulkevat Hybrid Data Security -käyttöönottoon.

  1. Jos haluat tarkistaa, että käyttäjä on ensin luonut suojatun kanavan KMS:ään, suodata kms.data.method=create ja kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Löydät seuraavan kaltaisen merkinnän (tunnukset on lyhennetty luettavuuden vuoksi):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] vastaanotettu, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Jos haluat tarkistaa, onko käyttäjä pyytänyt olemassa olevaa avainta KMS:stä, suodata kms.data.method=retrieve ja kms.data.type=KEY:

    Sinun pitäisi löytää seuraava merkintä:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] vastaanotettu, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Jos haluat tarkistaa, onko käyttäjä pyytänyt uuden KMS-avaimen luomista, suodata kms.data.method=create ja kms.data.type=KEY_COLLECTION:

    Sinun pitäisi löytää seuraava merkintä:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] vastaanotettu, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Jos haluat tarkistaa, onko käyttäjä pyytänyt uuden KMS-resurssiobjektin (KRO) luomista, kun tila tai muu suojattu resurssi luodaan, suodata kms.data.method=create ja kms.data.type=RESOURCE_COLLECTION:

    Sinun pitäisi löytää seuraava merkintä: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] vastaanotettu, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Hybriditietojen tietoturvan tilan seuranta

Partner Hubin tilaindikaattori näyttää, onko Multi-Tenant Hybrid Data Security -käyttöönotossa kaikki kunnossa. Jos haluat ennakoivampia hälytyksiä, tilaa sähköposti-ilmoitukset. Sinulle ilmoitetaan, kun palveluun vaikuttavia hälytyksiä tai ohjelmistopäivityksiä tulee.
1

Valitse Partner Hubissa vasemmalla puolella olevasta valikosta Palvelut .

2

Etsi Pilvipalvelut-osiosta Hybrid Data Security ja napsauta Muokkaa asetuksia.

Hybriditietojen suojausasetukset -sivu tulee näkyviin.
3

Kirjoita Sähköposti-ilmoitukset-osioon yksi tai useampi sähköpostiosoite pilkuilla erotettuna ja paina Enter.

Hallitse HDS-käyttöönottoa

Hallitse HDS:n käyttöönottoa

Käytä tässä kuvattuja tehtäviä Hybrid Data Security -käyttöönoton hallintaan.

Aseta klusterin päivitysaikataulu

Hybrid Data Securityn ohjelmistopäivitykset tehdään automaattisesti klusteritasolla, mikä varmistaa, että kaikissa solmuissa on aina sama ohjelmistoversio. Päivitykset tehdään klusterin päivitysaikataulun mukaisesti. Kun ohjelmistopäivitys tulee saataville, voit päivittää klusterin manuaalisesti ennen suunniteltua päivitysaikaa. Voit määrittää tietyn päivitysaikataulun tai käyttää oletusaikataulua 3:00 AM Daily United States: Amerikka/Los Angeles. Voit myös tarvittaessa lykätä tulevaa päivitystä.

Päivityksen aikataulun asettaminen:

1

Kirjaudu sisään Partner Hubiin.

2

Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

3

Etsi Cloud Services -osiosta Hybrid Data Security ja napsauta Set up (Määritä).

4

Valitse klusteri Hybriditietoturvaresurssit-sivulla.

5

Napsauta Cluster Settings -välilehteä.

6

Valitse klusterin asetukset -sivun kohdassa Päivitysaikataulu päivitysaikataulun kellonaika ja aikavyöhyke.

Huomautus: Aikavyöhykkeen alla näkyy seuraava saatavilla oleva päivityspäivä ja -aika. Voit tarvittaessa siirtää päivityksen seuraavalle päivälle napsauttamalla Postpone by 24 hours.

Solmun kokoonpanon muuttaminen

Joskus sinun on ehkä muutettava Hybrid Data Security -solmun kokoonpanoa esimerkiksi seuraavista syistä:

  • x.509-varmenteiden muuttaminen vanhentumisen tai muiden syiden vuoksi.

    Emme tue varmenteen CN-verkkotunnuksen nimen muuttamista. Verkkotunnuksen on vastattava klusterin rekisteröinnissä käytettyä alkuperäistä verkkotunnusta.

  • Tietokanta-asetusten päivittäminen PostgreSQL- tai Microsoft SQL Server -tietokannan kopion vaihtamiseksi.

    Emme tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin tai päinvastoin. Jos haluat vaihtaa tietokantaympäristön, aloita uusi Hybrid Data Security -käyttöönotto.

  • Uuden kokoonpanon luominen uuden datakeskuksen valmistelemiseksi.

Hybrid Data Security käyttää turvallisuussyistä myös palvelutilien salasanoja, joiden käyttöikä on yhdeksän kuukautta. Kun HDS-asennustyökalu on luonut nämä salasanat, otat ne käyttöön kussakin HDS-solmussa ISO-määritystiedostossa. Kun organisaatiosi salasanojen voimassaolo lähestyy päättymistään, saat Webex-tiimiltä ilmoituksen, jossa pyydetään palauttamaan konetilisi salasana. (Sähköpostiviestissä on teksti: "Päivitä salasana konetilin API:n avulla."). Jos salasanasi eivät ole vielä vanhentuneet, työkalu antaa sinulle kaksi vaihtoehtoa:

  • Pehmeä nollaus- Vanha ja uusi salasana toimivat molemmat enintään 10 päivän ajan. Käytä tätä ajanjaksoa ISO-tiedoston korvaamiseen solmuissa vähitellen.

  • Hard reset- Vanhat salasanat lakkaavat toimimasta välittömästi.

Jos salasanasi vanhenevat ilman nollausta, se vaikuttaa HDS-palveluun ja edellyttää välitöntä kovaa nollausta ja ISO-tiedoston vaihtamista kaikissa solmuissa.

Tämän menettelyn avulla voit luoda uuden ISO-konfiguraatiotiedoston ja soveltaa sitä klusteriin.

Ennen kuin aloitat

  • HDS Setup -työkalu toimii Docker-säiliönä paikallisella koneella. Voit käyttää sitä suorittamalla Dockerin kyseisellä koneella. Asennusprosessi edellyttää Partner Hub -tilin tunnistetietoja, joilla on kumppanin täydet järjestelmänvalvojan oikeudet .

    Jos HDS Setup -työkalu toimii ympäristössäsi välityspalvelimen takana, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien avulla, kun käynnistät Docker-säiliön osoitteessa 1.e. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:

    Kuvaus

    Muuttuja

    HTTP-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTP_PROXY=http://SERVER_IP:PORTTI IP:PORTTI

    HTTPS-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTPS_PROXY=http://SERVER_IP:PORTTI

    HTTP-välityspalvelin todennuksen kanssa

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

    HTTPS-välityspalvelin todennuksella

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

  • Tarvitset kopion nykyisestä kokoonpanon ISO-tiedostosta uuden kokoonpanon luomiseksi. ISO-tietokanta sisältää pääavaimen, jolla PostgreSQL- tai Microsoft SQL Server -tietokanta salataan. Tarvitset ISO-tietoa, kun teet määritysmuutoksia, kuten tietokannan valtuustiedot, varmenteen päivitykset tai valtuutuskäytännön muutokset.

1

Suorita HDS-asennustyökalu Dockerin avulla paikallisella koneella.

  1. Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

    Tavallisissa ympäristöissä:

    docker rmi ciscocitg/hds-setup:stable

    FedRAMP-ympäristöissä:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Tämä vaihe puhdistaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

  2. Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti:

    docker login -u hdscustomersro

  3. Kirjoita salasanakehotteeseen tämä hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Lataa uusin vakaa imago ympäristöllesi:

    Tavallisissa ympäristöissä:

    docker pull ciscocitg/hds-setup:stable

    FedRAMP-ympäristöissä:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Varmista, että otat käyttöön uusimman asennustyökalun tätä toimenpidettä varten. Ennen 22. helmikuuta 2018 luoduissa työkalun versioissa ei ole salasanan palautusnäyttöjä.

  5. Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:

    • Tavallisissa ympäristöissä ilman välityspalvelinta:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • FedRAMP-ympäristöissä ilman välityspalvelinta:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080".

  6. Ota selaimella yhteys osoitteeseen localhost, http://127.0.0.1:8080.

    Setup-työkalu ei tue yhteyden muodostamista localhostiin http://localhost:8080 kautta. Käytä http://127.0.0.1:8080 muodostaaksesi yhteyden localhostiin.

  7. Anna pyydettäessä Partner Hub -asiakkaan kirjautumistiedot ja jatka sitten klikkaamalla Accept .

  8. Tuo nykyinen kokoonpano ISO-tiedosto.

  9. Suorita työkalu loppuun ja lataa päivitetty tiedosto noudattamalla ohjeita.

    Voit sammuttaa Setup-työkalun kirjoittamalla CTRL+C.

  10. Luo varmuuskopio päivitetystä tiedostosta toiseen datakeskukseen.

2

Jos sinulla on vain yksi HDS-solmu, jossa on käytössä, luo uusi Hybrid Data Security -solmun VM ja rekisteröi se käyttämällä uutta konfiguraatio-ISO-tiedostoa. Tarkempia ohjeita on osoitteessa Create and register more nodes.

  1. Asenna HDS-isännän OVA.

  2. Määritä HDS VM.

  3. Kiinnitä päivitetty kokoonpanotiedosto.

  4. Rekisteröi uusi solmu Partner Hubissa.

3

Asenna ISO-tiedosto olemassa oleviin HDS-solmuihin, joissa on käytössä vanhempi kokoonpanotiedosto. Suorita seuraavat toimenpiteet jokaiselle solmulle vuorotellen ja päivitä jokainen solmu ennen seuraavan solmun sammuttamista:

  1. Sammuta virtuaalikone.

  2. Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia.

  3. Napsauta CD/DVD-asema 1, valitse vaihtoehto mount from an ISO file (kiinnitä ISO-tiedostosta) ja selaa paikkaan, josta latasit uuden kokoonpanon ISO-tiedoston.

  4. Tarkista Kytke virta päälle.

  5. Tallenna muutokset ja käynnistä virtuaalikone.

4

Toista vaihe 3 korvataksesi kokoonpano jokaisessa jäljellä olevassa solmussa, jossa on käytössä vanha kokoonpano.

Sammuta estetty ulkoinen DNS-resoluutiotila

Kun rekisteröit solmun tai tarkistat solmun välityspalvelinkokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex -pilveen. Jos solmun DNS-palvelin ei pysty ratkaisemaan julkisia DNS-nimiä, solmu siirtyy automaattisesti estetty ulkoinen DNS-resoluutio -tilaan.

Jos solmut pystyvät ratkaisemaan julkiset DNS-nimet sisäisten DNS-palvelimien kautta, voit poistaa tämän tilan käytöstä suorittamalla välityspalvelinyhteystestin uudelleen kussakin solmussa.

Ennen kuin aloitat

Varmista, että sisäiset DNS-palvelimesi pystyvät ratkaisemaan julkisia DNS-nimiä ja että solmusi voivat kommunikoida niiden kanssa.
1

Avaa verkkoselaimessa Hybrid Data Security -solmun käyttöliittymä (esimerkiksi IP-osoite/asetukset, https://192.0.2.0/setup), , syötä solmulle määrittämäsi järjestelmänvalvojan tunnukset ja napsauta sitten Kirjaudu sisään.

2

Siirry osoitteeseen Overview (oletussivu).

Kun se on käytössä, Estetty ulkoinen DNS-resoluutio on asetettu Kyllä.

3

Siirry Trust Store & Proxy -sivulle.

4

Napsauta Tarkista välityspalvelinyhteys.

Jos näet viestin, jonka mukaan ulkoinen DNS-resoluutio ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen, ja se pysyy tässä tilassa. Muussa tapauksessa, kun olet käynnistänyt solmun uudelleen ja palannut sivulle Overview , Blocked External DNS Resolution -asetuksen pitäisi olla ei.

Mitä tehdä seuraavaksi

Toista välityspalvelinyhteyden testaus Hybrid Data Security -klusterin jokaisessa solmussa.

Poista solmu

Tällä menettelyllä voit poistaa Hybrid Data Security -solmun Webex-pilvestä. Kun olet poistanut solmun klusterista, poista virtuaalikone, jotta suojaustietoihin ei pääse enää käsiksi.
1

Kirjaudu tietokoneen VMware vSphere -asiakasohjelmalla ESXi-virtuaali-isäntäkoneeseen ja sammuta virtuaalikone.

2

Poista solmu:

  1. Kirjaudu sisään Partner Hubiin ja valitse sitten Palvelut.

  2. Valitse Hybriditietoturva-kortissa Näytä kaikki , jolloin Hybriditietoturvaresurssit-sivu tulee näkyviin.

  3. Valitse klusteri näyttääksesi sen yleiskatsauspaneelin.

  4. Napsauta solmua, jonka haluat poistaa.

  5. Napsauta oikealle avautuvassa paneelissa Deregister this node .

  6. Voit myös poistaa solmun rekisteröinnin napsauttamalla ... solmun oikealla puolella ja valitsemalla Poista tämä solmu.

3

Poista VM vSphere-asiakasohjelmassa. (Napsauta hiiren kakkospainikkeella VM:ää vasemmassa navigointipaneelissa ja valitse Poista.)

Jos et poista VM:ää, muista poistaa konfigurointi-ISO-tiedosto. Ilman ISO-tiedostoa et voi käyttää VM:ää turvatietojen käyttämiseen.

Katastrofista palautuminen varalla olevan datakeskuksen avulla

Hybriditietoturvaklusterin tarjoama kriittisin palvelu on avainten luominen ja tallentaminen, joita käytetään viestien ja muun Webex-pilveen tallennetun sisällön salaamiseen. Jokaisen organisaatiossa olevan käyttäjän, joka on määritetty Hybrid Data Security -palveluun, uudet avainten luontipyynnöt ohjataan klusteriin. Klusteri on myös vastuussa luomiensa avainten palauttamisesta kaikille käyttäjille, joilla on oikeus hakea niitä, esimerkiksi keskusteluavaruuden jäsenille.

Koska klusterin kriittisenä tehtävänä on tarjota nämä avaimet, on ehdottoman tärkeää, että klusteri pysyy toiminnassa ja että asianmukaisia varmuuskopioita ylläpidetään. Hybriditietoturvatietokannan tai skeemassa käytetyn konfigurointi-ISO-tietokannan menetys johtaa asiakassisällön KORJAAMATTOMAAN HÄVIÖÖN. Seuraavat käytännöt ovat pakollisia tällaisten menetysten estämiseksi:

Jos katastrofi aiheuttaa sen, että ensisijaisen tietokeskuksen HDS-käyttöönotto ei ole käytettävissä, siirry manuaalisesti varakeskukseen vikasietoisesti tämän ohjeen mukaisesti.

Ennen kuin aloitat

Poista kaikkien solmujen rekisteröinti Partner Hubista, kuten kohdassa Remove a Node on mainittu. Käytä uusinta ISO-tiedostoa, joka on määritetty aiemmin aktiivisena olleen klusterin solmuja varten, suorittaaksesi alla mainitun vikasietoisen siirtomenettelyn.
1

Käynnistä HDS Setup -työkalu ja noudata kohdassa Create a Configuration ISO for the HDS Hosts mainittuja ohjeita.

2

Suorita konfigurointiprosessi loppuun ja tallenna ISO-tiedosto paikkaan, josta se on helppo löytää.

3

Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmään. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää tietokannan sisällön pääsalausavaimen. Rajoita käyttöoikeus vain niille Hybrid Data Securityn järjestelmänvalvojille, joiden pitäisi tehdä määritysmuutoksia.

4

Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia.

5

Napsauta Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.

Varmista, että Connected ja Connect at power on on valittuna, jotta päivitetyt konfiguraatiomuutokset tulevat voimaan solmujen käynnistämisen jälkeen.

6

Kytke HDS-solmuun virta ja varmista, ettei hälytyksiä ole kuulunut vähintään 15 minuuttiin.

7

Rekisteröi solmu Partner-keskukseen. Katso Rekisteröi klusterin ensimmäinen solmu.

8

Toista prosessi jokaiselle valmiustietokeskuksen solmulle.

Mitä tehdä seuraavaksi

Jos ensisijainen datakeskus aktivoituu uudelleen vikatilanteen jälkeen, poista varalla olevan datakeskuksen solmujen rekisteröinti ja toista ISO:n määrittäminen ja ensisijaisen datakeskuksen solmujen rekisteröinti edellä mainitulla tavalla.

(Valinnainen) Irrota ISO-levy HDS-konfiguraation jälkeen

HDS:n vakiokokoonpanossa ISO-levy on asennettuna. Jotkut asiakkaat eivät kuitenkaan halua jättää ISO-tiedostoja jatkuvasti asennettuna. Voit poistaa ISO-tiedoston liitännän, kun kaikki HDS-solmut ovat ottaneet uuden kokoonpanon käyttöön.

Voit edelleen käyttää ISO-tiedostoja kokoonpanomuutosten tekemiseen. Kun luot uuden ISO-tietolevyn tai päivität ISO-tietolevyn asetustyökalun avulla, päivitetty ISO-tietolevy on asennettava kaikkiin HDS-solmuihin. Kun kaikki solmusi ovat ottaneet konfiguraatiomuutokset käyttöön, voit poistaa ISO-levyn kiinnityksen uudelleen tällä tavalla.

Ennen kuin aloitat

Päivitä kaikki HDS-solmut versioon 2021.01.22.4720 tai uudempaan.

1

Sammuta yksi HDS-solmuistasi.

2

Valitse vCenter Server Appliance -laitteessa HDS-solmu.

3

Valitse Muokkaa asetuksia > CD/DVD-asema ja poista valinta Datastore ISO File.

4

Kytke HDS-solmuun virta ja varmista, että hälytyksiä ei ole tullut vähintään 20 minuuttiin.

5

Toista tämä vuorotellen jokaiselle HDS-solmulle.

Vianmääritys hybridi tietoturva

Näytä hälytykset ja vianmääritys

Hybriditietoturvakäytön katsotaan olevan käyttökelvoton, jos kaikki klusterin solmut eivät ole tavoitettavissa tai jos klusteri toimii niin hitaasti, että pyynnöt keskeytyvät. Jos käyttäjät eivät pääse Hybrid Data Security -klusteriin, he kokevat seuraavia oireita:

  • Uusia tiloja ei voida luoda (uusia avaimia ei voida luoda).

  • Viestien ja tilojen otsikot eivät onnistu salauksen purkamisessa:

    • Tilaan on lisätty uusia käyttäjiä (ei pysty hakemaan avaimia).

    • Tilan nykyiset käyttäjät, jotka käyttävät uutta asiakasta (eivät pysty hakemaan avaimia).

  • Tilan nykyiset käyttäjät jatkavat menestyksekkäästi toimintaansa niin kauan kuin heidän asiakkaillaan on salausavainten välimuisti.

On tärkeää, että valvot hybriditietoturvaklusteriasi asianmukaisesti ja käsittelet kaikki hälytykset nopeasti, jotta vältät palveluhäiriöt.

Hälytykset

Jos hybriditietoturva-asetuksissa on ongelmia, Partner Hub näyttää hälytyksiä organisaation ylläpitäjälle ja lähettää sähköpostiviestejä määritettyyn sähköpostiosoitteeseen. Hälytykset kattavat monia yleisiä skenaarioita.

Taulukko 1. Yleiset ongelmat ja niiden ratkaisemiseen tarvittavat vaiheet

Hälytys

Toiminta

Paikallisen tietokannan käyttöhäiriö.

Tarkista tietokantavirheet tai lähiverkko-ongelmat.

Paikallisen tietokantayhteyden epäonnistuminen.

Tarkista, että tietokantapalvelin on käytettävissä ja että solmun määrityksessä käytettiin oikeaa palvelutilin tunnistetietoja.

Pilvipalvelun käyttöhäiriö.

Tarkista, että solmut voivat käyttää Webex-palvelimia osoitteessa Ulkoiset yhteysvaatimukset määritellyllä tavalla.

Pilvipalvelun rekisteröinnin uusiminen.

Pilvipalveluihin rekisteröityminen lopetettiin. Rekisteröinnin uusiminen on käynnissä.

Pilvipalvelun rekisteröinti lopetettu.

Rekisteröinti pilvipalveluihin lopetettu. Palvelu suljetaan.

Palvelua ei ole vielä aktivoitu.

Aktivoi HDS Partner Hubissa.

Määritetty verkkotunnus ei vastaa palvelimen varmennetta.

Varmista, että palvelimen varmenne vastaa määritettyä palvelun aktivointialuetta.

Todennäköisin syy on se, että varmenteen CN-nimike on äskettäin vaihdettu ja se on nyt eri kuin alkuperäisen asennuksen aikana käytetty CN-nimike.

Pilvipalveluiden todennus epäonnistui.

Tarkista palvelutilin tunnusten oikeellisuus ja mahdollinen vanhentuminen.

Paikallista avainsäilytystiedostoa ei onnistuttu avaamaan.

Tarkista paikallisen avainsäilytystiedoston eheys ja salasanan oikeellisuus.

Paikallisen palvelimen varmenne on virheellinen.

Tarkista palvelimen varmenteen voimassaoloaika ja varmista, että sen on myöntänyt luotettava varmentaja.

Metriikoita ei voi lähettää.

Tarkista paikallisverkon pääsy ulkoisiin pilvipalveluihin.

/media/configdrive/hds-hakemistoa ei ole olemassa.

Tarkista virtuaalisen isäntäkoneen ISO-kiinnityskonfiguraatio. Tarkista, että ISO-tiedosto on olemassa, että se on määritetty liitettäväksi uudelleenkäynnistyksen yhteydessä ja että se liitetään onnistuneesti.

Vuokralaisen organisaation asetuksia ei ole saatu valmiiksi lisättyjen organisaatioiden osalta.

Viimeistele asennus luomalla CMK:t äskettäin lisätyille vuokralaisorganisaatioille HDS Setup Tool -työkalun avulla.

Vuokralaisen organisaation asetuksia ei ole saatu valmiiksi poistettujen organisaatioiden osalta.

Viimeistele asennus peruuttamalla HDS Setup Tool -työkalulla poistettujen vuokralaisorganisaatioiden CMK-tunnukset.

Vianmääritys hybridi tietoturva

Käytä seuraavia yleisiä ohjeita, kun ratkaiset Hybrid Data Securityn ongelmia.
1

Tarkista Partner Hubista mahdolliset hälytykset ja korjaa kaikki sieltä löytyvät kohteet. Katso viitteeksi alla oleva kuva.

2

Tarkista syslog-palvelimen tulosteet Hybrid Data Security -käyttöönoton toiminnan osalta. Suodata sanoja kuten "Varoitus" ja "Virhe" vianmäärityksen helpottamiseksi.

3

Ota yhteyttä osoitteeseen Ciscon tuki.

Muut huomautukset

Hybriditietoturvan tunnetut ongelmat

  • Jos sammutat Hybrid Data Security -klusterin (poistamalla sen Partner Hubissa tai sammuttamalla kaikki solmut), menetät määritys-ISO-tiedoston tai menetät pääsyn avainsäilytystietokantaan, asiakasorganisaatioiden Webex App -käyttäjät eivät voi enää käyttää henkilöluettelossaan olevia tiloja, jotka on luotu KMS-avaimilla. Meillä ei ole tällä hetkellä ratkaisua tai korjausta tähän ongelmaan, ja kehotamme sinua olemaan sammuttamatta HDS-palveluja, kun ne käsittelevät aktiivisia käyttäjätilejä.

  • Asiakas, jolla on olemassa oleva ECDH-yhteys KMS-järjestelmään, säilyttää yhteyden tietyn ajan (todennäköisesti tunnin).

Käytä OpenSSL:ää PKCS12-tiedoston luomiseen

Ennen kuin aloitat

  • OpenSSL on yksi työkalu, jota voidaan käyttää PKCS12-tiedoston saattamiseen oikeaan muotoon HDS-asennustyökalun lataamista varten. On muitakin tapoja tehdä tämä, emmekä me tue tai suosittele yhtä tapaa toisen sijaan.

  • Jos päätät käyttää OpenSSL:ää, annamme tämän ohjeen, jonka avulla voit luoda tiedoston, joka täyttää X.509-varmenteen vaatimukset osoitteessa X.509 Certificate Requirements. Ymmärrä nämä vaatimukset ennen kuin jatkat.

  • Asenna OpenSSL tuettuun ympäristöön. Katso ohjelmisto ja dokumentaatio osoitteesta https://www.openssl.org .

  • Luo yksityinen avain.

  • Aloita tämä toimenpide, kun saat palvelinvarmenteen varmentajalta.

1

Kun saat palvelinvarmenteen varmentajalta, tallenna se osoitteeseen hdsnode.pem.

2

Näytä varmenne tekstinä ja tarkista tiedot.

openssl x509 -text -noout -in hdsnode.pem

3

Luo tekstieditorilla varmennepakettitiedosto nimeltä hdsnode-bundle.pem. Pakettitiedoston on sisällettävä palvelinvarmenne, mahdolliset välivarmentajan varmenteet ja päävarmentajan varmenteet alla olevassa muodossa:

-----BEGIN CERTIFICATE----- ### Palvelinsertifikaatti. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----

4

Luo .p12-tiedosto, jonka nimi on kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Tarkista palvelimen varmenteen tiedot.

  1. openssl pkcs12 -in hdsnode.p12

  2. Kirjoita kehotteeseen salasana salataksesi yksityisen avaimen niin, että se näkyy tulosteessa. Tarkista sitten, että yksityinen avain ja ensimmäinen varmenne sisältävät rivit friendlyName: kms-private-key.

    Esimerkki:

    bash$ openssl pkcs12 -in hdsnode.p12 Anna tuontisalasana: MAC tarkistettu OK Laukun attribuutit friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Keskeiset ominaisuudet:  Syötä PEM-salasana: Verifying - Syötä PEM-salasana: -----BEGIN ENCRYPTED PRIVATE KEY-----  -----END ENCRYPTED PRIVATE KEY----- Laukun ominaisuudet friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE----- Laukku Attribuutit friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE-----

Mitä tehdä seuraavaksi

Palaa osoitteeseen Suorita Hybriditietoturvan edellytykset. Käytät hdsnode.p12 -tiedostoa ja sille asettamaasi salasanaa kohdassa Luo konfigurointi-ISO HDS-isäntäasemille.

Voit käyttää näitä tiedostoja uudelleen uuden varmenteen pyytämiseen, kun alkuperäinen varmenne vanhenee.

HDS-solmujen ja pilvipalvelun välinen liikenne

Lähtevien mittareiden keräysliikenne

Hybriditietoturvasolmut lähettävät tiettyjä mittareita Webex-pilveen. Näihin kuuluvat järjestelmän metriikat, jotka koskevat kasan enimmäismäärää, käytettyä kasaa, suorittimen kuormitusta ja säikeiden lukumäärää, synkronisten ja asynkronisten säikeiden metriikat, salausyhteyksien kynnysarvoa, viiveaikaa tai pyyntöjonon pituutta koskevien hälytysten metriikat, tietovaraston metriikat ja salausyhteyksien metriikat. Solmut lähettävät salatun avainmateriaalin kaistan ulkopuolisen (pyynnöstä erillisen) kanavan kautta.

Saapuva liikenne

Hybriditietoturvasolmut vastaanottavat Webex-pilvestä seuraavanlaista saapuvaa liikennettä:

  • Asiakkaiden salauspyynnöt, jotka salauspalvelu ohjaa eteenpäin.

  • Solmuohjelmiston päivitykset

Määritä Squid-välityspalvelimet hybridi-dataturvallisuutta varten

Websocket ei voi muodostaa yhteyttä Squid-proxyn kautta

HTTPS-liikennettä tarkastavat Squid-välityspalvelimet voivat häiritä Hybrid Data Securityn edellyttämien websocket-yhteyksien (wss:) muodostamista. Näissä osioissa annetaan ohjeita siitä, miten Squidin eri versiot voidaan konfiguroida sivuuttamaan wss: liikenne palvelujen moitteettoman toiminnan varmistamiseksi.

Kalmarit 4 ja 5

Lisää on_unsupported_protocol -direktiivi osoitteeseen squid.conf:

on_unsupported_protocol tunneli kaikki

Squid 3.5.27

Testasimme onnistuneesti Hybrid Data Securitya seuraavien sääntöjen avulla, jotka lisättiin osoitteeseen squid.conf. Nämä säännöt voivat muuttua, kun kehitämme ominaisuuksia ja päivitämme Webex-pilveä.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Uudet ja muuttuneet tiedot

Uudet ja muuttuneet tiedot

Tämä taulukko kattaa uudet ominaisuudet tai toiminnot, muutokset olemassa olevaan sisältöön ja kaikki merkittävät virheet, jotka on korjattu osoitteessa Deployment Guide for Multi-Tenant Hybrid Data Security.

Tiedot

Muutokset tallennettu

tammikuu 30, 2025

Lisätty SQL-palvelimen versio 2022 tuettujen SQL-palvelimien luetteloon osoitteessa Tietokantapalvelinvaatimukset.

tammikuu 15, 2025

Lisättyjä rajoituksia usean vuokralaisen hybriditietoturvaan.

tammikuu 08, 2025

Lisätty huomautus kohtaan Suorita alkuasetukset ja lataa asennustiedostot, jossa todetaan, että asennusprosessin tärkeä vaihe on napsauttamalla Partner Hubin HDS-kortin Set up.

tammikuu 07, 2025

Päivitetty Virtual Host -vaatimukset, Hybrid Data Security Deployment Task Flow ja Install the HDS Host OVA osoittamaan ESXi 7.0:n uudet vaatimukset.

13. joulukuuta 2024

Julkaistu ensimmäisen kerran.

Multi-Tenant Hybrid Data Security -tietoturvan poistaminen käytöstä

Multi-Tenant HDS:n deaktivointitehtävän kulku

Voit poistaa Multi-Tenant HDS:n käytöstä kokonaan noudattamalla seuraavia ohjeita.

Ennen kuin aloitat

Tämän tehtävän saa suorittaa vain kumppanin täysivaltainen järjestelmänvalvoja.
1

Poista kaikki asiakkaat kaikista klustereistasi, kuten kohdassa Remove tenant organizations on mainittu.

2

Peruuta kaikkien asiakkaiden CMK:t, kuten mainitaan osoitteessa Peruuta HDS:stä poistettujen vuokralaisten CMK:t..

3

Poista kaikki solmut kaikista klustereistasi, kuten kohdassa Remove a Node on mainittu.

4

Poista kaikki klusterit Partner Hubista jommallakummalla seuraavista kahdesta menetelmästä.

  • Napsauta poistettavaa klusteria ja valitse yleiskatsaussivun oikeassa yläkulmassa Delete this Cluster.
  • Napsauta Resurssit-sivulla ... klusterin oikealla puolella ja valitse Poista klusteri.
5

Napsauta Asetukset -välilehteä Hybriditietojen suojauksen yleiskatsaussivulla ja napsauta Deactivate HDS HDS Status -kortissa.

Aloita Multi-Tenant Hybrid Data Security -palvelun käyttäminen

Multi-Tenant Hybrid Data Security - yleiskatsaus

Webex Appin suunnittelussa on alusta alkaen keskitytty ensisijaisesti tietoturvaan. Tämän turvallisuuden kulmakivi on päästä päähän -sisällön salaus, jonka Webex App -asiakkaat mahdollistavat avaintenhallintapalvelun (Key Management Service, KMS) kanssa. KMS vastaa niiden salausavainten luomisesta ja hallinnasta, joita asiakkaat käyttävät viestien ja tiedostojen dynaamiseen salaamiseen ja salauksen purkamiseen.

Oletusarvoisesti kaikki Webex App -asiakkaat saavat päästä päähän -salauksen, jonka dynaamiset avaimet on tallennettu pilven KMS-järjestelmään, Ciscon tietoturva-alueelle. Hybrid Data Security siirtää KMS:n ja muut tietoturvaan liittyvät toiminnot yrityksen datakeskukseen, joten salatun sisällön avaimet eivät ole kenelläkään muulla kuin sinulla.

Multi-Tenant Hybrid Data Security antaa organisaatioille mahdollisuuden hyödyntää HDS:ää luotettavan paikallisen kumppanin kautta, joka voi toimia palveluntarjoajana ja hallita tiloissa tapahtuvaa salausta ja muita tietoturvapalveluja. Tämä asetus antaa kumppaniorganisaatiolle täydellisen hallinnan salausavainten käyttöönotosta ja hallinnasta ja varmistaa, että asiakasorganisaatioiden käyttäjätiedot ovat turvassa ulkopuoliselta käytöltä. Kumppaniorganisaatiot asentavat HDS-instansseja ja luovat HDS-klustereita tarpeen mukaan. Kukin instanssi voi tukea useita asiakasorganisaatioita toisin kuin tavallinen HDS-käyttöönotto, joka on rajoitettu yhteen organisaatioon.

Vaikka kumppaniorganisaatiot hallitsevat käyttöönottoa ja hallintaa, niillä ei ole pääsyä asiakkaiden tuottamiin tietoihin ja sisältöön. Tämä käyttöoikeus on rajoitettu asiakasorganisaatioihin ja niiden käyttäjiin.

Näin myös pienemmät organisaatiot voivat hyödyntää HDS:ää, sillä luotettava paikallinen kumppani omistaa avainhallintapalvelun ja tietoturvainfrastruktuurin, kuten datakeskukset.

Miten Multi-Tenant Hybrid Data Security tarjoaa tietojen suvereenisuutta ja tiedonhallintaa

  • Käyttäjän luoma sisältö on suojattu ulkopuoliselta käytöltä, kuten pilvipalvelujen tarjoajilta.
  • Paikalliset luotetut kumppanit hallinnoivat niiden asiakkaiden salausavaimia, joihin niillä on jo vakiintunut suhde.
  • Mahdollisuus paikalliseen tekniseen tukeen, jos kumppani tarjoaa sitä.
  • Tukee kokousten, viestien ja puhelujen sisältöä.

Tämän asiakirjan tarkoituksena on auttaa kumppaniorganisaatioita perustamaan ja hallitsemaan asiakkaita Multi-Tenant Hybrid Data Security -järjestelmässä.

Monen käyttäjän hybriditietoturvan rajoitukset

  • Kumppaniorganisaatioilla ei saa olla aktiivista HDS-käyttöönottoa Control Hubissa.
  • Vuokralais- tai asiakasorganisaatioilla, joita kumppani haluaa hallita, ei saa olla olemassa olevaa HDS-käyttöönottoa Control Hubissa.
  • Kun kumppani on ottanut Multi-Tenant HDS:n käyttöön, kaikki asiakasorganisaatioiden käyttäjät sekä kumppaniorganisaation käyttäjät alkavat hyödyntää Multi-Tenant HDS:ää salauspalveluissaan.

    Kumppaniorganisaatio ja heidän hallinnoimansa asiakasorganisaatiot ovat samassa Multi-Tenant HDS -käyttöönotossa.

    Kumppaniorganisaatio ei enää käytä pilvi-KMS:ää sen jälkeen, kun Multi-Tenant HDS on otettu käyttöön.

  • Avaimia ei voi siirtää takaisin Cloud KMS:ään HDS:n käyttöönoton jälkeen.
  • Tällä hetkellä jokaisessa Multi-Tenant HDS -käyttöönotossa voi olla vain yksi klusteri, jonka alla on useita solmuja.
  • Järjestelmänvalvojan rooleilla on tiettyjä rajoituksia; katso lisätietoja alla olevasta osiosta.

Roolit monitilaaja-hybriditietoturvassa

  • Kumppanin täysi järjestelmänvalvoja - Voi hallita kaikkien kumppanin hallinnoimien asiakkaiden asetuksia. Voit myös määrittää ylläpitäjärooleja organisaation nykyisille käyttäjille ja määrittää tietyt asiakkaat kumppanien ylläpitäjien hallinnoitaviksi.
  • Kumppanin järjestelmänvalvoja - Voi hallita niiden asiakkaiden asetuksia, jotka järjestelmänvalvoja on määrittänyt tai jotka on osoitettu käyttäjälle.
  • Täysi järjestelmänvalvoja - Kumppaniorganisaation järjestelmänvalvoja, jolla on valtuudet suorittaa tehtäviä, kuten organisaation asetusten muuttaminen, lisenssien hallinta ja roolien jakaminen.
  • Kaikkien asiakasorganisaatioiden kokonaisvaltainen Multi-Tenant HDS -asennus ja -hallinta - Kumppanilta vaaditaan täydet järjestelmänvalvojan ja täyden järjestelmänvalvojan oikeudet.
  • Määritettyjen vuokralaisorganisaatioiden hallinta - Kumppanin järjestelmänvalvojan ja täyden järjestelmänvalvojan oikeudet vaaditaan.

Turvallisuusalueen arkkitehtuuri

Webexin pilviarkkitehtuurissa erityyppiset palvelut on jaettu erillisiin alueisiin eli luottamusalueisiin, kuten alla on kuvattu.

Erillisalueet (ilman hybriditietoturvaa)

Jotta hybriditietoturvaa voidaan ymmärtää paremmin, tarkastellaan ensin tätä puhdasta pilvitapausta, jossa Cisco tarjoaa kaikki toiminnot pilvialueillaan. Identiteettipalvelu, joka on ainoa paikka, jossa käyttäjät voidaan suoraan yhdistää henkilökohtaisiin tietoihinsa, kuten sähköpostiosoitteeseen, on loogisesti ja fyysisesti erillään tietoturva-alueesta datakeskuksessa B. Molemmat ovat puolestaan erillään alueesta, johon salattu sisältö lopulta tallennetaan, datakeskuksessa C.

Tässä kaaviossa asiakas on käyttäjän kannettavassa tietokoneessa oleva Webex-sovellus, joka on todennettu tunnistuspalvelun avulla. Kun käyttäjä laatii viestin lähetettäväksi tilaan, seuraavat vaiheet tapahtuvat:

  1. Asiakas luo suojatun yhteyden avaintenhallintapalveluun (KMS) ja pyytää sitten avainta viestin salaamista varten. Suojattu yhteys käyttää ECDH:ta, ja KMS salaa avaimen AES-256-pääavaimella.

  2. Viesti salataan ennen kuin se lähtee asiakkaalta. Asiakas lähettää sen indeksointipalveluun, joka luo salattuja hakuindeksejä sisällön myöhempien hakujen helpottamiseksi.

  3. Salattu viesti lähetetään vaatimustenmukaisuuden tarkistamista varten vaatimustenmukaisuuspalveluun.

  4. Salattu viesti tallennetaan tallennuskenttään.

Kun otat käyttöön hybriditietoturvan, siirrät tietoturvatoiminnot (KMS, indeksointi ja vaatimustenmukaisuus) toimitilakeskukseen. Muut Webexin muodostavat pilvipalvelut (kuten identiteetti ja sisällön tallennus) pysyvät Ciscon vastuulla.

Yhteistyö muiden organisaatioiden kanssa

Organisaatiosi käyttäjät saattavat käyttää Webex App -sovellusta säännöllisesti yhteistyöhön muiden organisaatioiden ulkopuolisten osallistujien kanssa. Kun joku käyttäjistäsi pyytää avainta tilaan, joka on organisaatiosi omistuksessa (koska sen on luonut joku käyttäjistäsi), KMS lähettää avaimen asiakkaalle ECDH-suojatun kanavan kautta. Kun tilan avain on kuitenkin toisen organisaation hallussa, KMS-järjestelmäsi reitittää pyynnön Webex-pilveen erillisen ECDH-kanavan kautta saadakseen avaimen asianmukaiselta KMS-järjestelmältä ja palauttaa avaimen sitten käyttäjälle alkuperäisen kanavan kautta.

Organisaatiossa A toimiva KMS-palvelu validoi yhteydet muiden organisaatioiden KMS-palveluihin x.509 PKI -varmenteiden avulla. Lisätietoja x.509-varmenteen luomisesta Multi-Tenant Hybrid Data Security -käyttöönoton yhteydessä on osoitteessa Prepare your Environment .

Hybriditietoturvan käyttöönottoa koskevat odotukset

Hybriditietoturvan käyttöönotto edellyttää merkittävää sitoutumista ja tietoisuutta riskeistä, joita salausavaimien omistamiseen liittyy.

Hybriditietoturvan käyttöönottamiseksi sinun on annettava seuraavat tiedot:

Jos Hybrid Data Securityn luomasi konfigurointi-ISO tai toimittamasi tietokanta katoaa kokonaan, avaimet menetetään. Avaimen menetys estää käyttäjiä purkamasta tilasisältöä ja muita Webex App -sovelluksen salattuja tietoja. Jos näin käy, voit rakentaa uuden käyttöönoton, mutta vain uusi sisältö on näkyvissä. Jotta vältät pääsyn menetyksen tietoihin, sinun on:

  • Hallitse tietokannan ja konfigurointi-ISO:n varmuuskopiointia ja palautusta.

  • Valmistaudu nopeaan palautukseen, jos tapahtuu katastrofi, kuten tietokannan levyn vikaantuminen tai tietokeskuksen katastrofi.

Avaimia ei voi siirtää takaisin pilvipalveluun HDS:n käyttöönoton jälkeen.

Korkean tason asennusprosessi

Tässä asiakirjassa käsitellään Multi-Tenant Hybrid Data Security -käyttöönoton asennusta ja hallintaa:

  • Hybrid Data Securityn perustaminen- Tähän sisältyy tarvittavan infrastruktuurin valmistelu ja Hybrid Data Security -ohjelmiston asentaminen, HDS-klusterin rakentaminen, vuokralaisorganisaatioiden lisääminen klusteriin ja niiden Customer Main Keys (CMK) -avaimien hallinta. Näin asiakasorganisaatioiden kaikki käyttäjät voivat käyttää Hybrid Data Security -klusteriasi tietoturvatoimintoihin.

    Asetus-, aktivointi- ja hallintavaiheita käsitellään yksityiskohtaisesti kolmessa seuraavassa luvussa.

  • Ylläpidä hybriditietoturvan käyttöönottoa- Webex-pilvi tarjoaa automaattisesti jatkuvia päivityksiä. Tietotekniikkaosastosi voi tarjota tason yksi tukea tälle käyttöönotolle ja ottaa tarvittaessa käyttöön Ciscon tuen. Voit käyttää näytön ilmoituksia ja määrittää sähköpostipohjaisia hälytyksiä Partner Hubissa.

  • Ymmärrä yleisiä hälytyksiä, vianmääritysvaiheita ja tunnettuja ongelmia-Jos Hybrid Data Securityn käyttöönotossa tai käytössä ilmenee ongelmia, tämän oppaan viimeinen luku ja Tunnetut ongelmat -liite voivat auttaa sinua ongelman määrittämisessä ja korjaamisessa.

Hybriditietoturvan käyttöönottomalli

Hybrid Data Security otetaan käyttöön yrityksen datakeskuksessa erillisissä virtuaalisissa isännöintiasemissa sijaitsevien solmujen klusterina. Solmut kommunikoivat Webex-pilven kanssa suojattujen websockettien ja suojatun HTTP:n kautta.

Asennusprosessin aikana annamme sinulle OVA-tiedoston, jonka avulla voit asentaa virtuaalilaitteen toimittamillesi VM-tietokoneille. HDS Setup Tool -työkalun avulla luot mukautetun klusterin kokoonpanon ISO-tiedoston, jonka asennat kuhunkin solmuun. Hybrid Data Security -klusteri käyttää toimittamaasi Syslogd-palvelinta ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. (Syslogd- ja tietokantayhteyden tiedot määritetään HDS Setup Tool -työkalussa.)

Hybriditietoturvan käyttöönottomalli

Klusterissa voi olla vähintään kaksi solmua. Suosittelemme vähintään kolmea klusteria kohti. Useiden solmujen käyttö varmistaa, että palvelu ei keskeydy ohjelmistopäivityksen tai muun huoltotoimen aikana. (Webex-pilvi päivittää vain yhden solmun kerrallaan.)

Kaikki klusterin solmut käyttävät samaa avaintietovarastoa ja kirjaavat toiminnan samaan syslog-palvelimeen. Itse solmut ovat tilattomia, ja ne käsittelevät avainpyyntöjä round-robin -periaatteella pilven ohjeiden mukaisesti.

Solmuista tulee aktiivisia, kun rekisteröit ne Partner Hubissa. Voit poistaa yksittäisen solmun käytöstä poistamalla sen rekisteristä ja rekisteröimällä sen myöhemmin uudelleen, jos se on tarpeen.

Valmiustietokeskus katastrofista toipumista varten

Käyttöönoton aikana perustat suojatun varakeskuspalvelinkeskuksen. Tietokeskuksen katastrofin sattuessa voit siirtää käyttöönoton manuaalisesti varakeskukseen.

Ennen viansiirtoa datakeskuksessa A on aktiivisia HDS-solmuja ja ensisijainen PostgreSQL- tai Microsoft SQL Server -tietokanta, kun taas datakeskuksessa B on kopio ISO-tiedostosta, jossa on lisäkonfiguraatioita, organisaatioon rekisteröityjä VM:iä ja vara-tietokanta. Viansiirron jälkeen datakeskuksessa B on aktiivisia HDS-solmuja ja ensisijainen tietokanta, kun taas datakeskuksessa A on rekisteröimättömiä VM:iä ja kopio ISO-tiedostosta, ja tietokanta on valmiustilassa.
Manuaalinen viansiirto valmiustietokeskukseen

Aktiivisen ja varalla olevan tietokeskuksen tietokannat ovat synkronoituina keskenään, mikä minimoi viansiirtoon kuluvan ajan.

Aktiivisten hybriditietoturvasolmujen on aina oltava samassa tietokeskuksessa kuin aktiivinen tietokantapalvelin.

Proxy-tuki

Hybrid Data Security tukee nimenomaisia, läpinäkyviä tarkastuksia ja tarkastamattomia välityspalvelimia. Voit liittää nämä välityspalvelimet käyttöönottoasi, jotta voit suojata ja valvoa liikennettä yrityksestä pilvipalveluun. Voit käyttää solmujen alustan hallintakäyttöliittymää varmenteiden hallintaan ja yhteyden yleisen tilan tarkistamiseen sen jälkeen, kun olet määrittänyt välityspalvelimen solmuihin.

Hybriditietoturvasolmut tukevat seuraavia välityspalvelinvaihtoehtoja:

  • Ei välityspalvelinta- Oletusarvo, jos et käytä HDS-solmun Trust Store & Proxy -määritystä välityspalvelimen integroimiseksi. Varmenteen päivitystä ei tarvita.

  • Läpinäkyvä ei-tarkastava välityspalvelin-solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen ei-tarkastavan välityspalvelimen kanssa. Varmenteen päivitystä ei tarvita.

  • Läpinäkyvä tunnelointi tai välityspalvelimen tarkastaminen-solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. Solmujen HTTP- tai HTTPS-konfiguraatioita ei tarvitse muuttaa. Solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne voivat luottaa välittäjään. Tietotekniikka käyttää tyypillisesti tarkastavia välityspalvelimia valvomaan käytäntöjä, jotka koskevat sitä, millä verkkosivustoilla voi vierailla ja minkä tyyppistä sisältöä ei saa käyttää. Tämäntyyppinen välityspalvelin purkaa kaiken liikennöintisi (jopa HTTPS).

  • Eksplisiittinen välityspalvelin- Eksplisiittisellä välityspalvelimella kerrot HDS-solmuille, mitä välityspalvelinta ja todennusjärjestelmää käytetään. Jos haluat määrittää nimenomaisen välityspalvelimen, sinun on annettava seuraavat tiedot kussakin solmussa:

    1. Proxy IP/FQDN-osoite, jolla välityskone voidaan tavoittaa.

    2. Välitysportti- Portin numero, jota välityspalvelin käyttää kuunnellakseen välitettyä liikennettä.

    3. Välityspalvelinprotokolla-Valikoima seuraavista protokollista riippuu siitä, mitä välityspalvelimesi tukee:

      • HTTP-näkökulma: Näkee ja valvoo kaikkia asiakkaan lähettämiä pyyntöjä.

      • HTTPS-Varaa kanavan palvelimelle. Asiakas vastaanottaa palvelimen varmenteen ja vahvistaa sen.

    4. Todennustyyppi-Valitse yksi seuraavista todennustyypeistä:

      • Ei ole- Muita todennuksia ei tarvita.

        Käytettävissä, jos valitset välityspalvelinprotokollaksi joko HTTP:n tai HTTPS:n.

      • Basic-Käytetään HTTP-käyttäjäagenttia antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.

        Käytettävissä, jos valitset välityspalvelinprotokollaksi joko HTTP:n tai HTTPS:n.

        Vaatii käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.

      • Digest-Käytetään tilin vahvistamiseen ennen arkaluontoisten tietojen lähettämistä. Soveltaa hash-funktiota käyttäjänimeen ja salasanaan ennen lähettämistä verkon yli.

        Käytettävissä vain, jos valitset välityspalvelinprotokollaksi HTTPS.

        Vaatii käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.

Esimerkki hybridi-tietoturvasolmuista ja välityspalvelimesta

Tässä kaaviossa on esimerkki Hybrid Data Securityn, verkon ja välityspalvelimen välisestä yhteydestä. Läpinäkyvä tarkastus ja HTTPS:n nimenomainen tarkastus -välityspalvelinvaihtoehdoissa sama juurivarmenne on asennettava välityspalvelimeen ja Hybrid Data Security -solmuun.

Estetty ulkoinen DNS-resoluutiotila (eksplisiittiset välityspalvelinkonfiguraatiot)

Kun rekisteröit solmun tai tarkistat solmun välityspalvelinkokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex -pilveen. Käyttöönotoissa, joissa on nimenomaiset välityspalvelinmääritykset, jotka eivät salli ulkoista DNS-resoluutiota sisäisille asiakkaille, jos solmu ei voi kysyä DNS-palvelimilta, se siirtyy automaattisesti estetty ulkoinen DNS-resoluutio -tilaan. Tässä tilassa solmun rekisteröinti ja muut välityspalvelimen yhteystestit voivat jatkua.

Ympäristön valmistelu

Monen käyttäjän hybriditietoturvaa koskevat vaatimukset

Cisco Webexin lisenssivaatimukset

Multi-Tenant Hybrid Data Securityn käyttöönotto:

  • Kumppanijärjestöt: Ota yhteyttä Cisco-kumppaniin tai tilipalvelun johtajaan ja varmista, että Multi-Tenant-ominaisuus on käytössä.

  • Vuokralaisjärjestöt: Sinulla on oltava Pro Pack for Cisco Webex Control Hub. (Katso https://www.cisco.com/go/pro-pack.)

Docker Desktop -vaatimukset

Ennen kuin asennat HDS-solmut, tarvitset Docker Desktopin asennusohjelman suorittamista varten. Docker päivitti hiljattain lisensointimalliaan. Organisaatiosi saattaa vaatia maksullisen Docker Desktop -tilauksen. Lisätietoja on Dockerin blogikirjoituksessa " Docker päivittää ja laajentaa tuotetilauksia".

X.509-varmenteen vaatimukset

Varmenteketjun on täytettävä seuraavat vaatimukset:

Taulukko 1. X.509-varmenteen vaatimukset hybriditietoturvan käyttöönottoa varten

Vaatimus

Tiedot

  • Luotettavan varmentajan (CA) allekirjoittama.

Oletusarvoisesti luotamme Mozillan luettelossa oleviin varmentajiin (lukuun ottamatta WoSignia ja StartComia) osoitteessa https://wiki.mozilla.org/CA:IncludedCAs.

  • Karhut Common Name (CN) -verkkotunnus, joka yksilöi hybriditietoturvan käyttöönoton

  • Ei ole jokerimerkkivarmenne

CN:n ei tarvitse olla tavoitettavissa eikä sen tarvitse olla elävä isäntä. Suosittelemme, että käytät organisaatiotasi kuvaavaa nimeä, esimerkiksi hds.company.com.

CN ei saa sisältää *-merkkiä (jokerimerkki).

CN:ää käytetään Hybrid Data Security -solmujen varmentamiseen Webex App -asiakkaille. Kaikki klusterin Hybrid Data Security -solmut käyttävät samaa varmentetta. KMS tunnistaa itsensä CN-toimialueen avulla, ei minkään x.509v3 SAN-kenttiin määritellyn toimialueen avulla.

Kun olet rekisteröinyt solmun tällä varmenteella, emme tue CN-verkkotunnuksen nimen muuttamista.

  • Muu kuin SHA1-allekirjoitus

KMS-ohjelmisto ei tue SHA1-allekirjoituksia yhteyksien vahvistamiseksi muiden organisaatioiden KMS-järjestelmiin.

  • Muotoiltu salasanalla suojatuksi PKCS #12-tiedostoksi.

  • Käytä ystävällistä nimeä kms-private-key merkitäksesi ladattavan varmenteen, yksityisen avaimen ja mahdolliset välivarmenteet.

Voit käyttää OpenSSL:n kaltaista muunninta varmenteen muodon muuttamiseen.

Sinun on annettava salasana, kun käynnistät HDS-asennustyökalun.

KMS-ohjelmisto ei noudata avaimen käyttöä tai laajennettua avaimen käyttöä koskevia rajoituksia. Jotkin varmentajat vaativat, että kuhunkin varmenteeseen sovelletaan laajennettuja avainkäyttörajoituksia, kuten palvelimen todennusta. Voit käyttää palvelimen todennusta tai muita asetuksia.

Virtuaalisen isännän vaatimukset

Virtuaalisilla isännöintiasemilla, jotka perustat hybridi-tietoturvasolmuiksi klusteriin, on seuraavat vaatimukset:

  • Vähintään kaksi erillistä isäntäkonetta (suositellaan kolmea), jotka sijaitsevat samassa suojatussa tietokeskuksessa.

  • VMware ESXi 7.0 (tai uudempi) asennettuna ja käynnissä.

    Sinun on päivitettävä, jos käytössäsi on aikaisempi ESXi-versio.

  • Vähintään 4 vCPU:ta, 8 Gt keskusmuistia, 30 Gt paikallista kiintolevytilaa palvelinta kohden.

Tietokantapalvelimen vaatimukset

Luo uusi tietokanta avainten tallennusta varten. Älä käytä oletustietokantaa. Kun HDS-sovellukset asennetaan, ne luovat tietokantakaavion.

Tietokantapalvelimessa on kaksi vaihtoehtoa. Vaatimukset ovat seuraavat:

Taulukko 2. Tietokantapalvelimen vaatimukset tietokantatyypeittäin

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14, 15 tai 16 asennettuna ja käynnissä.

  • SQL Server 2016, 2017, 2019 tai 2022 (Enterprise tai Standard) asennettuna.

    SQL Server 2016 vaatii Service Pack 2:n ja kumulatiivisen päivityksen 2 tai uudemman.

Vähintään 8 vCPU:ta, 16 Gt keskusmuistia, riittävästi kiintolevytilaa ja valvonta sen varmistamiseksi, että sitä ei ylitetä (suositellaan 2 TB, jos haluat käyttää tietokantaa pitkään ilman, että tallennustilaa tarvitsee lisätä).

Vähintään 8 vCPU:ta, 16 Gt keskusmuistia, riittävästi kiintolevytilaa ja valvonta sen varmistamiseksi, että sitä ei ylitetä (suositellaan 2 TB, jos haluat käyttää tietokantaa pitkään ilman, että tallennustilaa tarvitsee lisätä).

HDS-ohjelmisto asentaa tällä hetkellä seuraavat ajuriversiot yhteydenpitoa varten tietokantapalvelimen kanssa:

PostgreSQL

Microsoft SQL Server

Postgres JDBC -ajuri 42.2.5

SQL Server JDBC -ajuri 4.6

Tämä ajuriversio tukee SQL Server Always On -palvelinta ( Always On Failover Cluster Instances ja Always On -saatavuusryhmät).

Lisävaatimukset Windows-todennusta varten Microsoft SQL Serveriä vastaan

Jos haluat, että HDS-solmut käyttävät Windows-todennusta Microsoft SQL Serverin avainsäilytystietokantaan pääsemiseksi, tarvitset ympäristössäsi seuraavat asetukset:

  • HDS-solmut, Active Directory -infrastruktuuri ja MS SQL Server on synkronoitava NTP:n avulla.

  • HDS-solmujen käyttöön annetulla Windows-tilillä on oltava tietokannan luku/kirjoitusoikeus.

  • HDS-solmujen käyttöön antamiesi DNS-palvelimien on kyettävä ratkaisemaan KDC-keskuksesi (Key Distribution Center).

  • Voit rekisteröidä Microsoft SQL Serverin HDS-tietokantainstanssin palvelupääkäyttäjänimeksi (Service Principal Name, SPN) Active Directoryyn. Katso Rekisteröi palvelupääkäyttäjän nimi Kerberos-yhteyksiä varten.

    HDS-asennustyökalun, HDS-launcherin ja paikallisen KMS:n on käytettävä Windows-todennusta avainsäilytystietokannan käyttämiseen. Ne käyttävät ISO-konfiguraation tietoja SPN:n muodostamiseen, kun ne pyytävät pääsyä Kerberos-todennuksen avulla.

Ulkoiset liitäntävaatimukset

Määritä palomuuri sallimaan seuraavat HDS-sovellusten yhteydet:

Sovellus

Protokolla

Portti

Suunta sovelluksesta

Kohde

Hybriditietoturvasolmut

TCP

443

Lähtevä HTTPS ja WSS

  • Webex-palvelimet:

    • *.wbx2.com

    • *.ciscospark.com

  • Kaikki Common Identity -isännät

  • Muut URL-osoitteet, jotka on lueteltu hybriditietoturvan osalta osoitteessa Additional URLs for Webex Hybrid Services -taulukossa Webex-palvelujen verkkovaatimukset

HDS-asennustyökalu

TCP

443

Lähtevä HTTPS

  • *.wbx2.com

  • Kaikki Common Identity -isännät

  • hub.docker.com

Hybriditietoturvasolmut toimivat NAT:n (Network Access Translation) kanssa tai palomuurin takana, kunhan NAT tai palomuuri sallii vaaditut lähtevät yhteydet edellisessä taulukossa esitettyihin toimialueen kohteisiin. Hybriditietoturvasolmuihin saapuvien yhteyksien porttien ei pitäisi näkyä internetistä. Tietokeskuksessasi asiakkaat tarvitsevat hallinnollisia tarkoituksia varten pääsyn hybriditietoturvasolmujen TCP-portteihin 443 ja 22.

Yhteisen identiteetin (CI) isäntien URL-osoitteet ovat aluekohtaisia. Nämä ovat nykyiset CI-isännät:

Alue

Yleiset identiteetin isäntä-URL-osoitteet

Americas

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Euroopan unioni

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Arabiemiirikunnat

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Välityspalvelimen vaatimukset

  • Tuemme virallisesti seuraavia välityspalvelinratkaisuja, jotka voidaan integroida hybriditietoturvasolmujen kanssa.

    • Läpinäkyvä välityspalvelin-Cisco Web Security Appliance (WSA).

    • Eksplisiittinen proxy-Squid.

      HTTPS-liikennettä tarkastavat Squid-välityspalvelimet voivat häiritä websocket (wss:) -yhteyksien muodostamista. Voit kiertää tämän ongelman osoitteessa Configure Squid Proxies for Hybrid Data Security.

  • Tuemme seuraavia todennustyyppiyhdistelmiä nimenomaisille välityspalvelimille:

    • Ei todennusta HTTP:llä tai HTTPS:llä

    • Perustodennus HTTP:llä tai HTTPS:llä

    • Digest-todennus vain HTTPS:n kanssa

  • Läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-selkeän välityspalvelimen osalta sinulla on oltava kopio välityspalvelimen juurivarmenteesta. Tämän oppaan käyttöönotto-ohjeissa kerrotaan, miten kopio ladataan hybriditietoturvasolmujen luotettavuusvarastoihin.

  • HDS-solmuja isännöivä verkko on määritettävä siten, että portista 443 lähtevä TCP-liikenne reititetään välityspalvelimen kautta.

  • Verkkoliikennettä tarkastavat välityspalvelimet voivat häiritä verkkoliikenneyhteyksiä. Jos tämä ongelma ilmenee, ongelman voi ratkaista ohittamalla (tarkastamatta) liikenteen osoitteisiin wbx2.com ja ciscospark.com .

Täytä hybridi-tietoturvan edellytykset.

Varmista tämän tarkistuslistan avulla, että olet valmis asentamaan ja määrittämään Hybrid Data Security -klusterin.
1

Varmista, että kumppaniorganisaatiossasi on Multi-Tenant HDS -ominaisuus käytössä, ja hanki tilitiedot tilille, jolla on kumppanin täysi järjestelmänvalvojan ja järjestelmänvalvojan oikeudet. Varmista, että Webex-asiakasorganisaatiossasi on käytössä Pro Pack for Cisco Webex Control Hub. Ota yhteyttä Cisco-kumppaniin tai asiakaspäällikköön saadaksesi apua tässä prosessissa.

Asiakasorganisaatioilla ei saa olla olemassa olevaa HDS-käyttöönottoa.

2

Valitse toimialueen nimi HDS-käyttöönotollesi (esimerkiksi hds.company.com) ja hanki varmenne-ketju, joka sisältää X.509-varmenteen, yksityisen avaimen ja mahdolliset välivarmenteet. Varmenteiden ketjun on täytettävä vaatimukset, jotka on esitetty osoitteessa X.509 Certificate Requirements.

3

Valmistele identtiset virtuaaliset isännät, jotka perustat hybridi-tietoturvasolmuiksi klusteriin. Tarvitset vähintään kaksi erillistä isäntäkonetta (suositellaan kolmea), jotka sijaitsevat samassa suojatussa datakeskuksessa ja jotka täyttävät vaatimukset, jotka on esitetty osoitteessa Virtual Host Requirements.

4

Valmistele tietokantapalvelin, joka toimii klusterin keskeisenä tietovarastona, Tietokantapalvelimen vaatimukset mukaisesti. Tietokantapalvelin on sijoitettava samaan turvalliseen datakeskukseen virtuaalisten isäntien kanssa.

  1. Luo tietokanta avainten tallentamista varten. (Sinun on luotava tämä tietokanta - älä käytä oletustietokantaa.) Kun HDS-sovellukset asennetaan, ne luovat tietokantakaavion.).

  2. Kerää tiedot, joita solmut käyttävät kommunikoidessaan tietokantapalvelimen kanssa:

    • isännän nimi tai IP-osoite (host) ja portti.

    • tietokannan nimi (dbname), johon avaimet tallennetaan.

    • sen käyttäjän käyttäjätunnus ja salasana, jolla on kaikki oikeudet avainten tallennustietokantaan.

5

Jos haluat nopean palautumisen katastrofista, voit perustaa varmuuskopioympäristön toiseen datakeskukseen. Varmuuskopiointiympäristö peilaa tuotantoympäristöä, joka koostuu VM:istä ja varmuuskopioidusta tietokantapalvelimesta. Jos esimerkiksi tuotannossa on 3 VM:ää, joilla on HDS-solmuja, varmuuskopiointiympäristössä pitäisi olla 3 VM:ää.

6

Määritä syslog-isäntä keräämään lokit klusterin solmuista. Kerää sen verkko-osoite ja syslog-portti (oletusarvo on UDP 514).

7

Luo turvallinen varmuuskopiointikäytäntö hybriditietoturvasolmuja, tietokantapalvelinta ja syslog-isäntää varten. Jos haluat estää tietojen menetyksen, jota ei voida palauttaa, sinun on varmuuskopioitava ainakin tietokanta ja hybridi-tietoturvasolmuja varten luotu määritys-ISO-tiedosto.

Koska hybriditietoturvasolmut tallentavat sisällön salauksessa ja salauksen purkamisessa käytettävät avaimet, toimivan käyttöönoton laiminlyönti johtaa UNRECOVERABLE LOSS kyseisen sisällön menetykseen.

Webex App -asiakkaat tallentavat avaimet välimuistiin, joten katkos ei välttämättä näy heti, mutta se näkyy ajan myötä. Tilapäisiä katkoksia on mahdotonta estää, mutta ne ovat palautettavissa. Jos tietokanta tai konfigurointi-ISO-tiedosto kuitenkin menetetään kokonaan (varmuuskopioita ei ole saatavilla), asiakastietoja ei voida palauttaa. Hybriditietoturvasolmujen ylläpitäjien odotetaan ylläpitävän usein varmuuskopioita tietokannasta ja konfigurointi-ISO-tiedostosta ja olevan valmiita rakentamaan hybriditietoturvatietokeskuksen uudelleen, jos tapahtuu katastrofaalinen vika.

8

Varmista, että palomuurin kokoonpano sallii Hybrid Data Security -solmujen yhteyden Ulkoisen yhteyden vaatimukset mukaisesti.

9

Asenna Docker ( https://www.docker.com) mihin tahansa paikalliseen koneeseen, jossa on tuettu käyttöjärjestelmä (Microsoft Windows 10 Professional tai Enterprise 64-bittinen tai Mac OSX Yosemite 10.10.3 tai uudempi), jossa on verkkoselain, joka voi käyttää sitä osoitteessa http://127.0.0.1:8080.

Docker-instanssin avulla lataat ja suoritat HDS Setup Tool -työkalun, joka luo paikalliset määritystiedot kaikille Hybrid Data Security -solmuille. Saatat tarvita Docker Desktop -lisenssin. Katso lisätietoja osoitteesta Docker Desktop -vaatimukset .

Jotta HDS Setup Tool voidaan asentaa ja käyttää, paikallisella koneella on oltava osoitteessa External connectivity requirements esitetyt liitettävyysvaatimukset.

10

Jos integroit välityspalvelimen Hybrid Data Securityyn, varmista, että se täyttää Proxy Server Requirements-vaatimukset.

Hybriditietoturvaklusterin perustaminen

Hybriditietoturvan käyttöönoton tehtävävirta

Ennen kuin aloitat

1

Suorita alkuasetukset ja lataa asennustiedostot

Lataa OVA-tiedosto paikalliselle koneellesi myöhempää käyttöä varten.

2

Luo konfigurointi-ISO HDS-isäntäkoneille.

Käytä HDS Setup Tool -työkalua luodaksesi ISO-kokoonpanotiedoston Hybrid Data Security -solmuja varten.

3

Asenna HDS Host OVA

Luo virtuaalikone OVA-tiedostosta ja suorita alkumääritykset, kuten verkkoasetukset.

Mahdollisuus määrittää verkkoasetukset OVA-käyttöönoton aikana on testattu ESXi 7.0:lla. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

4

Hybriditietoturva VM:n määrittäminen

Kirjaudu VM-konsoliin ja määritä kirjautumistiedot. Määritä solmun verkkoasetukset, jos et määrittänyt niitä OVA-käyttöönoton yhteydessä.

5

Lataa ja asenna HDS-konfiguraatio-ISO-tiedosto.

Määritä VM HDS Setup Tool -työkalulla luodusta ISO-kokoonpanotiedostosta.

6

HDS-solmun määrittäminen välityspalvelimen integrointia varten

Jos verkkoympäristö edellyttää välityspalvelinkonfiguraatiota, määritä solmun käyttämä välityspalvelintyyppi ja lisää tarvittaessa välityspalvelinvarmenne luottamussäilöön.

7

Rekisteröi klusterin ensimmäinen solmu

Rekisteröi VM Cisco Webex -pilvipalveluun Hybrid Data Security -solmuksi.

8

Luo ja rekisteröi lisää solmuja

Viimeistele klusterin asennus.

9

Aktivoi Multi-Tenant HDS Partner Hubissa.

Aktivoi HDS ja hallinnoi vuokralaisorganisaatioita Partner Hubissa.

Suorita alkuasetukset ja lataa asennustiedostot

Tässä tehtävässä lataat OVA-tiedoston koneellesi (ei palvelimille, jotka olet määrittänyt hybridi-tietoturvasolmuiksi). Käytät tätä tiedostoa myöhemmin asennusprosessissa.

1

Kirjaudu sisään Partner Hubiin ja valitse sitten Palvelut.

2

Etsi Pilvipalvelut-osiosta Hybrid Data Security -kortti ja valitse sitten Määritä.

Käyttöönottoprosessin kannalta on tärkeää, että napsautat Partner Hubissa Set up . Älä jatka asennusta suorittamatta tätä vaihetta.

3

Napsauta Lisää resurssi ja napsauta Lataa .OVA-tiedosto Asenna ja määritä ohjelmisto -kortilla.

Ohjelmistopaketin vanhemmat versiot (OVA) eivät ole yhteensopivia uusimpien Hybrid Data Security -päivitysten kanssa. Tämä voi aiheuttaa ongelmia sovelluksen päivittämisen aikana. Varmista, että lataat OVA-tiedoston uusimman version.

Voit myös ladata OVA:n milloin tahansa osoitteesta Help . Napsauta Asetukset > Ohje > Lataa Hybrid Data Security -ohjelmisto.

OVA-tiedoston lataaminen alkaa automaattisesti. Tallenna tiedosto johonkin paikkaan koneellasi.
4

Voit myös tarkistaa, onko tästä oppaasta saatavilla uudempi versio, valitsemalla Katso hybriditietoturvan käyttöönotto-opas .

Luo konfigurointi-ISO HDS-isäntäkoneille.

Hybrid Data Security -asennusprosessi luo ISO-tiedoston. Tämän jälkeen voit määrittää Hybrid Data Security -isäntäsovelluksen ISO-version avulla.

Ennen kuin aloitat
1

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

2

Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti:

docker login -u hdscustomersro
3

Kirjoita salasanakehotteeseen tämä hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Lataa uusin vakaa imago ympäristöllesi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:

  • Tavallisissa ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • FedRAMP-ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080".

6

Setup-työkalu ei tue yhteyden muodostamista localhostiin http://localhost:8080 kautta. Käytä http://127.0.0.1:8080 muodostaaksesi yhteyden localhostiin.

Siirry verkkoselaimella osoitteeseen localhost, http://127.0.0.1:8080, ja kirjoita kehotteeseen Partner Hubin admin-käyttäjätunnus.

Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää asettaakseen oikean ympäristön kyseiselle tilille. Tämän jälkeen työkalu näyttää tavallisen kirjautumiskehotteen.

7

Anna pyydettäessä Partner Hubin ylläpitäjän kirjautumistiedot ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn hybriditietoturvan edellyttämiin palveluihin.

8

Napsauta Setup Tool -katsaussivulla Get Started.

9

ISO Import -sivulla on seuraavat vaihtoehdot:

  • Ei- Jos luot ensimmäistä HDS-solmua, sinulla ei ole ISO-tiedostoa ladattavaksi.
  • Kyllä- Jos olet jo luonut HDS-solmuja, valitse ISO-tiedosto selaimesta ja lataa se.
10

Tarkista, että X.509-varmenne täyttää osoitteessa X.509-varmenteen vaatimukset esitetyt vaatimukset.

  • Jos et ole aiemmin ladannut varmenteita, lataa X.509-varmenne, syötä salasana ja napsauta Jatka.
  • Jos varmenne on OK, valitse Jatka.
  • Jos varmenteesi on vanhentunut tai haluat korvata sen, valitse Ei varten Jatka edellisen ISO:n HDS-varmenteiden ketjun ja yksityisen avaimen käyttöä?. Lataa uusi X.509-varmenne, syötä salasana ja napsauta Jatka.
11

Anna tietokantaosoite ja tili, jonka avulla HDS voi käyttää avaintietovarastoa:

  1. Valitse Tietokantatyyppi (PostgreSQL tai Microsoft SQL Server).

    Jos valitset Microsoft SQL Server, saat Authentication Type -kentän.

  2. (Vain Microsoft SQL Server ) Valitse Todennustyyppi:

    • Perustodennus: Tarvitset paikallisen SQL Server -tilin nimen Käyttäjänimi -kenttään.

    • Windows-todennus: Tarvitset Windows-tilin muodossa username@DOMAIN kenttään Username .

  3. Kirjoita tietokantapalvelimen osoite muodossa : tai :.

    Esimerkki:
    dbhost.example.org:1433 tai 198.51.100.17:1433

    Voit käyttää IP-osoitetta perustodennukseen, jos solmut eivät voi käyttää DNS:ää isäntänimen ratkaisemiseen.

    Jos käytät Windows-tunnistautumista, sinun on annettava täyteen määritetty verkkotunnus muodossa dbhost.example.org:1433.

  4. Kirjoita tietokannan nimi.

  5. Kirjoita Käyttäjätunnus ja Salasana käyttäjälle, jolla on kaikki oikeudet avaintallennustietokantaan.

12

Valitse TLS-tietokantayhteystapa:

Tila

Kuvaus

Prefer TLS (oletusasetus)

HDS-solmut eivät vaadi TLS-yhteyttä tietokantapalvelimeen. Jos otat TLS:n käyttöön tietokantapalvelimessa, solmut yrittävät muodostaa salatun yhteyden.

Vaadi TLS

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

Vaadi TLS ja tarkista varmenteen allekirjoittaja

Tätä tilaa ei voi käyttää SQL Server -tietokantoihin.

  • HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

  • TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa tietokannan juurivarmenteessa olevaan varmentajaan. Jos ne eivät täsmää, solmu katkaisee yhteyden.

Lataa tätä vaihtoehtoa varten tarvittava juurivarmenne Database root certificate -pudotusvalikon alapuolella olevalla ohjaimella.

Vaadi TLS ja tarkista varmenteen allekirjoittaja ja isäntänimi.

  • HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

  • TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa tietokannan juurivarmenteessa olevaan varmentajaan. Jos ne eivät täsmää, solmu katkaisee yhteyden.

  • Solmut tarkistavat myös, että palvelinvarmenteessa oleva isäntänimi vastaa tietokannan isäntä ja portti -kentässä olevaa isäntänimeä. Nimien on täsmälleen täsmättävä, tai solmu katkaisee yhteyden.

Lataa tätä vaihtoehtoa varten tarvittava juurivarmenne Database root certificate -pudotusvalikon alapuolella olevalla ohjaimella.

Kun lataat juurivarmenteen (tarvittaessa) ja napsautat Jatka, HDS Setup Tool testaa TLS-yhteyden tietokantapalvelimeen. Työkalu tarkistaa tarvittaessa myös varmenteen allekirjoittajan ja isäntänimen. Jos testi epäonnistuu, työkalu näyttää virheilmoituksen, jossa kuvataan ongelma. Voit valita, jätätkö virheen huomiotta ja jatkatko asennusta. (Yhteyseroista johtuen HDS-solmut saattavat pystyä muodostamaan TLS-yhteyden, vaikka HDS Setup Tool -kone ei pystyisi onnistuneesti testaamaan sitä.)

13

Määritä Syslogd-palvelin Järjestelmälokit-sivulla:

  1. Kirjoita syslog-palvelimen URL-osoite.

    Jos palvelin ei ole DNS-ratkaisukelpoinen HDS-klusterin solmuista, käytä URL-osoitteessa IP-osoitetta.

    Esimerkki:
    udp://10.92.43.23:514 osoittaa kirjautumisen Syslogd-isäntään 10.92.43.23 UDP-porttiin 514.

  2. Jos olet määrittänyt palvelimesi käyttämään TLS-salausta, tarkista Onko syslog-palvelimesi määritetty SSL-salausta varten?.

    Jos valitset tämän valintaruudun, varmista, että annat TCP-osoitteen, kuten tcp://10.92.43.23:514.

  3. Valitse ISO-tiedostolle sopiva asetus Choose syslog record termination -pudotusvalikosta: Valitse tai Newline käytetään Graylog- ja Rsyslog TCP -palveluissa.

    • Nollatavu -- \x00

    • Newline -- \n-Valitse tämä valinta Graylog- ja Rsyslog TCP -palveluille.

  4. Napsauta Jatka.

14

(Valinnainen) Voit muuttaa joidenkin tietokantayhteysparametrien oletusarvoa osoitteessa Lisäasetukset. Yleensä tämä parametri on ainoa, jota kannattaa muuttaa:

app_datasource_connection_pool_maxKoko: 10
15

Napsauta Jatka Reset Service Accounts Password -näytössä.

Palvelutilien salasanojen käyttöikä on yhdeksän kuukautta. Käytä tätä näyttöä, kun salasanasi ovat umpeutumassa tai haluat nollata ne aiempien ISO-tiedostojen mitätöimiseksi.

16

Klikkaa Lataa ISO-tiedosto. Tallenna tiedosto paikkaan, josta se on helppo löytää.

17

Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmään.

Pidä varmuuskopio turvassa. Tämä tiedosto sisältää tietokannan sisällön pääsalausavaimen. Rajoita käyttöoikeus vain niille Hybrid Data Securityn järjestelmänvalvojille, joiden pitäisi tehdä määritysmuutoksia.

18

Voit sammuttaa Setup-työkalun kirjoittamalla CTRL+C.

Mitä tehdä seuraavaksi

Varmuuskopioi konfigurointi-ISO-tiedosto. Tarvitset sitä luodaksesi lisää solmuja toipumista varten tai tehdessäsi kokoonpanomuutoksia. Jos menetät kaikki ISO-tiedoston kopiot, menetät myös pääavaimen. Avainten palauttaminen PostgreSQL- tai Microsoft SQL Server -tietokannasta ei ole mahdollista.

Meillä ei ole koskaan kopiota tästä avaimesta, emmekä voi auttaa, jos kadotat sen.

Asenna HDS Host OVA

Luo virtuaalikone OVA-tiedostosta tämän menettelyn avulla.
1

Kirjaudu ESXi-virtuaali-isäntäkoneeseen VMware vSphere -asiakasohjelman avulla.

2

Valitse File > Deploy OVF Template.

3

Määritä ohjatussa toiminnossa aiemmin lataamasi OVA-tiedoston sijainti ja napsauta sitten Next.

4

Kirjoita Valitse nimi ja kansio -sivulla Virtuaalikoneen nimi solmulle (esimerkiksi "HDS_Node_1"), valitse sijainti, jossa virtuaalikoneen solmun käyttöönotto voi sijaita, ja napsauta sitten Seuraava.

5

Valitse Valitse laskentaresurssi -sivulla kohdelaskentaresurssi ja napsauta sitten Seuraava.

Validointitarkistus suoritetaan. Kun se on valmis, mallin tiedot tulevat näkyviin.

6

Tarkista mallin tiedot ja napsauta sitten Next.

7

Jos sinua pyydetään valitsemaan resurssikokoonpano sivulla Configuration , valitse 4 CPU ja valitse sitten Next.

8

Valitse Valitse tallennustila -sivulla Seuraava hyväksyäksesi oletusarvoisen levymuodon ja VM-tallennuskäytännön.

9

Valitse Valitse verkot -sivulla verkkovaihtoehto luettelosta, joka tarjoaa VM:lle halutun yhteyden.

10

Määritä seuraavat verkkoasetukset sivulla Customize template :

  • Isäntänimi- Kirjoita solmun FQDN (isäntänimi ja toimialue) tai yksisanainen isäntänimi.

    • Verkkotunnuksen ei tarvitse vastata verkkotunnusta, jota käytit X.509-varmenteen hankkimiseen.

    • Jotta rekisteröinti pilvipalveluun onnistuisi, käytä solmulle asettamassasi FQDN- tai isäntänimessä vain pieniä kirjaimia. Suuraakkosia ei tällä hetkellä tueta.

    • FQDN-nimen kokonaispituus saa olla enintään 64 merkkiä.

  • IP-osoite- Syötä solmun sisäisen liitännän IP-osoite.

    Solmulla pitäisi olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.

  • Mask- Syötä aliverkon peiteosoite pistemääräisenä. Esimerkiksi 255.255.255.255.0.
  • Yhdyskäytävä-Kirjoita yhdyskäytävän IP-osoite. Yhdyskäytävä on verkon solmu, joka toimii yhteyspisteenä toiseen verkkoon.
  • DNS-palvelimet-Kirjoita pilkulla erotettu luettelo DNS-palvelimista, jotka huolehtivat verkkotunnusten muuntamisesta numeerisiksi IP-osoitteiksi. (Enintään 4 DNS-merkintää on sallittu.)
  • NTP-palvelimet-Kirjoita organisaatiosi NTP-palvelin tai muu organisaatiossasi käytettävä ulkoinen NTP-palvelin. Oletusarvoiset NTP-palvelimet eivät välttämättä toimi kaikissa yrityksissä. Voit myös käyttää pilkulla erotettua luetteloa useiden NTP-palvelimien syöttämiseen.

  • Aseta kaikki solmut samaan aliverkkoon tai VLAN:iin, jotta kaikki klusterin solmut ovat tavoitettavissa verkon asiakkaista hallinnollisia tarkoituksia varten.

Voit halutessasi ohittaa verkkoasetusten määrityksen ja määrittää asetukset solmun konsolissa kohdan Hybriditietoturva-VM:n määrittäminen ohjeiden mukaisesti.

Mahdollisuus määrittää verkkoasetukset OVA-käyttöönoton aikana on testattu ESXi 7.0:lla. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

11

Napsauta hiiren kakkospainikkeella solmun VM:ää ja valitse sitten Power > Power On.

Hybrid Data Security -ohjelmisto asennetaan vieraana VM-isäntään. Olet nyt valmis kirjautumaan konsoliin ja määrittämään solmun.

Vianmääritysvinkkejä

Saattaa esiintyä muutaman minuutin viive, ennen kuin solmupisteiden säiliöt tulevat esiin. Konsolissa näkyy siltapalomuuriviesti ensimmäisen käynnistyksen aikana, jolloin et voi kirjautua sisään.

Hybriditietoturva VM:n määrittäminen

Tällä menettelyllä voit kirjautua Hybrid Data Security -solmun VM-konsoliin ensimmäistä kertaa ja määrittää kirjautumistiedot. Voit myös määrittää solmun verkkoasetukset konsolin avulla, jos et määrittänyt niitä OVA-käyttöönoton yhteydessä.

1

Valitse VMware vSphere -asiakasohjelmassa Hybrid Data Security -solmun VM ja valitse Console -välilehti.

VM käynnistyy ja näyttöön tulee kirjautumiskehote. Jos kirjautumiskehote ei tule näkyviin, paina Enter.
2

Kirjaudu sisään ja vaihda tunnistetiedot seuraavilla oletustunnuksilla: käyttäjätunnus ja salasana:

  1. Kirjaudu sisään: admin

  2. Salasana: cisco

Koska kirjaudut VM:ään ensimmäistä kertaa, sinun on vaihdettava järjestelmänvalvojan salasana.

3

Jos olet jo määrittänyt verkkoasetukset kohdassa Install the HDS Host OVA, ohita tämän ohjeen loppuosa. Muussa tapauksessa valitse päävalikosta Edit Configuration .

4

Määritä staattinen konfiguraatio, jossa on IP-osoite, maski, yhdyskäytävä ja DNS-tiedot. Solmulla pitäisi olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.

5

(Valinnainen) Muuta isäntänimeä, toimialuetta tai NTP-palvelinta (-palvelimia) tarvittaessa verkkokäytäntösi mukaiseksi.

Verkkotunnuksen ei tarvitse vastata verkkotunnusta, jota käytit X.509-varmenteen hankkimiseen.

6

Tallenna verkkokokoonpano ja käynnistä VM uudelleen, jotta muutokset tulevat voimaan.

Lataa ja asenna HDS-konfiguraatio-ISO-tiedosto.

Määritä virtuaalikone HDS Setup Tool -työkalulla luodusta ISO-tiedostosta tämän menettelyn avulla.

Ennen kuin aloitat

Koska ISO-tiedostossa on pääavain, se tulisi paljastaa vain, jos se on tarpeen, jotta hybriditietoturva-VM:t ja mahdolliset järjestelmänvalvojat, jotka saattavat joutua tekemään muutoksia, pääsevät siihen käsiksi. Varmista, että vain kyseiset järjestelmänvalvojat voivat käyttää tietovarastoa.

1

Lataa ISO-tiedosto tietokoneeltasi:

  1. Napsauta VMware vSphere -asiakasohjelman vasemmassa navigointipaneelissa ESXi-palvelinta.

  2. Valitse Configuration-välilehden Hardware (Laitteisto) -luettelosta Storage (Tallennus).

  3. Napsauta Datastores-luettelossa hiiren kakkospainikkeella VM-tietovarastoa ja valitse Browse Datastore.

  4. Napsauta Upload Files -kuvaketta ja valitse sitten Upload File.

  5. Siirry paikkaan, josta latasit ISO-tiedoston tietokoneellesi, ja napsauta Avaa.

  6. Hyväksy lataus/download-toiminnon varoitus napsauttamalla Yes ja sulje tietovarasto-valintaikkuna.

2

Kiinnitä ISO-tiedosto:

  1. Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia.

  2. Hyväksy rajoitettujen muokkausasetusten varoitus napsauttamalla OK .

  3. Napsauta CD/DVD-asema 1, valitse vaihtoehto mount from a datastore ISO file ja selaa paikkaan, johon latasit kokoonpanon ISO-tiedoston.

  4. Tarkista Kytketty ja Kytke virta päälle.

  5. Tallenna muutokset ja käynnistä virtuaalikone uudelleen.

Mitä tehdä seuraavaksi

Jos tietotekniikkakäytäntösi edellyttää, voit vaihtoehtoisesti poistaa ISO-tiedoston liittämisen sen jälkeen, kun kaikki solmut ovat ottaneet käyttöön määritysmuutokset. Katso lisätietoja osoitteesta (Valinnainen) Unmount ISO After HDS Configuration .

HDS-solmun määrittäminen välityspalvelimen integrointia varten

Jos verkkoympäristö edellyttää välityspalvelinta, määritä tällä tavalla, minkä tyyppinen välityspalvelin haluat integroida Hybrid Data Securityyn. Jos valitset läpinäkyvän tarkastavan välityspalvelimen tai nimenomaisen HTTPS-välityspalvelimen, voit ladata ja asentaa juurivarmenteen solmun käyttöliittymän avulla. Voit myös tarkistaa välityspalvelinyhteyden käyttöliittymästä ja korjata mahdollisia ongelmia.

Ennen kuin aloitat

1

Kirjoita HDS-solmun asetusten URL-osoite https://[HDS-solmun IP- tai FQDN]/setup verkkoselaimessa, syötä solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.

2

Siirry osoitteeseen Trust Store & Proxy ja valitse sitten vaihtoehto:

  • Ei välityspalvelinta- Oletusvaihtoehto ennen välityspalvelimen integroimista. Varmenteen päivitystä ei tarvita.
  • Läpinäkyvä ei-tarkastava välityspalvelin-Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen ei-tarkastavan välityspalvelimen kanssa. Varmenteen päivitystä ei tarvita.
  • Läpinäkyvä välityspalvelimen tarkastaminen-Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. Hybrid Data Security -käyttöönotossa ei tarvita HTTPS-konfiguraatiomuutoksia, mutta HDS-solmut tarvitsevat juurivarmenteen, jotta ne luottavat välityspalvelimeen. Tietotekniikka käyttää tyypillisesti tarkastavia välityspalvelimia valvomaan käytäntöjä, jotka koskevat sitä, millä verkkosivustoilla voi vierailla ja minkä tyyppistä sisältöä ei saa käyttää. Tämäntyyppinen välityspalvelin purkaa kaiken liikennöintisi (jopa HTTPS).
  • Explicit Proxy-Explisiittisellä välityspalvelimella kerrot asiakkaalle (HDS-solmut), mitä välityspalvelinta käyttää, ja tämä vaihtoehto tukee useita todennustyyppejä. Kun olet valinnut tämän vaihtoehdon, sinun on annettava seuraavat tiedot:

    1. Proxy IP/FQDN-osoite, jolla välityskone voidaan tavoittaa.

    2. Välitysportti- Portin numero, jota välityspalvelin käyttää kuunnellakseen välitettyä liikennettä.

    3. Proxy Protocol-Valitse http (tarkastelee ja valvoo kaikkia asiakkaalta vastaanotettuja pyyntöjä) tai https (tarjoaa kanavan palvelimelle ja asiakas vastaanottaa ja vahvistaa palvelimen varmenteen). Valitse vaihtoehto sen mukaan, mitä välityspalvelimesi tukee.

    4. Todennustyyppi-Valitse yksi seuraavista todennustyypeistä:

      • Ei ole- Muita todennuksia ei tarvita.

        Käytettävissä HTTP- tai HTTPS-välityspalvelimille.

      • Basic-Käytetään HTTP-käyttäjäagenttia antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.

        Käytettävissä HTTP- tai HTTPS-välityspalvelimille.

        Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjänimi ja salasana.

      • Digest-Käytetään tilin vahvistamiseen ennen arkaluontoisten tietojen lähettämistä. Soveltaa hash-funktiota käyttäjänimeen ja salasanaan ennen lähettämistä verkon yli.

        Käytettävissä vain HTTPS-välityspalvelimille.

        Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjänimi ja salasana.

Noudata seuraavia vaiheita, kun kyseessä on läpinäkyvä tarkastava välityspalvelin, HTTP-selkeä välityspalvelin, jossa on perustodennus, tai HTTPS-selkeä välityspalvelin.

3

Napsauta Upload a Root Certificate or End Entity Certificate ja siirry sitten valitsemaan välityspalvelimen juurivarmenne.

Varmenne on ladattu, mutta sitä ei ole vielä asennettu, koska solmun on käynnistettävä uudelleen varmenteen asentamiseksi. Saat lisätietoja napsauttamalla varmenteen myöntäjän nimen vieressä olevaa nuolta tai napsauttamalla Poista , jos teit virheen ja haluat ladata tiedoston uudelleen.

4

Testaa solmun ja välityspalvelimen välinen verkkoyhteys napsauttamalla Check Proxy Connection .

Jos yhteystesti epäonnistuu, näyttöön tulee virheilmoitus, jossa kerrotaan syy ja miten voit korjata ongelman.

Jos näet viestin, jonka mukaan ulkoinen DNS-resoluutio ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen. Tämä ehto on odotettavissa monissa eksplisiittisissä välityspalvelinkokoonpanoissa. Voit jatkaa asetusten määrittämistä, ja solmu toimii Estetty ulkoinen DNS-resoluutio -tilassa. Jos luulet, että kyseessä on virhe, suorita nämä vaiheet ja katso sitten Ota estetty ulkoinen DNS-resoluutiotila pois käytöstä.

5

Kun yhteystesti on läpäisty, jos vain https:n välityspalvelimeksi on asetettu explicit proxy, kytke päälle . Reititä kaikki porttien 443/444 https-pyynnöt tästä solmusta explicit proxyn kautta. Tämä asetus vaatii 15 sekuntia tullakseen voimaan.

6

Napsauta Asenna kaikki varmenteet luottamussäilöön (tulee näkyviin, jos kyseessä on HTTPS-selkeän välityspalvelimen tai läpinäkyvän tarkastavan välityspalvelimen käyttö) tai Käynnistä uudelleen (tulee näkyviin, jos kyseessä on HTTP-selkeän välityspalvelimen käyttö), lue kehote ja napsauta sitten Asenna , jos olet valmis.

Solmu käynnistyy uudelleen muutamassa minuutissa.

7

Kun solmu on käynnistetty uudelleen, kirjaudu tarvittaessa uudelleen sisään ja avaa sitten Overview -sivu tarkistaaksesi yhteystarkastukset ja varmistaaksesi, että ne ovat kaikki vihreässä tilassa.

Välityspalvelinyhteyden tarkistus testaa vain webex.com-sivuston aliverkkotunnuksen. Jos yhteysongelmia ilmenee, yleinen ongelma on, että jotkin asennusohjeissa luetelluista pilvialueen verkkotunnuksista on estetty välityspalvelimessa.

Rekisteröi klusterin ensimmäinen solmu

Tässä tehtävässä otetaan yleinen solmu, jonka loit kohdassa Hybriditietoturvan VM:n määrittäminen, rekisteröidään solmu Webex-pilveen ja muutetaan se Hybriditietoturvan solmuksi.

Kun rekisteröit ensimmäisen solmun, luot klusterin, johon solmu liitetään. Klusteri sisältää yhden tai useamman solmun, jotka on sijoitettu tarjoamaan redundanssia.

Ennen kuin aloitat

  • Kun aloitat solmun rekisteröinnin, sinun on saatettava se päätökseen 60 minuutin kuluessa tai sinun on aloitettava alusta.

  • Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen admin.webex.com-sivustolle.

1

Kirjaudu sisään osoitteessa https://admin.webex.com.

2

Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

3

Etsi Cloud Services -osiosta Hybrid Data Security -kortti ja napsauta Set up.

4

Valitse avautuvalla sivulla Add a resource.

5

Kirjoita kortin Add a node ensimmäiseen kenttään nimi klusterille, johon haluat määrittää Hybrid Data Security -solmun.

Suosittelemme, että nimeät klusterin sen mukaan, missä klusterin solmut sijaitsevat maantieteellisesti. Esimerkkejä: "San Francisco" tai "New York" tai "Dallas".

6

Kirjoita toiseen kenttään solmun sisäinen IP-osoite tai FQDN (fully qualified domain name) ja napsauta näytön alareunassa Add .

Tämän IP-osoitteen tai FQDN:n tulisi vastata IP-osoitetta tai isäntänimeä ja toimialuetta, joita käytit kohdassa Hybrid Data Security VM:n määrittäminen.

Näyttöön tulee viesti, jossa ilmoitetaan, että voit rekisteröidä solmun Webexiin.
7

Napsauta Go to Node.

Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmujen yhteystesteihin. Jos kaikki testit ovat onnistuneet, Salli pääsy hybridi-tietoturvasolmulle -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa Webex-organisaatiollesi oikeudet käyttää solmua.

8

Tarkista Allow Access to Your Hybrid Data Security Node -valintaruutu ja napsauta sitten Continue.

Tilisi on vahvistettu ja "Rekisteröinti valmis" -viesti osoittaa, että solmusi on nyt rekisteröity Webex-pilveen.
9

Napsauta linkkiä tai sulje välilehti, niin pääset takaisin Partner Hub Hybrid Data Security -sivulle.

Hybrid Data Security -sivulla Resurssit -välilehdellä näkyy uusi klusteri, joka sisältää rekisteröimäsi solmun. Solmu lataa automaattisesti uusimman ohjelmiston pilvestä.

Luo ja rekisteröi lisää solmuja

Jos haluat lisätä klusteriin lisää solmuja, luot yksinkertaisesti uusia VM:iä ja asennat saman konfigurointi-ISO-tiedoston ja rekisteröit solmun. Suosittelemme, että sinulla on vähintään 3 solmua.

Ennen kuin aloitat

  • Kun aloitat solmun rekisteröinnin, sinun on saatettava se päätökseen 60 minuutin kuluessa tai sinun on aloitettava alusta.

  • Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen admin.webex.com-sivustolle.

1

Luo uusi virtuaalikone OVA:sta toistamalla vaiheet osoitteessa Install the HDS Host OVA.

2

Määritä uuden VM:n alkukokoonpano toistamalla kohdasta Set up the Hybrid Data Security VM löytyvät vaiheet.

3

Toista uudessa VM:ssä vaiheet osoitteessa Lataa ja asenna HDS-kokoonpanon ISO.

4

Jos otat käyttöön välityspalvelimen, toista kohdan Configure the HDS Node for Proxy Integration vaiheet tarpeen mukaan uutta solmua varten.

5

Rekisteröi solmu.

  1. Valitse https://admin.webex.com-sivustolla Palvelut näytön vasemmassa reunassa olevasta valikosta.

  2. Etsi Cloud Services -osiosta Hybrid Data Security -kortti ja napsauta View all.

    Hybriditietoturvaresurssit-sivu tulee näkyviin.

  3. Äskettäin luotu klusteri näkyy sivulla Resurssit .

  4. Klikkaa klusteria nähdäksesi klusteriin määritetyt solmut.

  5. Napsauta Add a node näytön oikeassa reunassa.

  6. Kirjoita solmun sisäinen IP-osoite tai FQDN (fully qualified domain name) ja napsauta Add.

    Avautuu sivu, jossa on viesti, jonka mukaan voit rekisteröidä solmun Webex-pilveen. Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmujen yhteystesteihin. Jos kaikki testit ovat onnistuneet, Salli pääsy hybridi-tietoturvasolmulle -sivu tulee näkyviin. Siellä vahvistat, että haluat antaa organisaatiollesi oikeudet käyttää solmua.

  7. Tarkista Allow Access to Your Hybrid Data Security Node -valintaruutu ja napsauta sitten Continue.

    Tilisi on vahvistettu ja "Rekisteröinti valmis" -viesti osoittaa, että solmusi on nyt rekisteröity Webex-pilveen.

  8. Napsauta linkkiä tai sulje välilehti, niin pääset takaisin Partner Hub Hybrid Data Security -sivulle.

    Node added ponnahdusviesti näkyy myös Partner Hubin näytön alareunassa.

    Solmusi on rekisteröity.

Hallitse vuokralaisorganisaatioita Multi-Tenant Hybrid Data Security -palvelussa.

Aktivoi Multi-Tenant HDS Partner Hubissa.

Tällä tehtävällä varmistetaan, että kaikki asiakasorganisaatioiden käyttäjät voivat alkaa hyödyntää HDS:n On-Premises-salausavaimia ja muita tietoturvapalveluja.

Ennen kuin aloitat

Varmista, että olet saanut valmiiksi Multi-Tenant HDS -klusterin määrityksen, jossa on tarvittava määrä solmuja.

1

Kirjaudu sisään osoitteessa https://admin.webex.com.

2

Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

3

Etsi Pilvipalvelut-osiosta Hybrid Data Security ja napsauta Muokkaa asetuksia.

4

Napsauta Aktivoi HDS HDS Status -kortilla Aktivoi HDS .

Lisää vuokralaisorganisaatioita Partner Hubiin

Tässä tehtävässä määrität asiakasorganisaatiot hybridi-tietoturvaklusteriin.

1

Kirjaudu sisään osoitteessa https://admin.webex.com.

2

Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

3

Etsi Cloud Services -osiosta Hybrid Data Security ja napsauta View all.

4

Napsauta klusteria, johon haluat määrittää asiakkaan.

5

Siirry Assigned customers -välilehdelle.

6

Napsauta Lisää asiakkaita.

7

Valitse avattavasta valikosta asiakas, jonka haluat lisätä.

8

Napsauta Add, asiakas lisätään klusteriin.

9

Toista vaiheet 6-8 lisätäksesi useita asiakkaita klusteriin.

10

Kun olet lisännyt asiakkaat, napsauta näytön alareunassa Done .

Mitä tehdä seuraavaksi

Käynnistä HDS-asennustyökalu, kuten kohdassa on kuvattu. Create Customer Main Keys (CMKs) using the HDS Setup tool (Luo asiakkaan pääavaimet (CMK:t) HDS-asennustyökalun avulla), jotta saat asennusprosessin päätökseen.

Luo asiakkaan pääavaimet (CMK) HDS Setup -työkalun avulla.

Ennen kuin aloitat

Määritä asiakkaat sopivaan klusteriin, kuten kohdassa Add tenant organizations in Partner Hub on kuvattu. Suorita HDS Setup -työkalu, jotta saat äskettäin lisättyjen asiakasorganisaatioiden määritysprosessin päätökseen.

  • HDS Setup -työkalu toimii Docker-säiliönä paikallisella koneella. Voit käyttää sitä suorittamalla Dockerin kyseisellä koneella. Asennusprosessi edellyttää Partner Hub -tilin tunnistetietoja, joilla on organisaatiosi täydet järjestelmänvalvojan oikeudet.

    Jos HDS Setup -työkalu toimii ympäristössäsi välityspalvelimen takana, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien avulla, kun käynnistät Docker-säiliön vaiheessa 5. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:

    Kuvaus

    Muuttuja

    HTTP-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTP_PROXY=http://SERVER_IP:PORTTI IP:PORTTI

    HTTPS-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTPS_PROXY=http://SERVER_IP:PORTTI

    HTTP-välityspalvelin todennuksen kanssa

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

    HTTPS-välityspalvelin todennuksella

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

  • Luomasi konfigurointi-ISO-tiedosto sisältää pääavaimen, jolla PostgreSQL- tai Microsoft SQL Server -tietokanta salataan. Tarvitset uusimman kopion tästä tiedostosta aina, kun teet määritysmuutoksia, kuten näitä:

    • Tietokannan tunnistetiedot

    • Todistuksen päivitykset

    • Muutokset valtuutuskäytäntöön

  • Jos aiot salata tietokantayhteyksiä, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:ää varten.

Hybrid Data Security -asennusprosessi luo ISO-tiedoston. Tämän jälkeen voit määrittää Hybrid Data Security -isäntäsovelluksen ISO-version avulla.

1

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

2

Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti:

docker login -u hdscustomersro
3

Kirjoita salasanakehotteeseen tämä hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Lataa uusin vakaa imago ympäristöllesi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:

  • Tavallisissa ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • FedRAMP-ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080".

6

Setup-työkalu ei tue yhteyden muodostamista localhostiin http://localhost:8080 kautta. Käytä http://127.0.0.1:8080 muodostaaksesi yhteyden localhostiin.

Siirry verkkoselaimella osoitteeseen localhost, http://127.0.0.1:8080, ja kirjoita kehotteeseen Partner Hubin admin-käyttäjätunnus.

Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää asettaakseen oikean ympäristön kyseiselle tilille. Tämän jälkeen työkalu näyttää tavallisen kirjautumiskehotteen.

7

Anna pyydettäessä Partner Hubin ylläpitäjän kirjautumistiedot ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn hybriditietoturvan edellyttämiin palveluihin.

8

Napsauta Setup Tool -katsaussivulla Get Started.

9

Valitse ISO Import -sivulla Yes.

10

Valitse ISO-tiedosto selaimessa ja lataa se.

Varmista yhteys tietokantaan CMK:n hallintaa varten.
11

Siirry Vuokralaisen CMK:n hallinta -välilehdelle, jossa on seuraavat kolme tapaa hallita vuokralaisen CMK:ta.

  • Create CMK for all ORGs tai Create CMK - Napsauta tätä painiketta näytön yläreunan bannerissa luodaksesi CMK:t kaikille äskettäin lisätyille organisaatioille.
  • Napsauta Manage CMKs -painiketta näytön oikeassa reunassa ja napsauta Create CMKs luodaksesi CMK:t kaikille äskettäin lisätyille organisaatioille.
  • Napsauta ... tietyn organisaation CMK-hallinnan odottavan tilan lähellä taulukossa ja napsauta Luo CMK luodaksesi CMK:n kyseiselle organisaatiolle.
12

Kun CMK:n luominen on onnistunut, tila muuttuu taulukossa CMK:n hallinta vireillä -tilasta CMK hallinnoitu-tilaan.

13

Jos CMK:n luominen ei onnistu, näyttöön tulee virheilmoitus.

Poista vuokralaisorganisaatiot

Ennen kuin aloitat

Poistamisen jälkeen asiakasorganisaatioiden käyttäjät eivät voi hyödyntää HDS:ää salaustarpeisiinsa ja menettävät kaikki olemassa olevat tilat. Ennen asiakasorganisaatioiden poistamista ota yhteyttä Cisco-kumppaniin tai asiakaspäällikköön.

1

Kirjaudu sisään osoitteessa https://admin.webex.com.

2

Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

3

Etsi Cloud Services -osiosta Hybrid Data Security ja napsauta View all.

4

Napsauta Resurssit -välilehdellä klusteria, josta haluat poistaa asiakasorganisaatiot.

5

Valitse avautuvalla sivulla Assigned Customers.

6

Napsauta näkyviin tulevasta asiakasorganisaatioiden luettelosta ... sen asiakasorganisaation oikealla puolella, jonka haluat poistaa, ja napsauta Poista klusterista.

Mitä tehdä seuraavaksi

Suorita poistoprosessi loppuun peruuttamalla asiakasorganisaatioiden CMK-tunnukset osoitteessa Revoke CMKs of tenants removed from HDS.

HDS:stä poistettujen vuokralaisten CMK-tunnusten peruuttaminen.

Ennen kuin aloitat

Poista asiakkaat kyseisestä klusterista, kuten kohdassa Remove tenant organizations on kuvattu. Suorita HDS-asennustyökalu, jotta poistettujen asiakasorganisaatioiden poistoprosessi saadaan päätökseen.

  • HDS Setup -työkalu toimii Docker-säiliönä paikallisella koneella. Voit käyttää sitä suorittamalla Dockerin kyseisellä koneella. Asennusprosessi edellyttää Partner Hub -tilin tunnistetietoja, joilla on organisaatiosi täydet järjestelmänvalvojan oikeudet.

    Jos HDS Setup -työkalu toimii ympäristössäsi välityspalvelimen takana, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien avulla, kun käynnistät Docker-säiliön vaiheessa 5. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:

    Kuvaus

    Muuttuja

    HTTP-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTP_PROXY=http://SERVER_IP:PORTTI IP:PORTTI

    HTTPS-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTPS_PROXY=http://SERVER_IP:PORTTI

    HTTP-välityspalvelin todennuksen kanssa

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

    HTTPS-välityspalvelin todennuksella

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

  • Luomasi konfigurointi-ISO-tiedosto sisältää pääavaimen, jolla PostgreSQL- tai Microsoft SQL Server -tietokanta salataan. Tarvitset uusimman kopion tästä tiedostosta aina, kun teet määritysmuutoksia, kuten näitä:

    • Tietokannan tunnistetiedot

    • Todistuksen päivitykset

    • Muutokset valtuutuskäytäntöön

  • Jos aiot salata tietokantayhteyksiä, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:ää varten.

Hybrid Data Security -asennusprosessi luo ISO-tiedoston. Tämän jälkeen voit määrittää Hybrid Data Security -isäntäsovelluksen ISO-version avulla.

1

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

2

Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti:

docker login -u hdscustomersro
3

Kirjoita salasanakehotteeseen tämä hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Lataa uusin vakaa imago ympäristöllesi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:

  • Tavallisissa ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • FedRAMP-ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080".

6

Setup-työkalu ei tue yhteyden muodostamista localhostiin http://localhost:8080 kautta. Käytä http://127.0.0.1:8080 muodostaaksesi yhteyden localhostiin.

Siirry verkkoselaimella osoitteeseen localhost, http://127.0.0.1:8080, ja kirjoita kehotteeseen Partner Hubin admin-käyttäjätunnus.

Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää asettaakseen oikean ympäristön kyseiselle tilille. Tämän jälkeen työkalu näyttää tavallisen kirjautumiskehotteen.

7

Anna pyydettäessä Partner Hubin ylläpitäjän kirjautumistiedot ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn hybriditietoturvan edellyttämiin palveluihin.

8

Napsauta Setup Tool -katsaussivulla Get Started.

9

Valitse ISO Import -sivulla Yes.

10

Valitse ISO-tiedosto selaimessa ja lataa se.

11

Siirry Vuokralaisen CMK:n hallinta -välilehdelle, jossa on seuraavat kolme tapaa hallita vuokralaisen CMK:ta.

  • Revoke CMK for all ORGs or Revoke CMK - Napsauta tätä painiketta näytön yläreunassa olevassa bannerissa peruuttaaksesi kaikkien poistettujen organisaatioiden CMK:t.
  • Napsauta Manage CMKs -painiketta näytön oikeassa reunassa ja napsauta Revoke CMKs peruuttaaksesi kaikkien poistettujen organisaatioiden CMK:t.
  • Napsauta ... lähellä CMK, joka peruutetaan tietyn organisaation tilaa taulukossa ja napsauta Revoke CMK peruuttaaksesi CMK:n kyseiseltä organisaatiolta.
12

Kun CMK:n peruuttaminen on onnistunut, asiakasorganisaatio ei enää näy taulukossa.

13

Jos CMK:n peruuttaminen ei onnistu, näyttöön tulee virheilmoitus.

Testaa hybriditietoturvan käyttöönottoa

Testaa hybriditietoturvan käyttöönottoa

Tällä menettelyllä voit testata Multi-Tenant Hybrid Data Security -salausskenaarioita.

Ennen kuin aloitat

  • Määritä Multi-Tenant Hybrid Data Security -käyttöönotto.

  • Varmista, että sinulla on pääsy syslogiin, jotta voit tarkistaa, että avainpyynnöt kulkevat Multi-Tenant Hybrid Data Security -käyttöönottoon.

1

Avaimet tietylle tilalle asettaa tilan luoja. Kirjaudu Webex-sovellukseen yhtenä asiakasorganisaation käyttäjistä ja luo tila.

Jos poistat hybriditietoturva-asennuksen käytöstä, käyttäjien luomien tilojen sisältöön ei enää pääse käsiksi, kun salausavainten asiakaskeskeytetyt kopiot on korvattu.

2

Lähetä viestejä uuteen tilaan.

3

Tarkista syslog-tulosteesta, että avainpyynnöt kulkevat Hybrid Data Security -käyttöönottoon.

  1. Jos haluat tarkistaa, että käyttäjä on ensin luonut suojatun kanavan KMS:ään, suodata kms.data.method=create ja kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Löydät seuraavan kaltaisen merkinnän (tunnukset on lyhennetty luettavuuden vuoksi):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] vastaanotettu, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Jos haluat tarkistaa, onko käyttäjä pyytänyt olemassa olevaa avainta KMS:stä, suodata kms.data.method=retrieve ja kms.data.type=KEY:

    Sinun pitäisi löytää seuraava merkintä:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] vastaanotettu, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Jos haluat tarkistaa, onko käyttäjä pyytänyt uuden KMS-avaimen luomista, suodata kms.data.method=create ja kms.data.type=KEY_COLLECTION:

    Sinun pitäisi löytää seuraava merkintä:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] vastaanotettu, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Jos haluat tarkistaa, onko käyttäjä pyytänyt uuden KMS-resurssiobjektin (KRO) luomista, kun tila tai muu suojattu resurssi luodaan, suodata kms.data.method=create ja kms.data.type=RESOURCE_COLLECTION:

    Sinun pitäisi löytää seuraava merkintä: 
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] vastaanotettu, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Hybriditietojen tietoturvan tilan seuranta

Partner Hubin tilaindikaattori näyttää, onko Multi-Tenant Hybrid Data Security -käyttöönotossa kaikki kunnossa. Jos haluat ennakoivampia hälytyksiä, tilaa sähköposti-ilmoitukset. Sinulle ilmoitetaan, kun palveluun vaikuttavia hälytyksiä tai ohjelmistopäivityksiä tulee.
1

Valitse Partner Hubissa vasemmalla puolella olevasta valikosta Palvelut .

2

Etsi Pilvipalvelut-osiosta Hybrid Data Security ja napsauta Muokkaa asetuksia.

Hybriditietojen suojausasetukset -sivu tulee näkyviin.
3

Kirjoita Sähköposti-ilmoitukset-osioon yksi tai useampi sähköpostiosoite pilkuilla erotettuna ja paina Enter.

Hallitse HDS-käyttöönottoa

Hallitse HDS:n käyttöönottoa

Käytä tässä kuvattuja tehtäviä Hybrid Data Security -käyttöönoton hallintaan.

Aseta klusterin päivitysaikataulu

Hybrid Data Securityn ohjelmistopäivitykset tehdään automaattisesti klusteritasolla, mikä varmistaa, että kaikissa solmuissa on aina sama ohjelmistoversio. Päivitykset tehdään klusterin päivitysaikataulun mukaisesti. Kun ohjelmistopäivitys tulee saataville, voit päivittää klusterin manuaalisesti ennen suunniteltua päivitysaikaa. Voit määrittää tietyn päivitysaikataulun tai käyttää oletusaikataulua 3:00 AM Daily United States: Amerikka/Los Angeles. Voit myös tarvittaessa lykätä tulevaa päivitystä.

Päivityksen aikataulun asettaminen:

1

Kirjaudu sisään Partner Hubiin.

2

Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

3

Etsi Cloud Services -osiosta Hybrid Data Security ja napsauta Set up (Määritä).

4

Valitse klusteri Hybriditietoturvaresurssit-sivulla.

5

Napsauta Cluster Settings -välilehteä.

6

Valitse klusterin asetukset -sivun kohdassa Päivitysaikataulu päivitysaikataulun kellonaika ja aikavyöhyke.

Huomautus: Aikavyöhykkeen alla näkyy seuraava saatavilla oleva päivityspäivä ja -aika. Voit tarvittaessa siirtää päivityksen seuraavalle päivälle napsauttamalla Postpone by 24 hours.

Solmun kokoonpanon muuttaminen

Joskus sinun on ehkä muutettava Hybrid Data Security -solmun kokoonpanoa esimerkiksi seuraavista syistä:

  • x.509-varmenteiden muuttaminen vanhentumisen tai muiden syiden vuoksi.

    Emme tue varmenteen CN-verkkotunnuksen nimen muuttamista. Verkkotunnuksen on vastattava klusterin rekisteröinnissä käytettyä alkuperäistä verkkotunnusta.

  • Tietokanta-asetusten päivittäminen PostgreSQL- tai Microsoft SQL Server -tietokannan kopion vaihtamiseksi.

    Emme tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin tai päinvastoin. Jos haluat vaihtaa tietokantaympäristön, aloita uusi Hybrid Data Security -käyttöönotto.

  • Uuden kokoonpanon luominen uuden datakeskuksen valmistelemiseksi.

Hybrid Data Security käyttää turvallisuussyistä myös palvelutilien salasanoja, joiden käyttöikä on yhdeksän kuukautta. Kun HDS-asennustyökalu on luonut nämä salasanat, otat ne käyttöön kussakin HDS-solmussa ISO-määritystiedostossa. Kun organisaatiosi salasanojen voimassaolo lähestyy päättymistään, saat Webex-tiimiltä ilmoituksen, jossa pyydetään palauttamaan konetilisi salasana. (Sähköpostiviestissä on teksti: "Päivitä salasana konetilin API:n avulla."). Jos salasanasi eivät ole vielä vanhentuneet, työkalu antaa sinulle kaksi vaihtoehtoa:

  • Pehmeä nollaus- Vanha ja uusi salasana toimivat molemmat enintään 10 päivän ajan. Käytä tätä ajanjaksoa ISO-tiedoston korvaamiseen solmuissa vähitellen.

  • Hard reset- Vanhat salasanat lakkaavat toimimasta välittömästi.

Jos salasanasi vanhenevat ilman nollausta, se vaikuttaa HDS-palveluun ja edellyttää välitöntä kovaa nollausta ja ISO-tiedoston vaihtamista kaikissa solmuissa.

Tämän menettelyn avulla voit luoda uuden ISO-konfiguraatiotiedoston ja soveltaa sitä klusteriin.

Ennen kuin aloitat

  • HDS Setup -työkalu toimii Docker-säiliönä paikallisella koneella. Voit käyttää sitä suorittamalla Dockerin kyseisellä koneella. Asennusprosessi edellyttää Partner Hub -tilin tunnistetietoja, joilla on kumppanin täydet järjestelmänvalvojan oikeudet .

    Jos HDS Setup -työkalu toimii ympäristössäsi välityspalvelimen takana, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien avulla, kun käynnistät Docker-säiliön osoitteessa 1.e. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:

    Kuvaus

    Muuttuja

    HTTP-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTP_PROXY=http://SERVER_IP:PORTTI IP:PORTTI

    HTTPS-välityspalvelin ilman todennusta

    GLOBAL_AGENTTI_HTTPS_PROXY=http://SERVER_IP:PORTTI

    HTTP-välityspalvelin todennuksen kanssa

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

    HTTPS-välityspalvelin todennuksella

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTTI

  • Tarvitset kopion nykyisestä kokoonpanon ISO-tiedostosta uuden kokoonpanon luomiseksi. ISO-tietokanta sisältää pääavaimen, jolla PostgreSQL- tai Microsoft SQL Server -tietokanta salataan. Tarvitset ISO-tietoa, kun teet määritysmuutoksia, kuten tietokannan valtuustiedot, varmenteen päivitykset tai valtuutuskäytännön muutokset.

1

Suorita HDS-asennustyökalu Dockerin avulla paikallisella koneella.

  1. Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

    Tavallisissa ympäristöissä:

    docker rmi ciscocitg/hds-setup:stable

    FedRAMP-ympäristöissä:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Tämä vaihe puhdistaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

  2. Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti:

    docker login -u hdscustomersro

  3. Kirjoita salasanakehotteeseen tämä hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Lataa uusin vakaa imago ympäristöllesi:

    Tavallisissa ympäristöissä:

    docker pull ciscocitg/hds-setup:stable

    FedRAMP-ympäristöissä:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Varmista, että otat käyttöön uusimman asennustyökalun tätä toimenpidettä varten. Ennen 22. helmikuuta 2018 luoduissa työkalun versioissa ei ole salasanan palautusnäyttöjä.

  5. Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:

    • Tavallisissa ympäristöissä ilman välityspalvelinta:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • FedRAMP-ympäristöissä ilman välityspalvelinta:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080".

  6. Ota selaimella yhteys osoitteeseen localhost, http://127.0.0.1:8080.

    Setup-työkalu ei tue yhteyden muodostamista localhostiin http://localhost:8080 kautta. Käytä http://127.0.0.1:8080 muodostaaksesi yhteyden localhostiin.

  7. Anna pyydettäessä Partner Hub -asiakkaan kirjautumistiedot ja jatka sitten klikkaamalla Accept .

  8. Tuo nykyinen kokoonpano ISO-tiedosto.

  9. Suorita työkalu loppuun ja lataa päivitetty tiedosto noudattamalla ohjeita.

    Voit sammuttaa Setup-työkalun kirjoittamalla CTRL+C.

  10. Luo varmuuskopio päivitetystä tiedostosta toiseen datakeskukseen.

2

Jos sinulla on vain yksi HDS-solmu, jossa on käytössä, luo uusi Hybrid Data Security -solmun VM ja rekisteröi se käyttämällä uutta konfiguraatio-ISO-tiedostoa. Tarkempia ohjeita on osoitteessa Create and register more nodes.

  1. Asenna HDS-isännän OVA.

  2. Määritä HDS VM.

  3. Kiinnitä päivitetty kokoonpanotiedosto.

  4. Rekisteröi uusi solmu Partner Hubissa.

3

Asenna ISO-tiedosto olemassa oleviin HDS-solmuihin, joissa on käytössä vanhempi kokoonpanotiedosto. Suorita seuraavat toimenpiteet jokaiselle solmulle vuorotellen ja päivitä jokainen solmu ennen seuraavan solmun sammuttamista:

  1. Sammuta virtuaalikone.

  2. Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia.

  3. Napsauta CD/DVD-asema 1, valitse vaihtoehto mount from an ISO file (kiinnitä ISO-tiedostosta) ja selaa paikkaan, josta latasit uuden kokoonpanon ISO-tiedoston.

  4. Tarkista Kytke virta päälle.

  5. Tallenna muutokset ja käynnistä virtuaalikone.

4

Toista vaihe 3 korvataksesi kokoonpano jokaisessa jäljellä olevassa solmussa, jossa on käytössä vanha kokoonpano.

Sammuta estetty ulkoinen DNS-resoluutiotila

Kun rekisteröit solmun tai tarkistat solmun välityspalvelinkokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex -pilveen. Jos solmun DNS-palvelin ei pysty ratkaisemaan julkisia DNS-nimiä, solmu siirtyy automaattisesti estetty ulkoinen DNS-resoluutio -tilaan.

Jos solmut pystyvät ratkaisemaan julkiset DNS-nimet sisäisten DNS-palvelimien kautta, voit poistaa tämän tilan käytöstä suorittamalla välityspalvelinyhteystestin uudelleen kussakin solmussa.

Ennen kuin aloitat

Varmista, että sisäiset DNS-palvelimesi pystyvät ratkaisemaan julkisia DNS-nimiä ja että solmusi voivat kommunikoida niiden kanssa.
1

Avaa verkkoselaimessa Hybrid Data Security -solmun käyttöliittymä (esimerkiksi IP-osoite/asetukset, https://192.0.2.0/setup), , syötä solmulle määrittämäsi järjestelmänvalvojan tunnukset ja napsauta sitten Kirjaudu sisään.

2

Siirry osoitteeseen Overview (oletussivu).

Kun se on käytössä, Estetty ulkoinen DNS-resoluutio on asetettu Kyllä.

3

Siirry Trust Store & Proxy -sivulle.

4

Napsauta Tarkista välityspalvelinyhteys.

Jos näet viestin, jonka mukaan ulkoinen DNS-resoluutio ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen, ja se pysyy tässä tilassa. Muussa tapauksessa, kun olet käynnistänyt solmun uudelleen ja palannut sivulle Overview , Blocked External DNS Resolution -asetuksen pitäisi olla ei.

Mitä tehdä seuraavaksi

Toista välityspalvelinyhteyden testaus Hybrid Data Security -klusterin jokaisessa solmussa.

Poista solmu

Tällä menettelyllä voit poistaa Hybrid Data Security -solmun Webex-pilvestä. Kun olet poistanut solmun klusterista, poista virtuaalikone, jotta suojaustietoihin ei pääse enää käsiksi.
1

Kirjaudu tietokoneen VMware vSphere -asiakasohjelmalla ESXi-virtuaali-isäntäkoneeseen ja sammuta virtuaalikone.

2

Poista solmu:

  1. Kirjaudu sisään Partner Hubiin ja valitse sitten Palvelut.

  2. Valitse Hybriditietoturva-kortissa Näytä kaikki , jolloin Hybriditietoturvaresurssit-sivu tulee näkyviin.

  3. Valitse klusteri näyttääksesi sen yleiskatsauspaneelin.

  4. Napsauta solmua, jonka haluat poistaa.

  5. Napsauta oikealle avautuvassa paneelissa Deregister this node .

  6. Voit myös poistaa solmun rekisteröinnin napsauttamalla ... solmun oikealla puolella ja valitsemalla Poista tämä solmu.

3

Poista VM vSphere-asiakasohjelmassa. (Napsauta hiiren kakkospainikkeella VM:ää vasemmassa navigointipaneelissa ja valitse Poista.)

Jos et poista VM:ää, muista poistaa konfigurointi-ISO-tiedosto. Ilman ISO-tiedostoa et voi käyttää VM:ää turvatietojen käyttämiseen.

Katastrofista palautuminen varalla olevan datakeskuksen avulla

Hybriditietoturvaklusterin tarjoama kriittisin palvelu on avainten luominen ja tallentaminen, joita käytetään viestien ja muun Webex-pilveen tallennetun sisällön salaamiseen. Jokaisen organisaatiossa olevan käyttäjän, joka on määritetty Hybrid Data Security -palveluun, uudet avainten luontipyynnöt ohjataan klusteriin. Klusteri on myös vastuussa luomiensa avainten palauttamisesta kaikille käyttäjille, joilla on oikeus hakea niitä, esimerkiksi keskusteluavaruuden jäsenille.

Koska klusterin kriittisenä tehtävänä on tarjota nämä avaimet, on ehdottoman tärkeää, että klusteri pysyy toiminnassa ja että asianmukaisia varmuuskopioita ylläpidetään. Hybriditietoturvatietokannan tai skeemassa käytetyn konfigurointi-ISO-tietokannan menetys johtaa asiakassisällön KORJAAMATTOMAAN HÄVIÖÖN. Seuraavat käytännöt ovat pakollisia tällaisten menetysten estämiseksi:

Jos katastrofi aiheuttaa sen, että ensisijaisen tietokeskuksen HDS-käyttöönotto ei ole käytettävissä, siirry manuaalisesti varakeskukseen vikasietoisesti tämän ohjeen mukaisesti.

Ennen kuin aloitat

Poista kaikkien solmujen rekisteröinti Partner Hubista, kuten kohdassa Remove a Node on mainittu. Käytä uusinta ISO-tiedostoa, joka on määritetty aiemmin aktiivisena olleen klusterin solmuja varten, suorittaaksesi alla mainitun vikasietoisen siirtomenettelyn.
1

Käynnistä HDS Setup -työkalu ja noudata kohdassa Create a Configuration ISO for the HDS Hosts mainittuja ohjeita.

2

Suorita konfigurointiprosessi loppuun ja tallenna ISO-tiedosto paikkaan, josta se on helppo löytää.

3

Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmään. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää tietokannan sisällön pääsalausavaimen. Rajoita käyttöoikeus vain niille Hybrid Data Securityn järjestelmänvalvojille, joiden pitäisi tehdä määritysmuutoksia.

4

Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia.

5

Napsauta Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.

Varmista, että Connected ja Connect at power on on valittuna, jotta päivitetyt konfiguraatiomuutokset tulevat voimaan solmujen käynnistämisen jälkeen.

6

Kytke HDS-solmuun virta ja varmista, ettei hälytyksiä ole kuulunut vähintään 15 minuuttiin.

7

Rekisteröi solmu Partner-keskukseen. Katso Rekisteröi klusterin ensimmäinen solmu.

8

Toista prosessi jokaiselle valmiustietokeskuksen solmulle.

Mitä tehdä seuraavaksi

Jos ensisijainen datakeskus aktivoituu uudelleen vikatilanteen jälkeen, poista varalla olevan datakeskuksen solmujen rekisteröinti ja toista ISO:n määrittäminen ja ensisijaisen datakeskuksen solmujen rekisteröinti edellä mainitulla tavalla.

(Valinnainen) Irrota ISO-levy HDS-konfiguraation jälkeen

HDS:n vakiokokoonpanossa ISO-levy on asennettuna. Jotkut asiakkaat eivät kuitenkaan halua jättää ISO-tiedostoja jatkuvasti asennettuna. Voit poistaa ISO-tiedoston liitännän, kun kaikki HDS-solmut ovat ottaneet uuden kokoonpanon käyttöön.

Voit edelleen käyttää ISO-tiedostoja kokoonpanomuutosten tekemiseen. Kun luot uuden ISO-tietolevyn tai päivität ISO-tietolevyn asetustyökalun avulla, päivitetty ISO-tietolevy on asennettava kaikkiin HDS-solmuihin. Kun kaikki solmusi ovat ottaneet konfiguraatiomuutokset käyttöön, voit poistaa ISO-levyn kiinnityksen uudelleen tällä tavalla.

Ennen kuin aloitat

Päivitä kaikki HDS-solmut versioon 2021.01.22.4720 tai uudempaan.

1

Sammuta yksi HDS-solmuistasi.

2

Valitse vCenter Server Appliance -laitteessa HDS-solmu.

3

Valitse Muokkaa asetuksia > CD/DVD-asema ja poista valinta Datastore ISO File.

4

Kytke HDS-solmuun virta ja varmista, että hälytyksiä ei ole tullut vähintään 20 minuuttiin.

5

Toista tämä vuorotellen jokaiselle HDS-solmulle.

Vianmääritys hybridi tietoturva

Näytä hälytykset ja vianmääritys

Hybriditietoturvakäytön katsotaan olevan käyttökelvoton, jos kaikki klusterin solmut eivät ole tavoitettavissa tai jos klusteri toimii niin hitaasti, että pyynnöt keskeytyvät. Jos käyttäjät eivät pääse Hybrid Data Security -klusteriin, he kokevat seuraavia oireita:

  • Uusia tiloja ei voida luoda (uusia avaimia ei voida luoda).

  • Viestien ja tilojen otsikot eivät onnistu salauksen purkamisessa:

    • Tilaan on lisätty uusia käyttäjiä (ei pysty hakemaan avaimia).

    • Tilan nykyiset käyttäjät, jotka käyttävät uutta asiakasta (eivät pysty hakemaan avaimia).

  • Tilan nykyiset käyttäjät jatkavat menestyksekkäästi toimintaansa niin kauan kuin heidän asiakkaillaan on salausavainten välimuisti.

On tärkeää, että valvot hybriditietoturvaklusteriasi asianmukaisesti ja käsittelet kaikki hälytykset nopeasti, jotta vältät palveluhäiriöt.

Hälytykset

Jos hybriditietoturva-asetuksissa on ongelmia, Partner Hub näyttää hälytyksiä organisaation ylläpitäjälle ja lähettää sähköpostiviestejä määritettyyn sähköpostiosoitteeseen. Hälytykset kattavat monia yleisiä skenaarioita.

Taulukko 1. Yleiset ongelmat ja niiden ratkaisemiseen tarvittavat vaiheet

Hälytys

Toiminta

Paikallisen tietokannan käyttöhäiriö.

Tarkista tietokantavirheet tai lähiverkko-ongelmat.

Paikallisen tietokantayhteyden epäonnistuminen.

Tarkista, että tietokantapalvelin on käytettävissä ja että solmun määrityksessä käytettiin oikeaa palvelutilin tunnistetietoja.

Pilvipalvelun käyttöhäiriö.

Tarkista, että solmut voivat käyttää Webex-palvelimia osoitteessa Ulkoiset yhteysvaatimukset määritellyllä tavalla.

Pilvipalvelun rekisteröinnin uusiminen.

Pilvipalveluihin rekisteröityminen lopetettiin. Rekisteröinnin uusiminen on käynnissä.

Pilvipalvelun rekisteröinti lopetettu.

Rekisteröinti pilvipalveluihin lopetettu. Palvelu suljetaan.

Palvelua ei ole vielä aktivoitu.

Aktivoi HDS Partner Hubissa.

Määritetty verkkotunnus ei vastaa palvelimen varmennetta.

Varmista, että palvelimen varmenne vastaa määritettyä palvelun aktivointialuetta.

Todennäköisin syy on se, että varmenteen CN-nimike on äskettäin vaihdettu ja se on nyt eri kuin alkuperäisen asennuksen aikana käytetty CN-nimike.

Pilvipalveluiden todennus epäonnistui.

Tarkista palvelutilin tunnusten oikeellisuus ja mahdollinen vanhentuminen.

Paikallista avainsäilytystiedostoa ei onnistuttu avaamaan.

Tarkista paikallisen avainsäilytystiedoston eheys ja salasanan oikeellisuus.

Paikallisen palvelimen varmenne on virheellinen.

Tarkista palvelimen varmenteen voimassaoloaika ja varmista, että sen on myöntänyt luotettava varmentaja.

Metriikoita ei voi lähettää.

Tarkista paikallisverkon pääsy ulkoisiin pilvipalveluihin.

/media/configdrive/hds-hakemistoa ei ole olemassa.

Tarkista virtuaalisen isäntäkoneen ISO-kiinnityskonfiguraatio. Tarkista, että ISO-tiedosto on olemassa, että se on määritetty liitettäväksi uudelleenkäynnistyksen yhteydessä ja että se liitetään onnistuneesti.

Vuokralaisen organisaation asetuksia ei ole saatu valmiiksi lisättyjen organisaatioiden osalta.

Viimeistele asennus luomalla CMK:t äskettäin lisätyille vuokralaisorganisaatioille HDS Setup Tool -työkalun avulla.

Vuokralaisen organisaation asetuksia ei ole saatu valmiiksi poistettujen organisaatioiden osalta.

Viimeistele asennus peruuttamalla HDS Setup Tool -työkalulla poistettujen vuokralaisorganisaatioiden CMK-tunnukset.

Vianmääritys hybridi tietoturva

Käytä seuraavia yleisiä ohjeita, kun ratkaiset Hybrid Data Securityn ongelmia.
1

Tarkista Partner Hubista mahdolliset hälytykset ja korjaa kaikki sieltä löytyvät kohteet. Katso viitteeksi alla oleva kuva.

2

Tarkista syslog-palvelimen tulosteet Hybrid Data Security -käyttöönoton toiminnan osalta. Suodata sanoja kuten "Varoitus" ja "Virhe" vianmäärityksen helpottamiseksi.

3

Ota yhteyttä osoitteeseen Ciscon tuki.

Muut huomautukset

Hybriditietoturvan tunnetut ongelmat

  • Jos sammutat Hybrid Data Security -klusterin (poistamalla sen Partner Hubissa tai sammuttamalla kaikki solmut), menetät määritys-ISO-tiedoston tai menetät pääsyn avainsäilytystietokantaan, asiakasorganisaatioiden Webex App -käyttäjät eivät voi enää käyttää henkilöluettelossaan olevia tiloja, jotka on luotu KMS-avaimilla. Meillä ei ole tällä hetkellä ratkaisua tai korjausta tähän ongelmaan, ja kehotamme sinua olemaan sammuttamatta HDS-palveluja, kun ne käsittelevät aktiivisia käyttäjätilejä.

  • Asiakas, jolla on olemassa oleva ECDH-yhteys KMS-järjestelmään, säilyttää yhteyden tietyn ajan (todennäköisesti tunnin).

Käytä OpenSSL:ää PKCS12-tiedoston luomiseen

Ennen kuin aloitat

  • OpenSSL on yksi työkalu, jota voidaan käyttää PKCS12-tiedoston saattamiseen oikeaan muotoon HDS-asennustyökalun lataamista varten. On muitakin tapoja tehdä tämä, emmekä me tue tai suosittele yhtä tapaa toisen sijaan.

  • Jos päätät käyttää OpenSSL:ää, annamme tämän ohjeen, jonka avulla voit luoda tiedoston, joka täyttää X.509-varmenteen vaatimukset osoitteessa X.509 Certificate Requirements. Ymmärrä nämä vaatimukset ennen kuin jatkat.

  • Asenna OpenSSL tuettuun ympäristöön. Katso ohjelmisto ja dokumentaatio osoitteesta https://www.openssl.org .

  • Luo yksityinen avain.

  • Aloita tämä toimenpide, kun saat palvelinvarmenteen varmentajalta.

1

Kun saat palvelinvarmenteen varmentajalta, tallenna se osoitteeseen hdsnode.pem.

2

Näytä varmenne tekstinä ja tarkista tiedot.

openssl x509 -text -noout -in hdsnode.pem

3

Luo tekstieditorilla varmennepakettitiedosto nimeltä hdsnode-bundle.pem. Pakettitiedoston on sisällettävä palvelinvarmenne, mahdolliset välivarmentajan varmenteet ja päävarmentajan varmenteet alla olevassa muodossa:

-----BEGIN CERTIFICATE----- ### Palvelinsertifikaatti. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----

4

Luo .p12-tiedosto, jonka nimi on kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Tarkista palvelimen varmenteen tiedot.

  1. openssl pkcs12 -in hdsnode.p12

  2. Kirjoita kehotteeseen salasana salataksesi yksityisen avaimen niin, että se näkyy tulosteessa. Tarkista sitten, että yksityinen avain ja ensimmäinen varmenne sisältävät rivit friendlyName: kms-private-key.

    Esimerkki:

    bash$ openssl pkcs12 -in hdsnode.p12 Anna tuontisalasana: MAC tarkistettu OK Laukun attribuutit friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Keskeiset ominaisuudet:  Syötä PEM-salasana: Verifying - Syötä PEM-salasana: -----BEGIN ENCRYPTED PRIVATE KEY-----  -----END ENCRYPTED PRIVATE KEY----- Laukun ominaisuudet friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE----- Laukku Attribuutit friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE-----

Mitä tehdä seuraavaksi

Palaa osoitteeseen Suorita Hybriditietoturvan edellytykset. Käytät hdsnode.p12 -tiedostoa ja sille asettamaasi salasanaa kohdassa Luo konfigurointi-ISO HDS-isäntäasemille.

Voit käyttää näitä tiedostoja uudelleen uuden varmenteen pyytämiseen, kun alkuperäinen varmenne vanhenee.

HDS-solmujen ja pilvipalvelun välinen liikenne

Lähtevien mittareiden keräysliikenne

Hybriditietoturvasolmut lähettävät tiettyjä mittareita Webex-pilveen. Näihin kuuluvat järjestelmän metriikat, jotka koskevat kasan enimmäismäärää, käytettyä kasaa, suorittimen kuormitusta ja säikeiden lukumäärää, synkronisten ja asynkronisten säikeiden metriikat, salausyhteyksien kynnysarvoa, viiveaikaa tai pyyntöjonon pituutta koskevien hälytysten metriikat, tietovaraston metriikat ja salausyhteyksien metriikat. Solmut lähettävät salatun avainmateriaalin kaistan ulkopuolisen (pyynnöstä erillisen) kanavan kautta.

Saapuva liikenne

Hybriditietoturvasolmut vastaanottavat Webex-pilvestä seuraavanlaista saapuvaa liikennettä:

  • Asiakkaiden salauspyynnöt, jotka salauspalvelu ohjaa eteenpäin.

  • Solmuohjelmiston päivitykset

Määritä Squid-välityspalvelimet hybridi-dataturvallisuutta varten

Websocket ei voi muodostaa yhteyttä Squid-proxyn kautta

HTTPS-liikennettä tarkastavat Squid-välityspalvelimet voivat häiritä Hybrid Data Securityn edellyttämien websocket-yhteyksien (wss:) muodostamista. Näissä osioissa annetaan ohjeita siitä, miten Squidin eri versiot voidaan konfiguroida sivuuttamaan wss: liikenne palvelujen moitteettoman toiminnan varmistamiseksi.

Kalmarit 4 ja 5

Lisää on_unsupported_protocol -direktiivi osoitteeseen squid.conf:

on_unsupported_protocol tunneli kaikki

Squid 3.5.27

Testasimme onnistuneesti Hybrid Data Securitya seuraavien sääntöjen avulla, jotka lisättiin osoitteeseen squid.conf. Nämä säännöt voivat muuttua, kun kehitämme ominaisuuksia ja päivitämme Webex-pilveä.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Uudet ja muuttuneet tiedot

Uudet ja muuttuneet tiedot

Tämä taulukko kattaa uudet ominaisuudet tai toiminnot, muutokset olemassa olevaan sisältöön ja kaikki merkittävät virheet, jotka on korjattu osoitteessa Deployment Guide for Multi-Tenant Hybrid Data Security.

Päiväys

Tehdyt muutokset

maaliskuu 04, 2025

tammikuu 30, 2025

Lisätty SQL-palvelimen versio 2022 tuettujen SQL-palvelimien luetteloon osoitteessa Tietokantapalvelinvaatimukset.

tammikuu 15, 2025

Lisätty Multi-Tenant Hybrid Data Securityn rajoitukset.

tammikuu 08, 2025

Lisätty huomautus kohtaan Suorita alkuasetukset ja lataa asennustiedostot , jossa todetaan, että asennusprosessin tärkeä vaihe on napsauttamalla Partner Hubin HDS-kortin Set up .

tammikuu 07, 2025

Päivitetty Virtual Host -vaatimukset, Hybrid Data Security Deployment Task Flow ja Install the HDS Host OVA osoittamaan ESXi 7.0:n uudet vaatimukset.

13. joulukuuta 2024

Julkaistu ensimmäisen kerran.

Multi-Tenant Hybrid Data Security -tietoturvan poistaminen käytöstä

Multi-Tenant HDS:n deaktivointitehtävän kulku

Voit poistaa Multi-Tenant HDS:n käytöstä kokonaan noudattamalla seuraavia ohjeita.

Ennen kuin aloitat

Tämän tehtävän saa suorittaa vain kumppanin täysivaltainen järjestelmänvalvoja.
1

Poista kaikki asiakkaat kaikista klustereistasi, kuten kohdassa Remove tenant organizations on mainittu.

2

Peruuta kaikkien asiakkaiden CMK:t, kuten mainitaan osoitteessa Peruuta HDS:stä poistettujen vuokralaisten CMK:t..

3

Poista kaikki solmut kaikista klustereistasi, kuten kohdassa Remove a Node on mainittu.

4

Poista kaikki klusterit Partner Hubista jommallakummalla seuraavista kahdesta menetelmästä.

  • Napsauta poistettavaa klusteria ja valitse yleiskatsaussivun oikeassa yläkulmassa Delete this Cluster .
  • Napsauta Resurssit-sivulla ... klusterin oikealla puolella ja valitse Poista klusteri.
5

Napsauta Asetukset -välilehteä Hybriditietojen suojauksen yleiskatsaussivulla ja napsauta Deactivate HDS HDS Status -kortissa.

Aloita Multi-Tenant Hybrid Data Security -palvelun käyttäminen

Multi-Tenant Hybrid Data Security - yleiskatsaus

Webex Appin suunnittelussa on alusta alkaen keskitytty ensisijaisesti tietoturvaan. Tämän turvallisuuden kulmakivi on päästä päähän -sisällön salaus, jonka Webex App -asiakkaat mahdollistavat avaintenhallintapalvelun (Key Management Service, KMS) kanssa. KMS vastaa niiden salausavainten luomisesta ja hallinnasta, joita asiakkaat käyttävät viestien ja tiedostojen dynaamiseen salaamiseen ja salauksen purkamiseen.

Oletusarvoisesti kaikki Webex App -asiakkaat saavat päästä päähän -salauksen, jonka dynaamiset avaimet on tallennettu pilven KMS-järjestelmään, Ciscon tietoturva-alueelle. Hybrid Data Security siirtää KMS:n ja muut tietoturvaan liittyvät toiminnot yrityksen datakeskukseen, joten salatun sisällön avaimet eivät ole kenelläkään muulla kuin sinulla.

Multi-Tenant Hybrid Data Security antaa organisaatioille mahdollisuuden hyödyntää HDS:ää luotettavan paikallisen kumppanin kautta, joka voi toimia palveluntarjoajana ja hallita tiloissa tapahtuvaa salausta ja muita tietoturvapalveluja. Tämä asetus antaa kumppaniorganisaatiolle täydellisen hallinnan salausavainten käyttöönotosta ja hallinnasta ja varmistaa, että asiakasorganisaatioiden käyttäjätiedot ovat turvassa ulkopuoliselta käytöltä. Kumppaniorganisaatiot asentavat HDS-instansseja ja luovat HDS-klustereita tarpeen mukaan. Kukin instanssi voi tukea useita asiakasorganisaatioita toisin kuin tavallinen HDS-käyttöönotto, joka on rajoitettu yhteen organisaatioon.

Vaikka kumppaniorganisaatiot hallitsevat käyttöönottoa ja hallintaa, niillä ei ole pääsyä asiakkaiden tuottamiin tietoihin ja sisältöön. Tämä käyttöoikeus on rajoitettu asiakasorganisaatioihin ja niiden käyttäjiin.

Näin myös pienemmät organisaatiot voivat hyödyntää HDS:ää, sillä luotettava paikallinen kumppani omistaa avainhallintapalvelun ja tietoturvainfrastruktuurin, kuten datakeskukset.

Miten Multi-Tenant Hybrid Data Security tarjoaa tietojen suvereenisuutta ja tiedonhallintaa

  • Käyttäjän luoma sisältö on suojattu ulkopuoliselta käytöltä, kuten pilvipalvelujen tarjoajilta.
  • Paikalliset luotetut kumppanit hallinnoivat niiden asiakkaiden salausavaimia, joihin niillä on jo vakiintunut suhde.
  • Mahdollisuus paikalliseen tekniseen tukeen, jos kumppani tarjoaa sitä.
  • Tukee kokousten, viestien ja puhelujen sisältöä.

Tämän asiakirjan tarkoituksena on auttaa kumppaniorganisaatioita perustamaan ja hallitsemaan asiakkaita Multi-Tenant Hybrid Data Security -järjestelmässä.

Monen käyttäjän hybriditietoturvan rajoitukset

  • Kumppaniorganisaatioilla ei saa olla aktiivista HDS-käyttöönottoa Control Hubissa.
  • Vuokralais- tai asiakasorganisaatioilla, joita kumppani haluaa hallita, ei saa olla olemassa olevaa HDS-käyttöönottoa Control Hubissa.
  • Kun kumppani on ottanut Multi-Tenant HDS:n käyttöön, kaikki asiakasorganisaatioiden käyttäjät sekä kumppaniorganisaation käyttäjät alkavat hyödyntää Multi-Tenant HDS:ää salauspalveluissaan.

    Kumppaniorganisaatio ja heidän hallinnoimansa asiakasorganisaatiot ovat samassa Multi-Tenant HDS -käyttöönotossa.

    Kumppaniorganisaatio ei enää käytä pilvi-KMS:ää sen jälkeen, kun Multi-Tenant HDS on otettu käyttöön.

  • Avaimia ei voi siirtää takaisin Cloud KMS:ään HDS:n käyttöönoton jälkeen.
  • Tällä hetkellä jokaisessa Multi-Tenant HDS -käyttöönotossa voi olla vain yksi klusteri, jonka alla on useita solmuja.
  • Järjestelmänvalvojan rooleilla on tiettyjä rajoituksia; katso lisätietoja alla olevasta osiosta.

Roolit monitilaaja-hybriditietoturvassa

  • Kumppanin täysi järjestelmänvalvoja - Voi hallita kaikkien kumppanin hallinnoimien asiakkaiden asetuksia. Voit myös määrittää ylläpitäjärooleja organisaation nykyisille käyttäjille ja määrittää tietyt asiakkaat kumppanien ylläpitäjien hallinnoitaviksi.
  • Kumppanin järjestelmänvalvoja - Voi hallita niiden asiakkaiden asetuksia, jotka järjestelmänvalvoja on määrittänyt tai jotka on osoitettu käyttäjälle.
  • Täysi järjestelmänvalvoja - Kumppaniorganisaation järjestelmänvalvoja, jolla on valtuudet suorittaa tehtäviä, kuten organisaation asetusten muuttaminen, lisenssien hallinta ja roolien jakaminen.
  • Kaikkien asiakasorganisaatioiden kokonaisvaltainen Multi-Tenant HDS -asennus ja -hallinta - Kumppanilta vaaditaan täydet järjestelmänvalvojan ja täyden järjestelmänvalvojan oikeudet.
  • Määritettyjen vuokralaisorganisaatioiden hallinta - Kumppanin järjestelmänvalvojan ja täyden järjestelmänvalvojan oikeudet vaaditaan.

Turvallisuusalueen arkkitehtuuri

Webexin pilviarkkitehtuurissa erityyppiset palvelut on jaettu erillisiin alueisiin eli luottamusalueisiin, kuten alla on kuvattu.

Erillisalueet (ilman hybriditietoturvaa)

Jotta hybriditietoturvaa voidaan ymmärtää paremmin, tarkastellaan ensin tätä puhdasta pilvitapausta, jossa Cisco tarjoaa kaikki toiminnot pilvialueillaan. Identiteettipalvelu, joka on ainoa paikka, jossa käyttäjät voidaan suoraan yhdistää henkilökohtaisiin tietoihinsa, kuten sähköpostiosoitteeseen, on loogisesti ja fyysisesti erillään tietoturva-alueesta datakeskuksessa B. Molemmat ovat puolestaan erillään alueesta, johon salattu sisältö lopulta tallennetaan, datakeskuksessa C.

Tässä kaaviossa asiakas on käyttäjän kannettavassa tietokoneessa oleva Webex-sovellus, joka on todennettu tunnistuspalvelun avulla. Kun käyttäjä laatii viestin lähetettäväksi tilaan, seuraavat vaiheet tapahtuvat:

  1. Asiakas luo suojatun yhteyden avaintenhallintapalveluun (KMS) ja pyytää sitten avainta viestin salaamista varten. Suojattu yhteys käyttää ECDH:ta, ja KMS salaa avaimen AES-256-pääavaimella.

  2. Viesti salataan ennen kuin se lähtee asiakkaalta. Asiakas lähettää sen indeksointipalveluun, joka luo salattuja hakuindeksejä sisällön myöhempien hakujen helpottamiseksi.

  3. Salattu viesti lähetetään vaatimustenmukaisuuden tarkistamista varten vaatimustenmukaisuuspalveluun.

  4. Salattu viesti tallennetaan tallennuskenttään.

Kun otat käyttöön hybriditietoturvan, siirrät tietoturvatoiminnot (KMS, indeksointi ja vaatimustenmukaisuus) toimitilakeskukseen. Muut Webexin muodostavat pilvipalvelut (kuten identiteetti ja sisällön tallennus) pysyvät Ciscon vastuulla.

Yhteistyö muiden organisaatioiden kanssa

Organisaatiosi käyttäjät saattavat käyttää Webex App -sovellusta säännöllisesti yhteistyöhön muiden organisaatioiden ulkopuolisten osallistujien kanssa. Kun joku käyttäjistäsi pyytää avainta tilaan, joka on organisaatiosi omistuksessa (koska sen on luonut joku käyttäjistäsi), KMS lähettää avaimen asiakkaalle ECDH-suojatun kanavan kautta. Kun tilan avain on kuitenkin toisen organisaation hallussa, KMS-järjestelmäsi reitittää pyynnön Webex-pilveen erillisen ECDH-kanavan kautta saadakseen avaimen asianmukaiselta KMS-järjestelmältä ja palauttaa avaimen sitten käyttäjälle alkuperäisen kanavan kautta.

Organisaatiossa A toimiva KMS-palvelu validoi yhteydet muiden organisaatioiden KMS-palveluihin x.509 PKI -varmenteiden avulla. Lisätietoja x.509-varmenteen luomisesta Multi-Tenant Hybrid Data Security -käyttöönoton yhteydessä on osoitteessa Prepare your Environment .

Hybriditietoturvan käyttöönottoa koskevat odotukset

Hybriditietoturvan käyttöönotto edellyttää merkittävää sitoutumista ja tietoisuutta riskeistä, joita salausavaimien omistamiseen liittyy.

Hybriditietoturvan käyttöönottamiseksi sinun on annettava seuraavat tiedot:

Jos Hybrid Data Securityn luomasi konfigurointi-ISO tai toimittamasi tietokanta katoaa kokonaan, avaimet menetetään. Avaimen menetys estää käyttäjiä purkamasta tilasisältöä ja muita Webex App -sovelluksen salattuja tietoja. Jos näin käy, voit rakentaa uuden käyttöönoton, mutta vain uusi sisältö on näkyvissä. Jotta vältät pääsyn menetyksen tietoihin, sinun on:

  • Hallitse tietokannan ja konfiguraatio-ISO:n varmuuskopiointia ja palautusta.

  • Valmistaudu nopeaan palautukseen, jos tapahtuu katastrofi, kuten tietokannan levyn vikaantuminen tai tietokeskuksen katastrofi.

Avaimia ei voi siirtää takaisin pilvipalveluun HDS:n käyttöönoton jälkeen.

Korkean tason asennusprosessi

Tässä asiakirjassa käsitellään Multi-Tenant Hybrid Data Security -käyttöönoton asennusta ja hallintaa:

  • Hybrid Data Securityn perustaminen- Tähän sisältyy tarvittavan infrastruktuurin valmistelu ja Hybrid Data Security -ohjelmiston asentaminen, HDS-klusterin rakentaminen, vuokralaisorganisaatioiden lisääminen klusteriin ja niiden Customer Main Keys (CMK) -avaimien hallinta. Näin asiakasorganisaatioiden kaikki käyttäjät voivat käyttää Hybrid Data Security -klusteriasi tietoturvatoimintoihin.

    Asetus-, aktivointi- ja hallintavaiheita käsitellään yksityiskohtaisesti kolmessa seuraavassa luvussa.

  • Ylläpidä hybriditietoturvan käyttöönottoa- Webex-pilvi tarjoaa automaattisesti jatkuvia päivityksiä. Tietotekniikkaosastosi voi tarjota tason yksi tukea tälle käyttöönotolle ja ottaa tarvittaessa käyttöön Ciscon tuen. Voit käyttää näytön ilmoituksia ja määrittää sähköpostipohjaisia hälytyksiä Partner Hubissa.

  • Ymmärrä yleisiä hälytyksiä, vianmääritysvaiheita ja tunnettuja ongelmia-Jos Hybrid Data Securityn käyttöönotossa tai käytössä ilmenee ongelmia, tämän oppaan viimeinen luku ja Tunnetut ongelmat -liite voivat auttaa sinua ongelman määrittämisessä ja korjaamisessa.

Hybriditietoturvan käyttöönottomalli

Hybrid Data Security otetaan käyttöön yrityksen datakeskuksessa erillisissä virtuaalisissa isännöintiasemissa sijaitsevien solmujen klusterina. Solmut kommunikoivat Webex-pilven kanssa suojattujen websockettien ja suojatun HTTP:n kautta.

Asennusprosessin aikana annamme sinulle OVA-tiedoston, jonka avulla voit asentaa virtuaalilaitteen toimittamillesi VM-tietokoneille. HDS Setup Tool -työkalun avulla luot mukautetun klusterin kokoonpanon ISO-tiedoston, jonka asennat kuhunkin solmuun. Hybrid Data Security -klusteri käyttää toimittamaasi Syslogd-palvelinta ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. (Syslogd- ja tietokantayhteyden tiedot määritetään HDS Setup Tool -työkalussa.)

Hybriditietoturvan käyttöönottomalli

Klusterissa voi olla vähintään kaksi solmua. Suosittelemme vähintään kolmea klusteria kohti. Useiden solmujen käyttö varmistaa, että palvelu ei keskeydy ohjelmistopäivityksen tai muun huoltotoimen aikana. (Webex-pilvi päivittää vain yhden solmun kerrallaan.)

Kaikki klusterin solmut käyttävät samaa avaintietovarastoa ja kirjaavat toiminnan samaan syslog-palvelimeen. Itse solmut ovat tilattomia, ja ne käsittelevät avainpyyntöjä round-robin -periaatteella pilven ohjeiden mukaisesti.

Solmuista tulee aktiivisia, kun rekisteröit ne Partner Hubissa. Voit poistaa yksittäisen solmun käytöstä poistamalla sen rekisteristä ja rekisteröimällä sen myöhemmin uudelleen, jos se on tarpeen.

Valmiustietokeskus katastrofista toipumista varten

Käyttöönoton aikana perustat suojatun varakeskuspalvelinkeskuksen. Tietokeskuksen katastrofin sattuessa voit siirtää käyttöönoton manuaalisesti varakeskukseen.

Ennen viansiirtoa datakeskuksessa A on aktiivisia HDS-solmuja ja ensisijainen PostgreSQL- tai Microsoft SQL Server -tietokanta, kun taas datakeskuksessa B on kopio ISO-tiedostosta, jossa on lisäkonfiguraatioita, organisaatioon rekisteröityjä VM:iä ja vara-tietokanta. Viansiirron jälkeen datakeskuksessa B on aktiivisia HDS-solmuja ja ensisijainen tietokanta, kun taas datakeskuksessa A on rekisteröimättömiä VM:iä ja kopio ISO-tiedostosta, ja tietokanta on valmiustilassa.
Manuaalinen viansiirto valmiustietokeskukseen

Aktiivisen ja varalla olevan tietokeskuksen tietokannat ovat synkronoituina keskenään, mikä minimoi viansiirtoon kuluvan ajan.

Aktiivisten hybriditietoturvasolmujen on aina oltava samassa tietokeskuksessa kuin aktiivinen tietokantapalvelin.

Proxy-tuki

Hybrid Data Security tukee nimenomaisia, läpinäkyviä tarkastuksia ja tarkastamattomia välityspalvelimia. Voit liittää nämä välityspalvelimet käyttöönottoasi, jotta voit suojata ja valvoa liikennettä yrityksestä pilvipalveluun. Voit käyttää solmujen alustan hallintakäyttöliittymää varmenteiden hallintaan ja yhteyden yleisen tilan tarkistamiseen sen jälkeen, kun olet määrittänyt välityspalvelimen solmuihin.

Hybriditietoturvasolmut tukevat seuraavia välityspalvelinvaihtoehtoja:

  • Ei välityspalvelinta- Oletusarvo, jos et käytä HDS-solmun Trust Store & Proxy -määritystä välityspalvelimen integroimiseen. Varmenteen päivitystä ei tarvita.

  • Läpinäkyvä ei-tarkastava välityspalvelin-solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen ei-tarkastavan välityspalvelimen kanssa. Varmenteen päivitystä ei tarvita.

  • Läpinäkyvä tunnelointi tai välityspalvelimen tarkastaminen-solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. Solmujen HTTP- tai HTTPS-konfiguraatioita ei tarvitse muuttaa. Solmut tarvitsevat kuitenkin juurivarmenteen, jotta ne voivat luottaa välittäjään. Tietotekniikka käyttää tyypillisesti tarkastavia välityspalvelimia valvomaan käytäntöjä, jotka koskevat sitä, millä verkkosivustoilla voi vierailla ja minkä tyyppistä sisältöä ei saa käyttää. Tämäntyyppinen välityspalvelin purkaa kaiken liikennöintisi (jopa HTTPS).

  • Eksplisiittinen välityspalvelin- Eksplisiittisellä välityspalvelimella kerrot HDS-solmuille, mitä välityspalvelinta ja todennusjärjestelmää käytetään. Jos haluat määrittää nimenomaisen välityspalvelimen, sinun on annettava seuraavat tiedot kussakin solmussa:

    1. Proxy IP/FQDN-osoite, jolla välityskone voidaan tavoittaa.

    2. Välitysportti- Portin numero, jota välityspalvelin käyttää kuunnellakseen välitettyä liikennettä.

    3. Välityspalvelinprotokolla-Valikoima seuraavista protokollista riippuu siitä, mitä välityspalvelimesi tukee:

      • HTTP-näkökulma: Näkee ja valvoo kaikkia asiakkaan lähettämiä pyyntöjä.

      • HTTPS-Varaa kanavan palvelimelle. Asiakas vastaanottaa palvelimen varmenteen ja vahvistaa sen.

    4. Todennustyyppi-Valitse yksi seuraavista todennustyypeistä:

      • Ei mitään - Muita todennuksia ei tarvita.

        Käytettävissä, jos valitset välityspalvelinprotokollaksi joko HTTP:n tai HTTPS:n.

      • Basic-Käytetään HTTP-käyttäjäagenttia antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.

        Käytettävissä, jos valitset välityspalvelinprotokollaksi joko HTTP:n tai HTTPS:n.

        Vaatii käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.

      • Digest-Käytetään tilin vahvistamiseen ennen arkaluontoisten tietojen lähettämistä. Soveltaa hash-funktiota käyttäjänimeen ja salasanaan ennen lähettämistä verkon yli.

        Käytettävissä vain, jos valitset välityspalvelinprotokollaksi HTTPS:n.

        Vaatii käyttäjänimen ja salasanan syöttämistä jokaiseen solmuun.

Esimerkki hybridi-tietoturvasolmuista ja välityspalvelimesta

Tässä kaaviossa on esimerkki Hybrid Data Securityn, verkon ja välityspalvelimen välisestä yhteydestä. Läpinäkyvä tarkastus ja HTTPS:n nimenomainen tarkastus -välityspalvelinvaihtoehdoissa sama juurivarmenne on asennettava välityspalvelimeen ja Hybrid Data Security -solmuun.

Estetty ulkoinen DNS-resoluutiotila (eksplisiittiset välityspalvelinkonfiguraatiot)

Kun rekisteröit solmun tai tarkistat solmun välityspalvelinkokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex -pilveen. Käyttöönotoissa, joissa on nimenomaiset välityspalvelinmääritykset, jotka eivät salli ulkoista DNS-resoluutiota sisäisille asiakkaille, jos solmu ei voi kysyä DNS-palvelimilta, se siirtyy automaattisesti estetty ulkoinen DNS-resoluutio -tilaan. Tässä tilassa solmun rekisteröinti ja muut välityspalvelimen yhteystestit voivat jatkua.

Ympäristön valmistelu

Monen käyttäjän hybriditietoturvaa koskevat vaatimukset

Cisco Webexin lisenssivaatimukset

Multi-Tenant Hybrid Data Securityn käyttöönotto:

  • Kumppanijärjestöt: Ota yhteyttä Cisco-kumppaniin tai tilipalvelun johtajaan ja varmista, että Multi-Tenant-ominaisuus on käytössä.

  • Vuokralaisjärjestöt: Sinulla on oltava Pro Pack for Cisco Webex Control Hub. (Katso https://www.cisco.com/go/pro-pack.)

Docker Desktop -vaatimukset

Ennen kuin asennat HDS-solmut, tarvitset Docker Desktopin asennusohjelman suorittamista varten. Docker päivitti hiljattain lisensointimalliaan. Organisaatiosi saattaa vaatia maksullisen Docker Desktop -tilauksen. Lisätietoja on Dockerin blogikirjoituksessa " Docker päivittää ja laajentaa tuotetilauksia".

Asiakkaat, joilla ei ole Docker Desktop -lisenssiä, voivat käyttää avoimen lähdekoodin konttien hallintatyökalua, kuten Podman Desktopia, konttien ajamiseen, hallintaan ja luomiseen. Katso lisätietoja osoitteesta Run HDS Setup tool using Podman Desktop .

X.509-varmenteen vaatimukset

Varmenteketjun on täytettävä seuraavat vaatimukset:

Taulukko 1. X.509-varmenteen vaatimukset hybriditietoturvan käyttöönottoa varten

Vaatimus

Tiedot

  • Luotettavan varmentajan (CA) allekirjoittama.

Oletusarvoisesti luotamme Mozillan luettelossa oleviin varmentajiin (lukuun ottamatta WoSignia ja StartComia) osoitteessa https://wiki.mozilla.org/CA:IncludedCAs.

  • Karhut Common Name (CN) -verkkotunnus, joka yksilöi hybriditietoturvan käyttöönoton

  • Ei ole jokerimerkkivarmenne

CN:n ei tarvitse olla tavoitettavissa eikä sen tarvitse olla elävä isäntä. Suosittelemme, että käytät nimeä, joka kuvastaa organisaatiotasi, esimerkiksi hds.company.com.

CN ei saa sisältää *-merkkiä (jokerimerkki).

CN:ää käytetään Hybrid Data Security -solmujen varmentamiseen Webex App -asiakkaille. Kaikki klusterin Hybrid Data Security -solmut käyttävät samaa varmentetta. KMS tunnistaa itsensä CN-toimialueen avulla, ei minkään x.509v3 SAN-kenttiin määritellyn toimialueen avulla.

Kun olet rekisteröinyt solmun tällä varmenteella, emme tue CN-verkkotunnuksen nimen muuttamista.

  • Muu kuin SHA1-allekirjoitus

KMS-ohjelmisto ei tue SHA1-allekirjoituksia yhteyksien vahvistamiseksi muiden organisaatioiden KMS-järjestelmiin.

  • Muotoiltu salasanalla suojatuksi PKCS #12-tiedostoksi.

  • Käytä ystävällistä nimeä kms-private-key , kun haluat merkitä ladattavan varmenteen, yksityisen avaimen ja mahdolliset välivarmenteet.

Voit käyttää OpenSSL:n kaltaista muunninta varmenteen muodon muuttamiseen.

Sinun on annettava salasana, kun käynnistät HDS-asennustyökalun.

KMS-ohjelmisto ei noudata avaimen käyttöä tai laajennettua avaimen käyttöä koskevia rajoituksia. Jotkin varmentajat vaativat, että kuhunkin varmenteeseen sovelletaan laajennettuja avainkäyttörajoituksia, kuten palvelimen todennusta. Voit käyttää palvelimen todennusta tai muita asetuksia.

Virtuaalisen isännän vaatimukset

Virtuaalisilla isännöintiasemilla, jotka perustat klusterin Hybrid Data Security -solmuiksi, on seuraavat vaatimukset:

  • Vähintään kaksi erillistä isäntäkonetta (suositellaan kolmea), jotka sijaitsevat samassa suojatussa datakeskuksessa.

  • VMware ESXi 7.0 (tai uudempi) asennettuna ja käynnissä.

    Sinun on päivitettävä, jos käytössäsi on aikaisempi ESXi-versio.

  • Vähintään 4 vCPU:ta, 8 gigatavua keskusmuistia, 30 gigatavua paikallista kiintolevytilaa palvelinta kohden.

Tietokantapalvelimen vaatimukset

Luo uusi tietokanta avainten tallennusta varten. Älä käytä oletustietokantaa. Kun HDS-sovellukset asennetaan, ne luovat tietokantakaavion.

Tietokantapalvelimessa on kaksi vaihtoehtoa. Vaatimukset ovat seuraavat:

Taulukko 2. Tietokantapalvelimen vaatimukset tietokantatyypeittäin

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14, 15 tai 16 asennettuna ja käynnissä.

  • SQL Server 2016, 2017, 2019 tai 2022 (Enterprise tai Standard) asennettuna.

    SQL Server 2016 vaatii Service Pack 2:n ja kumulatiivisen päivityksen 2 tai uudemman.

Vähintään 8 vCPU:ta, 16 Gt keskusmuistia, riittävästi kiintolevytilaa ja valvonta sen varmistamiseksi, että sitä ei ylitetä (suositellaan 2 Tt, jos haluat käyttää tietokantaa pitkään ilman, että tallennustilaa tarvitsee lisätä).

Vähintään 8 vCPU:ta, 16 Gt keskusmuistia, riittävästi kiintolevytilaa ja valvonta sen varmistamiseksi, että sitä ei ylitetä (suositellaan 2 Tt, jos haluat käyttää tietokantaa pitkään ilman, että tallennustilaa tarvitsee lisätä).

HDS-ohjelmisto asentaa tällä hetkellä seuraavat ajuriversiot yhteydenpitoa varten tietokantapalvelimen kanssa:

PostgreSQL

Microsoft SQL Server

Postgres JDBC -ajuri 42.2.5

SQL Server JDBC -ajuri 4.6

Tämä ajuriversio tukee SQL Server Always On -palvelinta ( Always On Failover Cluster Instances ja Always On -saatavuusryhmät).

Lisävaatimukset Windows-todennusta varten Microsoft SQL Serveriä vastaan

Jos haluat, että HDS-solmut käyttävät Windows-todennusta Microsoft SQL Serverin avainsäilytystietokantaan pääsemiseksi, tarvitset ympäristössäsi seuraavat asetukset:

  • HDS-solmut, Active Directory -infrastruktuuri ja MS SQL Server on synkronoitava NTP:n avulla.

  • HDS-solmujen käyttöön annetulla Windows-tilillä on oltava tietokannan luku/kirjoitusoikeus.

  • HDS-solmujen käyttöön antamiesi DNS-palvelimien on kyettävä ratkaisemaan KDC-keskuksesi (Key Distribution Center).

  • Voit rekisteröidä Microsoft SQL Serverin HDS-tietokantainstanssin palvelupääkäyttäjänimeksi (Service Principal Name, SPN) Active Directoryyn. Katso Rekisteröi palvelupääkäyttäjän nimi Kerberos-yhteyksiä varten.

    HDS-asennustyökalun, HDS-launcherin ja paikallisen KMS:n on käytettävä Windows-todennusta avainsäilytystietokannan käyttämiseen. Ne käyttävät ISO-konfiguraation tietoja SPN:n muodostamiseen, kun ne pyytävät pääsyä Kerberos-todennuksen avulla.

Ulkoiset liitäntävaatimukset

Määritä palomuuri sallimaan seuraavat HDS-sovellusten yhteydet:

Sovellus

Protokolla

Portti

Suunta sovelluksesta

Kohde

Hybriditietoturvasolmut

TCP

443

Lähtevä HTTPS ja WSS

  • Webex-palvelimet:

    • *.wbx2.com

    • *.ciscospark.com

  • Kaikki Common Identity -isännät

  • Muut URL-osoitteet, jotka on lueteltu hybriditietoturvan osalta osoitteessa Additional URLs for Webex Hybrid Services -taulukossa Webex-palvelujen verkkovaatimukset

HDS-asennustyökalu

TCP

443

Lähtevä HTTPS

  • *.wbx2.com

  • Kaikki Common Identity -isännät

  • hub.docker.com

Hybriditietoturvasolmut toimivat NAT:n (Network Access Translation) kanssa tai palomuurin takana, kunhan NAT tai palomuuri sallii vaaditut lähtevät yhteydet edellisessä taulukossa esitettyihin toimialueen kohteisiin. Hybriditietoturvasolmuihin saapuvien yhteyksien porttien ei pitäisi näkyä internetistä. Tietokeskuksessasi asiakkaat tarvitsevat hallinnollisia tarkoituksia varten pääsyn hybriditietoturvasolmujen TCP-portteihin 443 ja 22.

Yhteisen identiteetin (CI) isäntien URL-osoitteet ovat aluekohtaisia. Nämä ovat nykyiset CI-isännät:

Alue

Yleiset identiteetin isäntä-URL-osoitteet

Americas

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Euroopan unioni

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Arabiemiirikunnat

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Välityspalvelimen vaatimukset

  • Tuemme virallisesti seuraavia välityspalvelinratkaisuja, jotka voidaan integroida hybriditietoturvasolmujen kanssa.

    • Läpinäkyvä välityspalvelin-Cisco Web Security Appliance (WSA).

    • Eksplisiittinen proxy-Squid.

      HTTPS-liikennettä tarkastavat Squid-välityspalvelimet voivat häiritä websocket-yhteyksien (wss:) muodostamista. Voit kiertää tämän ongelman osoitteessa Configure Squid Proxies for Hybrid Data Security.

  • Tuemme seuraavia todennustyyppiyhdistelmiä nimenomaisille välityspalvelimille:

    • Ei todennusta HTTP:llä tai HTTPS:llä

    • Perustodennus HTTP:llä tai HTTPS:llä

    • Digest-todennus vain HTTPS:n kanssa

  • Läpinäkyvän tarkastavan välityspalvelimen tai HTTPS-selkeän välityspalvelimen osalta sinulla on oltava kopio välityspalvelimen juurivarmenteesta. Tämän oppaan käyttöönotto-ohjeissa kerrotaan, miten kopio ladataan hybriditietoturvasolmujen luotettavuusvarastoihin.

  • HDS-solmuja isännöivä verkko on määritettävä siten, että portista 443 lähtevä TCP-liikenne reititetään välityspalvelimen kautta.

  • Verkkoliikennettä tarkastavat välityspalvelimet voivat häiritä verkkoliikenneyhteyksiä. Jos tämä ongelma ilmenee, ongelman voi ratkaista ohittamalla (tarkastamatta) liikenteen osoitteisiin wbx2.com ja ciscospark.com .

Täytä hybridi-tietoturvan edellytykset.

Varmista tämän tarkistuslistan avulla, että olet valmis asentamaan ja määrittämään Hybrid Data Security -klusterin.
1

Varmista, että kumppaniorganisaatiossasi on Multi-Tenant HDS -ominaisuus käytössä, ja hanki tilitiedot tilille, jolla on kumppanin täysi järjestelmänvalvojan ja järjestelmänvalvojan oikeudet. Varmista, että Webex-asiakasorganisaatiossasi on käytössä Pro Pack for Cisco Webex Control Hub. Ota yhteyttä Cisco-kumppaniin tai asiakaspäällikköön saadaksesi apua tässä prosessissa.

Asiakasorganisaatioilla ei saa olla olemassa olevaa HDS-käyttöönottoa.

2

Valitse toimialueen nimi HDS-käyttöönotollesi (esimerkiksi hds.company.com) ja hanki X.509-varmenteen, yksityisen avaimen ja mahdolliset välivarmenteet sisältävä varmenteketju. Varmenteiden ketjun on täytettävä vaatimukset, jotka on esitetty osoitteessa X.509 Certificate Requirements.

3

Valmistele identtiset virtuaaliset isännät, jotka perustat hybridi-tietoturvasolmuiksi klusteriin. Tarvitset vähintään kaksi erillistä isäntäkonetta (suositellaan kolmea), jotka sijaitsevat samassa suojatussa datakeskuksessa ja jotka täyttävät vaatimukset, jotka on esitetty osoitteessa Virtual Host Requirements.

4

Valmistele tietokantapalvelin, joka toimii klusterin keskeisenä tietovarastona, Tietokantapalvelimen vaatimukset mukaisesti. Tietokantapalvelin on sijoitettava samaan turvalliseen datakeskukseen virtuaalisten isäntien kanssa.

  1. Luo tietokanta avainten tallentamista varten. (Sinun on luotava tämä tietokanta - älä käytä oletustietokantaa.) Kun HDS-sovellukset asennetaan, ne luovat tietokantakaavion.).

  2. Kerää tiedot, joita solmut käyttävät kommunikoidessaan tietokantapalvelimen kanssa:

    • isännän nimi tai IP-osoite (host) ja portti.

    • tietokannan nimi (dbname), johon avaimet tallennetaan.

    • sen käyttäjän käyttäjätunnus ja salasana, jolla on kaikki oikeudet avainten tallennustietokantaan.

5

Jos haluat nopean palautumisen katastrofista, voit perustaa varmuuskopioympäristön toiseen datakeskukseen. Varmuuskopiointiympäristö peilaa tuotantoympäristöä, joka koostuu VM:istä ja varmuuskopioidusta tietokantapalvelimesta. Jos esimerkiksi tuotannossa on 3 VM:ää, joilla on HDS-solmuja, varmuuskopiointiympäristössä pitäisi olla 3 VM:ää.

6

Määritä syslog-isäntä keräämään lokit klusterin solmuista. Kerää sen verkko-osoite ja syslog-portti (oletusarvo on UDP 514).

7

Luo turvallinen varmuuskopiointikäytäntö hybriditietoturvasolmuja, tietokantapalvelinta ja syslog-isäntää varten. Jos haluat estää tietojen menetyksen, jota ei voida palauttaa, sinun on varmuuskopioitava tietokanta ja hybridi-dataturvallisuussolmuja varten luotu määritys-ISO-tiedosto.

Koska hybriditietoturvasolmut tallentavat sisällön salauksessa ja salauksen purkamisessa käytettävät avaimet, toimivan käyttöönoton laiminlyönti johtaa UNRECOVERABLE LOSS kyseisen sisällön menetykseen.

Webex App -asiakkaat tallentavat avaimet välimuistiin, joten katkos ei välttämättä näy heti, mutta se näkyy ajan myötä. Tilapäisiä katkoksia on mahdotonta estää, mutta ne ovat palautettavissa. Jos tietokanta tai konfigurointi-ISO-tiedosto kuitenkin menetetään kokonaan (varmuuskopioita ei ole saatavilla), asiakastietoja ei voida palauttaa. Hybriditietoturvasolmujen ylläpitäjien odotetaan ylläpitävän usein varmuuskopioita tietokannasta ja konfigurointi-ISO-tiedostosta ja olevan valmiita rakentamaan hybriditietoturvatietokeskuksen uudelleen, jos tapahtuu katastrofaalinen vika.

8

Varmista, että palomuurin kokoonpano sallii Hybrid Data Security -solmujen yhteyden Ulkoisen yhteyden vaatimukset mukaisesti.

9

Asenna Docker ( https://www.docker.com) mihin tahansa paikalliseen koneeseen, jossa on tuettu käyttöjärjestelmä (Microsoft Windows 10 Professional tai Enterprise 64-bittinen tai Mac OSX Yosemite 10.10.3 tai uudempi), jossa on verkkoselain, joka voi käyttää sitä osoitteessa http://127.0.0.1:8080.

Docker-instanssin avulla lataat ja suoritat HDS Setup Tool -työkalun, joka luo paikalliset määritystiedot kaikille Hybrid Data Security -solmuille. Saatat tarvita Docker Desktop -lisenssin. Katso lisätietoja osoitteesta Docker Desktop -vaatimukset .

Jotta HDS Setup Tool voidaan asentaa ja käyttää, paikallisella koneella on oltava osoitteessa External connectivity requirements esitetyt liitettävyysvaatimukset.

10

Jos integroit välityspalvelimen Hybrid Data Securityyn, varmista, että se täyttää Proxy Server Requirements-vaatimukset.

Hybriditietoturvaklusterin perustaminen

Hybriditietoturvan käyttöönoton tehtävävirta

Ennen kuin aloitat

1

Suorita alkuasetukset ja lataa asennustiedostot

Lataa OVA-tiedosto paikalliselle koneellesi myöhempää käyttöä varten.

2

Luo konfigurointi-ISO HDS-isäntäkoneille.

Käytä HDS Setup Tool -työkalua luodaksesi ISO-kokoonpanotiedoston Hybrid Data Security -solmuja varten.

3

Asenna HDS Host OVA

Luo virtuaalikone OVA-tiedostosta ja suorita alkumääritykset, kuten verkkoasetukset.

Mahdollisuus määrittää verkkoasetukset OVA-käyttöönoton aikana on testattu ESXi 7.0:lla. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

4

Hybriditietoturva VM:n määrittäminen

Kirjaudu VM-konsoliin ja määritä kirjautumistiedot. Määritä solmun verkkoasetukset, jos et määrittänyt niitä OVA-käyttöönoton yhteydessä.

5

Lataa ja asenna HDS-konfiguraatio-ISO-tiedosto.

Määritä VM HDS Setup Tool -työkalulla luodusta ISO-kokoonpanotiedostosta.

6

HDS-solmun määrittäminen välityspalvelimen integrointia varten

Jos verkkoympäristö edellyttää välityspalvelinkonfiguraatiota, määritä solmun käyttämä välityspalvelintyyppi ja lisää tarvittaessa välityspalvelinvarmenne luottamussäilöön.

7

Rekisteröi klusterin ensimmäinen solmu

Rekisteröi VM Cisco Webex -pilvipalveluun Hybrid Data Security -solmuksi.

8

Luo ja rekisteröi lisää solmuja

Viimeistele klusterin asennus.

9

Aktivoi Multi-Tenant HDS Partner Hubissa.

Aktivoi HDS ja hallinnoi vuokralaisorganisaatioita Partner Hubissa.

Suorita alkuasetukset ja lataa asennustiedostot

Tässä tehtävässä lataat OVA-tiedoston koneellesi (ei palvelimille, jotka olet määrittänyt Hybrid Data Security -solmuiksi). Käytät tätä tiedostoa myöhemmin asennusprosessissa.

1

Kirjaudu sisään Partner Hubiin ja valitse sitten Palvelut.

2

Etsi Pilvipalvelut-osiosta Hybrid Data Security -kortti ja valitse sitten Määritä.

Käyttöönottoprosessin kannalta on tärkeää, että napsautat Partner Hubissa Set up . Älä jatka asennusta suorittamatta tätä vaihetta.

3

Napsauta Lisää resurssi ja napsauta Lataa .OVA-tiedosto Asenna ja määritä ohjelmisto -kortilla.

Ohjelmistopaketin vanhemmat versiot (OVA) eivät ole yhteensopivia uusimpien Hybrid Data Security -päivitysten kanssa. Tämä voi aiheuttaa ongelmia sovelluksen päivittämisen aikana. Varmista, että lataat OVA-tiedoston uusimman version.

Voit myös ladata OVA:n milloin tahansa osoitteesta Help . Napsauta Asetukset > Ohje > Lataa Hybrid Data Security -ohjelmisto.

OVA-tiedoston lataaminen alkaa automaattisesti. Tallenna tiedosto johonkin paikkaan koneellasi.
4

Voit myös tarkistaa, onko tästä oppaasta saatavilla uudempi versio, valitsemalla Katso hybriditietoturvan käyttöönotto-opas .

Luo konfigurointi-ISO HDS-isäntäkoneille.

Hybrid Data Security -asennusprosessi luo ISO-tiedoston. Tämän jälkeen voit määrittää Hybrid Data Security -isäntäsovelluksen ISO-version avulla.

Ennen kuin aloitat
1

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

2

Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti:

docker login -u hdscustomersro
3

Kirjoita salasanakehotteeseen tämä hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Lataa uusin vakaa imago ympäristöllesi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:

  • Tavallisissa ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • FedRAMP-ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080".

6

Setup-työkalu ei tue yhteyden muodostamista localhostiin http://localhost:8080 kautta. Käytä http://127.0.0.1:8080 muodostaaksesi yhteyden localhostiin.

Siirry verkkoselaimella osoitteeseen localhost, http://127.0.0.1:8080, ja kirjoita kehotteeseen Partner Hubin admin-käyttäjätunnus.

Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää asettaakseen oikean ympäristön kyseiselle tilille. Tämän jälkeen työkalu näyttää tavallisen kirjautumiskehotteen.

7

Anna pyydettäessä Partner Hubin ylläpitäjän kirjautumistiedot ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn hybriditietoturvan edellyttämiin palveluihin.

8

Napsauta Setup Tool -katsaussivulla Get Started.

9

ISO Import -sivulla on seuraavat vaihtoehdot:

  • Ei- Jos luot ensimmäistä HDS-solmua, sinulla ei ole ISO-tiedostoa ladattavaksi.
  • Kyllä- Jos olet jo luonut HDS-solmuja, valitse ISO-tiedosto selaimesta ja lataa se.
10

Tarkista, että X.509-varmenne täyttää osoitteessa X.509-varmenteen vaatimukset esitetyt vaatimukset.

  • Jos et ole aiemmin ladannut varmenteita, lataa X.509-varmenne, syötä salasana ja napsauta Jatka.
  • Jos varmenne on OK, valitse Jatka.
  • Jos varmenteesi on vanhentunut tai haluat korvata sen, valitse Ei varten Jatka edellisen ISO:n HDS-varmenteiden ketjun ja yksityisen avaimen käyttöä?. Lataa uusi X.509-varmenne, syötä salasana ja napsauta Jatka.
11

Anna tietokantaosoite ja tili, jonka avulla HDS voi käyttää avaintietovarastoa:

  1. Valitse Tietokantatyyppi (PostgreSQL tai Microsoft SQL Server).

    Jos valitset Microsoft SQL Server, saat Authentication Type -kentän.

  2. (Vain Microsoft SQL Server ) Valitse Todennustyyppi:

    • Perustodennus: Tarvitset paikallisen SQL Server -tilin nimen Käyttäjänimi -kenttään.

    • Windows-todennus: Tarvitset Windows-tilin muodossa username@DOMAIN kenttään Käyttäjätunnus .

  3. Kirjoita tietokantapalvelimen osoite muodossa : tai :.

    Esimerkki:
    dbhost.example.org:1433 tai 198.51.100.17:1433

    Voit käyttää IP-osoitetta perustodennukseen, jos solmut eivät voi käyttää DNS:ää isäntänimen ratkaisemiseen.

    Jos käytät Windows-todennusta, sinun on annettava täyteen määritetty verkkotunnus muodossa dbhost.example.org:1433

  4. Kirjoita tietokannan nimi.

  5. Kirjoita Käyttäjätunnus ja Salasana käyttäjälle, jolla on kaikki oikeudet avaintallennustietokantaan.

12

Valitse TLS-tietokantayhteystapa:

Tila

Kuvaus

Prefer TLS (oletusasetus)

HDS-solmut eivät vaadi TLS-yhteyttä tietokantapalvelimeen. Jos otat TLS:n käyttöön tietokantapalvelimessa, solmut yrittävät muodostaa salatun yhteyden.

Vaadi TLS

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

Vaadi TLS ja tarkista varmenteen allekirjoittaja

Tätä tilaa ei voi käyttää SQL Server -tietokantoihin.

  • HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

  • TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa tietokannan juurivarmenteessa olevaan varmentajaan. Jos ne eivät täsmää, solmu katkaisee yhteyden.

Lataa tätä vaihtoehtoa varten tarvittava juurivarmenne Database root certificate -pudotusvalikon alapuolella olevalla ohjaimella.

Vaadi TLS ja tarkista varmenteen allekirjoittaja ja isäntänimi.

  • HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin voi neuvotella TLS:stä.

  • TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimen varmenteen allekirjoittajaa tietokannan juurivarmenteessa olevaan varmentajaan. Jos ne eivät täsmää, solmu katkaisee yhteyden.

  • Solmut tarkistavat myös, että palvelinvarmenteessa oleva isäntänimi vastaa tietokannan isäntä ja portti -kentässä olevaa isäntänimeä. Nimien on täsmälleen täsmättävä, tai solmu katkaisee yhteyden.

Lataa tätä vaihtoehtoa varten tarvittava juurivarmenne Database root certificate -pudotusvalikon alapuolella olevalla ohjaimella.

Kun lataat juurivarmenteen (tarvittaessa) ja napsautat Jatka, HDS Setup Tool testaa TLS-yhteyden tietokantapalvelimeen. Työkalu tarkistaa tarvittaessa myös varmenteen allekirjoittajan ja isäntänimen. Jos testi epäonnistuu, työkalu näyttää virheilmoituksen, jossa kuvataan ongelma. Voit valita, jätätkö virheen huomiotta ja jatkatko asennusta. (Yhteyseroista johtuen HDS-solmut saattavat pystyä muodostamaan TLS-yhteyden, vaikka HDS Setup Tool -kone ei pystyisi onnistuneesti testaamaan sitä.)

13

Määritä Syslogd-palvelin Järjestelmälokit-sivulla:

  1. Kirjoita syslog-palvelimen URL-osoite.

    Jos palvelin ei ole DNS-ratkaisukelpoinen HDS-klusterin solmuista, käytä URL-osoitteessa IP-osoitetta.

    Esimerkki:
    udp://10.92.43.23:514 osoittaa kirjautumisen Syslogd-isäntään 10.92.43.23 UDP-porttiin 514.

  2. Jos olet määrittänyt palvelimesi käyttämään TLS-salausta, tarkista Onko syslog-palvelimesi määritetty SSL-salausta varten?.

    Jos valitset tämän valintaruudun, varmista, että annat TCP-URL-osoitteen, kuten tcp://10.92.43.23:514.

  3. Valitse ISO-tiedostolle sopiva asetus Choose syslog record termination -pudotusvalikosta: Valitse tai Newline käytetään Graylog- ja Rsyslog TCP -palveluissa.

    • Nollatavu -- \x00

    • Newline -- \n-Valitse tämä valinta Graylog- ja Rsyslog TCP -palveluille.

  4. Napsauta Jatka.

14

(Valinnainen) Voit muuttaa joidenkin tietokantayhteysparametrien oletusarvoa osoitteessa Lisäasetukset. Yleensä tämä parametri on ainoa, jota kannattaa muuttaa:

app_datasource_connection_pool_maxSize: 10
15

Napsauta Jatka Reset Service Accounts Password -näytössä.

Palvelutilien salasanojen käyttöikä on yhdeksän kuukautta. Käytä tätä näyttöä, kun salasanasi ovat umpeutumassa tai haluat nollata ne aiempien ISO-tiedostojen mitätöimiseksi.

16

Klikkaa Lataa ISO-tiedosto. Tallenna tiedosto paikkaan, josta se on helppo löytää.

17

Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmään.

Pidä varmuuskopio turvassa. Tämä tiedosto sisältää tietokannan sisällön pääsalausavaimen. Rajoita käyttöoikeus vain niille Hybrid Data Securityn järjestelmänvalvojille, joiden pitäisi tehdä määritysmuutoksia.

18

Voit sammuttaa Setup-työkalun kirjoittamalla CTRL+C.

Mitä tehdä seuraavaksi

Varmuuskopioi konfigurointi-ISO-tiedosto. Tarvitset sitä luodaksesi lisää solmuja toipumista varten tai tehdessäsi kokoonpanomuutoksia. Jos menetät kaikki ISO-tiedoston kopiot, menetät myös pääavaimen. Avainten palauttaminen PostgreSQL- tai Microsoft SQL Server -tietokannasta ei ole mahdollista.

Meillä ei ole koskaan kopiota tästä avaimesta, emmekä voi auttaa, jos kadotat sen.

Asenna HDS Host OVA

Luo virtuaalikone OVA-tiedostosta tämän menettelyn avulla.
1

Kirjaudu ESXi-virtuaali-isäntäkoneeseen VMware vSphere -asiakasohjelman avulla.

2

Valitse File > Deploy OVF Template.

3

Määritä ohjatussa toiminnossa aiemmin lataamasi OVA-tiedoston sijainti ja napsauta sitten Next.

4

Kirjoita Valitse nimi ja kansio -sivulla Virtuaalikoneen nimi solmulle (esimerkiksi "HDS_Node_1"), valitse sijainti, jossa virtuaalikoneen solmun käyttöönotto voi sijaita, ja napsauta sitten Seuraava.

5

Valitse Valitse laskentaresurssi -sivulla kohdelaskentaresurssi ja napsauta sitten Seuraava.

Validointitarkistus suoritetaan. Kun se on valmis, mallin tiedot tulevat näkyviin.

6

Tarkista mallin tiedot ja napsauta sitten Next.

7

Jos sinua pyydetään valitsemaan resurssikokoonpano sivulla Configuration , valitse 4 CPU ja valitse sitten Next.

8

Valitse Valitse tallennustila -sivulla Seuraava hyväksyäksesi oletusarvoisen levymuodon ja VM-tallennuskäytännön.

9

Valitse Valitse verkot -sivulla verkkovaihtoehto luettelosta, joka tarjoaa VM:lle halutun yhteyden.

10

Määritä seuraavat verkkoasetukset sivulla Mukauta mallia :

  • Isäntänimi- Kirjoita solmun FQDN (isäntänimi ja toimialue) tai yksisanainen isäntänimi.

    • Verkkotunnuksen ei tarvitse vastata verkkotunnusta, jota käytit X.509-varmenteen hankkimiseen.

    • Jotta rekisteröinti pilvipalveluun onnistuisi, käytä solmulle asettamassasi FQDN- tai isäntänimessä vain pieniä kirjaimia. Suuraakkosia ei tällä hetkellä tueta.

    • FQDN-nimen kokonaispituus saa olla enintään 64 merkkiä.

  • IP-osoite- Syötä solmun sisäisen liitännän IP-osoite.

    Solmulla pitäisi olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.

  • Mask- Syötä aliverkon peiteosoite pistemääräisenä. Esimerkiksi 255.255.255.255.0.
  • Yhdyskäytävä-Kirjoita yhdyskäytävän IP-osoite. Yhdyskäytävä on verkon solmu, joka toimii yhteyspisteenä toiseen verkkoon.
  • DNS-palvelimet-Kirjoita pilkulla erotettu luettelo DNS-palvelimista, jotka huolehtivat verkkotunnusten muuntamisesta numeerisiksi IP-osoitteiksi. (Enintään 4 DNS-merkintää on sallittu.)
  • NTP-palvelimet-Kirjoita organisaatiosi NTP-palvelin tai muu organisaatiossasi käytettävä ulkoinen NTP-palvelin. Oletusarvoiset NTP-palvelimet eivät välttämättä toimi kaikissa yrityksissä. Voit syöttää useita NTP-palvelimia myös pilkulla erotetulla luettelolla.

  • Aseta kaikki solmut samaan aliverkkoon tai VLAN:iin, jotta kaikki klusterin solmut ovat tavoitettavissa verkon asiakkaista hallinnollisia tarkoituksia varten.

Voit halutessasi ohittaa verkkoasetusten määrityksen ja määrittää asetukset solmun konsolissa kohdan Hybriditietoturva-VM:n määrittäminen ohjeiden mukaisesti.

Mahdollisuus määrittää verkkoasetukset OVA-käyttöönoton aikana on testattu ESXi 7.0:lla. Vaihtoehto ei ehkä ole käytettävissä aiemmissa versioissa.

11

Napsauta hiiren kakkospainikkeella solmun VM:ää ja valitse sitten Power > Power On.

Hybrid Data Security -ohjelmisto asennetaan vieraana VM-isäntään. Olet nyt valmis kirjautumaan konsoliin ja määrittämään solmun.

Vianmääritysvinkkejä

Saattaa esiintyä muutaman minuutin viive, ennen kuin solmupisteiden säiliöt tulevat käyttöön. Konsolissa näkyy siltapalomuuriviesti ensimmäisen käynnistyksen aikana, jolloin et voi kirjautua sisään.

Hybriditietoturva VM:n määrittäminen

Tällä menettelyllä voit kirjautua Hybrid Data Security -solmun VM-konsoliin ensimmäistä kertaa ja määrittää kirjautumistiedot. Voit myös määrittää solmun verkkoasetukset konsolin avulla, jos et määrittänyt niitä OVA-käyttöönoton yhteydessä.

1

Valitse VMware vSphere -asiakasohjelmassa Hybrid Data Security -solmun VM ja valitse Console -välilehti.

VM käynnistyy ja näyttöön tulee kirjautumiskehote. Jos kirjautumiskehote ei tule näkyviin, paina Enter.
2

Kirjaudu sisään ja vaihda tunnistetiedot seuraavilla oletustunnuksilla: käyttäjätunnus ja salasana:

  1. Kirjaudu sisään: admin

  2. Salasana: cisco

Koska kirjaudut VM:ään ensimmäistä kertaa, sinun on vaihdettava järjestelmänvalvojan salasana.

3

Jos olet jo määrittänyt verkkoasetukset kohdassa Install the HDS Host OVA, ohita tämän ohjeen loppuosa. Muussa tapauksessa valitse päävalikosta Edit Configuration .

4

Määritä staattinen konfiguraatio, jossa on IP-osoite, maski, yhdyskäytävä ja DNS-tiedot. Solmulla pitäisi olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.

5

(Valinnainen) Muuta isäntänimeä, toimialuetta tai NTP-palvelinta (-palvelimia) tarvittaessa verkkokäytäntösi mukaiseksi.

Verkkotunnuksen ei tarvitse vastata verkkotunnusta, jota käytit X.509-varmenteen hankkimiseen.

6

Tallenna verkkokokoonpano ja käynnistä VM uudelleen, jotta muutokset tulevat voimaan.

Lataa ja asenna HDS-konfiguraatio-ISO-tiedosto.

Määritä virtuaalikone HDS Setup Tool -työkalulla luodusta ISO-tiedostosta tämän menettelyn avulla.

Ennen kuin aloitat

Koska ISO-tiedostossa on pääavain, se tulisi paljastaa vain, jos se on tarpeen, jotta hybriditietoturva-VM:t ja mahdolliset järjestelmänvalvojat, jotka saattavat joutua tekemään muutoksia, pääsevät siihen käsiksi. Varmista, että vain kyseiset järjestelmänvalvojat voivat käyttää tietovarastoa.

1

Lataa ISO-tiedosto tietokoneeltasi:

  1. Napsauta VMware vSphere -asiakasohjelman vasemmassa navigointipaneelissa ESXi-palvelinta.

  2. Valitse Configuration-välilehden Hardware (Laitteisto) -luettelosta Storage (Tallennus).

  3. Napsauta Datastores-luettelossa hiiren kakkospainikkeella VM-tietovarastoa ja valitse Browse Datastore.

  4. Napsauta Upload Files -kuvaketta ja valitse sitten Upload File.

  5. Siirry paikkaan, josta latasit ISO-tiedoston tietokoneellesi, ja napsauta Avaa.

  6. Hyväksy lataus/download-toiminnon varoitus napsauttamalla Yes ja sulje tietovarasto-valintaikkuna.

2

Kiinnitä ISO-tiedosto:

  1. Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia.

  2. Hyväksy rajoitettujen muokkausasetusten varoitus napsauttamalla OK .

  3. Napsauta CD/DVD Drive 1, valitse vaihtoehto mount from a datastore ISO file ja selaa sijaintiin, johon latasit kokoonpanon ISO-tiedoston.

  4. Tarkista Kytketty ja Kytke virta päälle.

  5. Tallenna muutokset ja käynnistä virtuaalikone uudelleen.

Mitä tehdä seuraavaksi

Jos tietotekniikkakäytäntösi edellyttää, voit vaihtoehtoisesti poistaa ISO-tiedoston liittämisen sen jälkeen, kun kaikki solmut ovat ottaneet käyttöön määritysmuutokset. Katso lisätietoja osoitteesta (Valinnainen) Unmount ISO After HDS Configuration .

HDS-solmun määrittäminen välityspalvelimen integrointia varten

Jos verkkoympäristö edellyttää välityspalvelinta, määritä tällä tavalla, minkä tyyppinen välityspalvelin haluat integroida Hybrid Data Securityyn. Jos valitset läpinäkyvän tarkastavan välityspalvelimen tai nimenomaisen HTTPS-välityspalvelimen, voit ladata ja asentaa juurivarmenteen solmun käyttöliittymän avulla. Voit myös tarkistaa välityspalvelinyhteyden käyttöliittymästä ja korjata mahdollisia ongelmia.

Ennen kuin aloitat

1

Kirjoita HDS-solmun asetusten URL-osoite https://[HDS Node IP or FQDN]/setup verkkoselaimeen, syötä solmulle määrittämäsi järjestelmänvalvojan tunnukset ja napsauta sitten Kirjaudu sisään.

2

Siirry osoitteeseen Trust Store & Proxy ja valitse sitten vaihtoehto:

  • Ei välityspalvelinta- Oletusvaihtoehto ennen välityspalvelimen integroimista. Varmenteen päivitystä ei tarvita.
  • Läpinäkyvä ei-tarkastava välityspalvelin-Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen ei-tarkastavan välityspalvelimen kanssa. Varmenteen päivitystä ei tarvita.
  • Läpinäkyvä välityspalvelimen tarkastaminen-Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. Hybrid Data Security -käyttöönotossa ei tarvita HTTPS-konfiguraatiomuutoksia, mutta HDS-solmut tarvitsevat juurivarmenteen, jotta ne luottavat välityspalvelimeen. Tietotekniikka käyttää tyypillisesti tarkastavia välityspalvelimia valvomaan käytäntöjä, jotka koskevat sitä, millä verkkosivustoilla voi vierailla ja minkä tyyppistä sisältöä ei saa käyttää. Tämäntyyppinen välityspalvelin purkaa kaiken liikennöintisi (jopa HTTPS).
  • Explicit Proxy-Explisiittisellä välityspalvelimella kerrot asiakkaalle (HDS-solmut), mitä välityspalvelinta käyttää, ja tämä vaihtoehto tukee useita todennustyyppejä. Kun olet valinnut tämän vaihtoehdon, sinun on annettava seuraavat tiedot:

    1. Proxy IP/FQDN-osoite, jolla välityskone voidaan tavoittaa.

    2. Välitysportti- Portin numero, jota välityspalvelin käyttää kuunnellakseen välitettyä liikennettä.

    3. Proxy Protocol-Valitse http (tarkastelee ja valvoo kaikkia asiakkaalta vastaanotettuja pyyntöjä) tai https (tarjoaa kanavan palvelimelle ja asiakas vastaanottaa ja vahvistaa palvelimen varmenteen). Valitse vaihtoehto sen mukaan, mitä välityspalvelimesi tukee.

    4. Todennustyyppi-Valitse yksi seuraavista todennustyypeistä:

      • Ei mitään - Muita todennuksia ei tarvita.

        Käytettävissä HTTP- tai HTTPS-välityspalvelimille.

      • Basic-Käytetään HTTP-käyttäjäagenttia antamaan käyttäjänimi ja salasana pyyntöä tehtäessä. Käyttää Base64-koodausta.

        Käytettävissä HTTP- tai HTTPS-välityspalvelimille.

        Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjänimi ja salasana.

      • Digest-Käytetään tilin vahvistamiseen ennen arkaluontoisten tietojen lähettämistä. Soveltaa hash-funktiota käyttäjänimeen ja salasanaan ennen lähettämistä verkon yli.

        Käytettävissä vain HTTPS-välityspalvelimille.

        Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjänimi ja salasana.

Noudata seuraavia vaiheita, kun kyseessä on läpinäkyvä tarkastava välityspalvelin, HTTP-selkeä välityspalvelin, jossa on perustodennus, tai HTTPS-selkeä välityspalvelin.

3

Napsauta Upload a Root Certificate or End Entity Certificate ja siirry sitten valitsemaan välityspalvelimen juurivarmenne.

Varmenne on ladattu, mutta sitä ei ole vielä asennettu, koska solmun on käynnistettävä uudelleen varmenteen asentamiseksi. Saat lisätietoja napsauttamalla varmenteen myöntäjän nimen vieressä olevaa nuolta tai napsauttamalla Poista , jos teit virheen ja haluat ladata tiedoston uudelleen.

4

Testaa solmun ja välityspalvelimen välinen verkkoyhteys napsauttamalla Check Proxy Connection .

Jos yhteystesti epäonnistuu, näyttöön tulee virheilmoitus, jossa kerrotaan syy ja miten voit korjata ongelman.

Jos näet viestin, jonka mukaan ulkoinen DNS-resoluutio ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen. Tämä ehto on odotettavissa monissa eksplisiittisissä välityspalvelinkokoonpanoissa. Voit jatkaa asetusten määrittämistä, ja solmu toimii Estetty ulkoinen DNS-resoluutio -tilassa. Jos luulet, että kyseessä on virhe, suorita nämä vaiheet ja katso sitten Ota estetty ulkoinen DNS-resoluutiotila pois käytöstä.

5

Kun yhteystesti on läpäisty, jos vain https:n välityspalvelimeksi on asetettu explicit proxy, kytke päälle . Reititä kaikki porttien 443/444 https-pyynnöt tästä solmusta explicit proxyn kautta. Tämä asetus vaatii 15 sekuntia tullakseen voimaan.

6

Napsauta Asenna kaikki varmenteet luottamussäilöön (tulee näkyviin, jos kyseessä on HTTPS-selkeän välityspalvelimen tai läpinäkyvä tarkastava välityspalvelin) tai Käynnistä uudelleen (tulee näkyviin, jos kyseessä on HTTP-selkeän välityspalvelimen), lue kehote ja napsauta sitten Asenna , jos olet valmis.

Solmu käynnistyy uudelleen muutamassa minuutissa.

7

Kun solmu on käynnistetty uudelleen, kirjaudu tarvittaessa uudelleen sisään ja avaa sitten Overview -sivu tarkistaaksesi yhteystarkastukset ja varmistaaksesi, että ne ovat kaikki vihreässä tilassa.

Välityspalvelinyhteyden tarkistus testaa vain webex.com-sivuston aliverkkotunnuksen. Jos yhteysongelmia ilmenee, yleinen ongelma on, että jotkin asennusohjeissa luetelluista pilvialueen verkkotunnuksista on estetty välityspalvelimessa.

Rekisteröi klusterin ensimmäinen solmu

Tässä tehtävässä otetaan yleinen solmu, jonka loit kohdassa Hybriditietoturvan VM:n määrittäminen, rekisteröidään solmu Webex-pilveen ja muutetaan se Hybriditietoturvan solmuksi.

Kun rekisteröit ensimmäisen solmun, luot klusterin, johon solmu liitetään. Klusteri sisältää yhden tai useamman solmun, jotka on sijoitettu tarjoamaan redundanssia.

Ennen kuin aloitat

  • Kun aloitat solmun rekisteröinnin, sinun on saatettava se päätökseen 60 minuutin kuluessa tai sinun on aloitettava alusta.

  • Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen admin.webex.com-sivustolle.

1

Kirjaudu sisään osoitteessa https://admin.webex.com.

2

Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

3

Etsi Cloud Services -osiosta Hybrid Data Security -kortti ja napsauta Set up.

4

Valitse avautuvalla sivulla Add a resource.

5

Kirjoita kortin Add a node ensimmäiseen kenttään nimi klusterille, johon haluat määrittää Hybrid Data Security -solmun.

Suosittelemme, että nimeät klusterin sen mukaan, missä klusterin solmut sijaitsevat maantieteellisesti. Esimerkkejä: "San Francisco" tai "New York" tai "Dallas".

6

Kirjoita toiseen kenttään solmun sisäinen IP-osoite tai FQDN (fully qualified domain name) ja napsauta näytön alareunassa Add .

Tämän IP-osoitteen tai FQDN:n tulisi vastata IP-osoitetta tai isäntänimeä ja toimialuetta, joita käytit kohdassa Hybrid Data Security VM:n määrittäminen.

Näyttöön tulee viesti, jossa ilmoitetaan, että voit rekisteröidä solmun Webexiin.
7

Napsauta Go to Node.

Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmujen yhteystesteihin. Jos kaikki testit ovat onnistuneet, näkyviin tulee Salli pääsy hybriditietoturvasolmulle -sivu. Siellä vahvistat, että haluat antaa Webex-organisaatiollesi oikeudet käyttää solmua.

8

Tarkista Allow Access to Your Hybrid Data Security Node -valintaruutu ja napsauta sitten Continue.

Tilisi on vahvistettu ja "Rekisteröinti valmis" -viesti osoittaa, että solmusi on nyt rekisteröity Webex-pilveen.
9

Napsauta linkkiä tai sulje välilehti, niin pääset takaisin Partner Hub Hybrid Data Security -sivulle.

Hybrid Data Security -sivulla Resurssit -välilehdellä näkyy uusi klusteri, joka sisältää rekisteröimäsi solmun. Solmu lataa automaattisesti uusimman ohjelmiston pilvestä.

Luo ja rekisteröi lisää solmuja

Jos haluat lisätä klusteriin lisää solmuja, luot yksinkertaisesti uusia VM:iä ja asennat saman konfigurointi-ISO-tiedoston ja rekisteröit solmun. Suosittelemme, että sinulla on vähintään 3 solmua.

Ennen kuin aloitat

  • Kun aloitat solmun rekisteröinnin, sinun on saatettava se päätökseen 60 minuutin kuluessa tai sinun on aloitettava alusta.

  • Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että sallit poikkeuksen admin.webex.com-sivustolle.

1

Luo uusi virtuaalikone OVA:sta toistamalla vaiheet osoitteessa Install the HDS Host OVA.

2

Määritä uuden VM:n alkukokoonpano toistamalla kohdasta Set up the Hybrid Data Security VM löytyvät vaiheet.

3

Toista uudessa VM:ssä vaiheet osoitteessa Lataa ja asenna HDS-kokoonpanon ISO.

4

Jos otat käyttöön välityspalvelimen, toista kohdan Configure the HDS Node for Proxy Integration vaiheet tarpeen mukaan uutta solmua varten.

5

Rekisteröi solmu.

  1. Valitse https://admin.webex.com-sivustolla Palvelut näytön vasemmassa reunassa olevasta valikosta.

  2. Etsi Cloud Services -osiosta Hybrid Data Security -kortti ja napsauta View all.

    Hybriditietoturvaresurssit-sivu tulee näkyviin.

  3. Äskettäin luotu klusteri näkyy sivulla Resurssit .

  4. Klikkaa klusteria nähdäksesi klusteriin määritetyt solmut.

  5. Napsauta Add a node näytön oikeassa reunassa.

  6. Kirjoita solmun sisäinen IP-osoite tai FQDN (fully qualified domain name) ja napsauta Add.

    Avautuu sivu, jossa on viesti, jonka mukaan voit rekisteröidä solmun Webex-pilveen. Muutaman hetken kuluttua sinut ohjataan Webex-palveluiden solmujen yhteystesteihin. Jos kaikki testit ovat onnistuneet, näkyviin tulee Salli pääsy hybriditietoturvasolmulle -sivu. Siellä vahvistat, että haluat antaa organisaatiollesi oikeudet käyttää solmua.

  7. Tarkista Allow Access to Your Hybrid Data Security Node -valintaruutu ja napsauta sitten Continue.

    Tilisi on vahvistettu ja "Rekisteröinti valmis" -viesti osoittaa, että solmusi on nyt rekisteröity Webex-pilveen.

  8. Napsauta linkkiä tai sulje välilehti, niin pääset takaisin Partner Hub Hybrid Data Security -sivulle.

    Node added ponnahdusviesti näkyy myös Partner Hubin näytön alareunassa.

    Solmusi on rekisteröity.

Hallitse vuokralaisorganisaatioita Multi-Tenant Hybrid Data Security -palvelussa.

Aktivoi Multi-Tenant HDS Partner Hubissa.

Tällä tehtävällä varmistetaan, että kaikki asiakasorganisaatioiden käyttäjät voivat alkaa hyödyntää HDS:n On-Premises-salausavaimia ja muita tietoturvapalveluja.

Ennen kuin aloitat

Varmista, että olet saanut valmiiksi Multi-Tenant HDS -klusterin määrityksen, jossa on tarvittava määrä solmuja.

1

Kirjaudu sisään osoitteessa https://admin.webex.com.

2

Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

3

Etsi Pilvipalvelut-osiosta Hybrid Data Security ja napsauta Muokkaa asetuksia.

4

Napsauta Aktivoi HDS HDS Status -kortilla Aktivoi HDS .

Lisää vuokralaisorganisaatioita Partner Hubiin

Tässä tehtävässä määrität asiakasorganisaatiot hybridi-tietoturvaklusteriin.

1

Kirjaudu sisään osoitteessa https://admin.webex.com.

2

Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

3

Etsi Cloud Services -osiosta Hybrid Data Security ja napsauta View all.

4

Napsauta klusteria, johon haluat määrittää asiakkaan.

5

Siirry Assigned customers -välilehdelle.

6

Napsauta Lisää asiakkaita.

7

Valitse avattavasta valikosta asiakas, jonka haluat lisätä.

8

Napsauta Add, asiakas lisätään klusteriin.

9

Toista vaiheet 6-8 lisätäksesi useita asiakkaita klusteriin.

10

Kun olet lisännyt asiakkaat, napsauta näytön alareunassa Done .

Mitä tehdä seuraavaksi

Käynnistä HDS-asennustyökalu, kuten kohdassa on kuvattu. Create Customer Main Keys (CMKs) using the HDS Setup tool (Luo asiakkaan pääavaimet (CMK:t) HDS-asennustyökalun avulla), jotta saat asennusprosessin päätökseen.

Luo asiakkaan pääavaimet (CMK) HDS Setup -työkalulla.

Ennen kuin aloitat

Määritä asiakkaat sopivaan klusteriin, kuten kohdassa Add tenant organizations in Partner Hub on kuvattu. Suorita HDS Setup -työkalu, jotta saat äskettäin lisättyjen asiakasorganisaatioiden määritysprosessin päätökseen.

  • HDS Setup -työkalu toimii Docker-säiliönä paikallisella koneella. Voit käyttää sitä suorittamalla Dockerin kyseisellä koneella. Asennusprosessi edellyttää Partner Hub -tilin tunnistetietoja, joilla on organisaatiosi täydet järjestelmänvalvojan oikeudet.

    Jos HDS Setup -työkalu toimii ympäristössäsi välityspalvelimen takana, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien avulla, kun käynnistät Docker-säiliön vaiheessa 5. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:

    Kuvaus

    Muuttuja

    HTTP-välityspalvelin ilman todennusta

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-välityspalvelin ilman todennusta

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-välityspalvelin todennuksen kanssa

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-välityspalvelin todennuksen kanssa

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Luomasi konfigurointi-ISO-tiedosto sisältää pääavaimen, jolla PostgreSQL- tai Microsoft SQL Server -tietokanta salataan. Tarvitset uusimman kopion tästä tiedostosta aina, kun teet määritysmuutoksia, kuten näitä:

    • Tietokannan tunnistetiedot

    • Todistuksen päivitykset

    • Muutokset valtuutuskäytäntöön

  • Jos aiot salata tietokantayhteyksiä, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:ää varten.

Hybrid Data Security -asennusprosessi luo ISO-tiedoston. Tämän jälkeen voit määrittää Hybrid Data Security -isäntäsovelluksen ISO-version avulla.

1

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

2

Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti:

docker login -u hdscustomersro
3

Kirjoita salasanakehotteeseen tämä hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Lataa uusin vakaa imago ympäristöllesi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:

  • Tavallisissa ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • FedRAMP-ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080".

6

Setup-työkalu ei tue yhteyden muodostamista localhostiin http://localhost:8080 kautta. Käytä http://127.0.0.1:8080 muodostaaksesi yhteyden localhostiin.

Siirry verkkoselaimella osoitteeseen localhost, http://127.0.0.1:8080, ja kirjoita kehotteeseen Partner Hubin admin-käyttäjätunnus.

Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää asettaakseen oikean ympäristön kyseiselle tilille. Tämän jälkeen työkalu näyttää tavallisen kirjautumiskehotteen.

7

Anna pyydettäessä Partner Hubin ylläpitäjän kirjautumistiedot ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn hybriditietoturvan edellyttämiin palveluihin.

8

Napsauta Setup Tool -katsaussivulla Get Started.

9

Valitse ISO Import -sivulla Yes.

10

Valitse ISO-tiedosto selaimessa ja lataa se.

Varmista yhteys tietokantaan CMK:n hallintaa varten.
11

Siirry Vuokralaisen CMK:n hallinta -välilehdelle, josta löydät seuraavat kolme tapaa hallita vuokralaisen CMK:ta.

  • Create CMK for all ORGs tai Create CMK - Napsauta tätä painiketta näytön yläreunan bannerissa luodaksesi CMK:t kaikille äskettäin lisätyille organisaatioille.
  • Napsauta Manage CMKs -painiketta näytön oikeassa reunassa ja napsauta Create CMKs luodaksesi CMK:t kaikille äskettäin lisätyille organisaatioille.
  • Napsauta ... tietyn organisaation CMK-hallinnan odottavan tilan lähellä taulukossa ja napsauta Create CMK luodaksesi CMK:n kyseiselle organisaatiolle.
12

Kun CMK:n luominen on onnistunut, tila muuttuu taulukossa CMK:n hallinta vireillä -tilasta CMK hallinnoitu-tilaan.

13

Jos CMK:n luominen ei onnistu, näyttöön tulee virheilmoitus.

Poista vuokralaisorganisaatiot

Ennen kuin aloitat

Poistamisen jälkeen asiakasorganisaatioiden käyttäjät eivät voi hyödyntää HDS:ää salaustarpeisiinsa ja menettävät kaikki olemassa olevat tilat. Ennen asiakasorganisaatioiden poistamista ota yhteyttä Cisco-kumppaniin tai asiakaspäällikköön.

1

Kirjaudu sisään osoitteessa https://admin.webex.com.

2

Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

3

Etsi Cloud Services -osiosta Hybrid Data Security ja napsauta View all.

4

Napsauta Resurssit -välilehdellä klusteria, josta haluat poistaa asiakasorganisaatiot.

5

Valitse avautuvalla sivulla Assigned Customers.

6

Napsauta näkyviin tulevasta asiakasorganisaatioiden luettelosta ... sen asiakasorganisaation oikealla puolella, jonka haluat poistaa, ja napsauta Poista klusterista.

Mitä tehdä seuraavaksi

Viimeistele poistoprosessi peruuttamalla asiakasorganisaatioiden CMK-tunnukset osoitteessa Revoke CMKs of tenants removed from HDS.

HDS:stä poistettujen vuokralaisten CMK-tunnusten peruuttaminen.

Ennen kuin aloitat

Poista asiakkaat kyseisestä klusterista, kuten kohdassa Remove tenant organizations on kuvattu. Suorita HDS-asennustyökalu, jotta poistettujen asiakasorganisaatioiden poistoprosessi saadaan päätökseen.

  • HDS Setup -työkalu toimii Docker-säiliönä paikallisella koneella. Voit käyttää sitä suorittamalla Dockerin kyseisellä koneella. Asennusprosessi edellyttää Partner Hub -tilin tunnistetietoja, joilla on organisaatiosi täydet järjestelmänvalvojan oikeudet.

    Jos HDS Setup -työkalu toimii ympäristössäsi välityspalvelimen takana, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien avulla, kun käynnistät Docker-säiliön vaiheessa 5. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:

    Kuvaus

    Muuttuja

    HTTP-välityspalvelin ilman todennusta

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-välityspalvelin ilman todennusta

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-välityspalvelin todennuksen kanssa

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-välityspalvelin todennuksen kanssa

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Luomasi konfigurointi-ISO-tiedosto sisältää pääavaimen, jolla PostgreSQL- tai Microsoft SQL Server -tietokanta salataan. Tarvitset uusimman kopion tästä tiedostosta aina, kun teet määritysmuutoksia, kuten näitä:

    • Tietokannan tunnistetiedot

    • Todistuksen päivitykset

    • Muutokset valtuutuskäytäntöön

  • Jos aiot salata tietokantayhteyksiä, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:ää varten.

Hybrid Data Security -asennusprosessi luo ISO-tiedoston. Tämän jälkeen voit määrittää Hybrid Data Security -isäntäsovelluksen ISO-version avulla.

1

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

2

Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti:

docker login -u hdscustomersro
3

Kirjoita salasanakehotteeseen tämä hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Lataa uusin vakaa imago ympäristöllesi:

Tavallisissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:

  • Tavallisissa ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • FedRAMP-ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080".

6

Setup-työkalu ei tue yhteyden muodostamista localhostiin http://localhost:8080 kautta. Käytä http://127.0.0.1:8080 muodostaaksesi yhteyden localhostiin.

Siirry verkkoselaimella osoitteeseen localhost, http://127.0.0.1:8080, ja kirjoita kehotteeseen Partner Hubin admin-käyttäjätunnus.

Työkalu käyttää tätä käyttäjänimen ensimmäistä merkintää asettaakseen oikean ympäristön kyseiselle tilille. Tämän jälkeen työkalu näyttää tavallisen kirjautumiskehotteen.

7

Anna pyydettäessä Partner Hubin ylläpitäjän kirjautumistiedot ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn hybriditietoturvan edellyttämiin palveluihin.

8

Napsauta Setup Tool -katsaussivulla Get Started.

9

Valitse ISO Import -sivulla Yes.

10

Valitse ISO-tiedosto selaimessa ja lataa se.

11

Siirry Vuokralaisen CMK:n hallinta -välilehdelle, josta löydät seuraavat kolme tapaa hallita vuokralaisen CMK:ta.

  • Revoke CMK for all ORGs or Revoke CMK - Napsauta tätä painiketta näytön yläreunassa olevassa bannerissa peruuttaaksesi kaikkien poistettujen organisaatioiden CMK:t.
  • Napsauta Manage CMKs -painiketta näytön oikeassa reunassa ja napsauta Revoke CMKs peruuttaaksesi kaikkien poistettujen organisaatioiden CMK:t.
  • Napsauta ... lähellä CMK, joka peruutetaan tietyn organisaation tilaa taulukossa ja napsauta Revoke CMK peruuttaaksesi CMK:n kyseiseltä organisaatiolta.
12

Kun CMK:n peruuttaminen on onnistunut, asiakasorganisaatio ei enää näy taulukossa.

13

Jos CMK:n peruuttaminen ei onnistu, näyttöön tulee virheilmoitus.

Testaa hybriditietoturvan käyttöönottoa

Testaa hybriditietoturvan käyttöönottoa

Tällä menettelyllä voit testata Multi-Tenant Hybrid Data Security -salausskenaarioita.

Ennen kuin aloitat

  • Määritä Multi-Tenant Hybrid Data Security -käyttöönotto.

  • Varmista, että sinulla on pääsy syslogiin, jotta voit tarkistaa, että avainpyynnöt kulkevat Multi-Tenant Hybrid Data Security -käyttöönottoon.

1

Avaimet tietylle tilalle asettaa tilan luoja. Kirjaudu Webex-sovellukseen yhtenä asiakasorganisaation käyttäjistä ja luo tila.

Jos poistat hybriditietoturva-asennuksen käytöstä, käyttäjien luomien tilojen sisältöön ei enää pääse käsiksi, kun salausavainten asiakaskeskeytetyt kopiot on korvattu.

2

Lähetä viestejä uuteen tilaan.

3

Tarkista syslog-tulosteesta, että avainpyynnöt kulkevat Hybrid Data Security -käyttöönottoon.

  1. Jos haluat tarkistaa, että käyttäjä on ensin muodostanut suojatun kanavan KMS:ään, suodatetaan osoitteet kms.data.method=create ja kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Löydät seuraavan kaltaisen merkinnän (tunnukset on lyhennetty luettavuuden vuoksi):
    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Jos haluat tarkistaa, onko käyttäjä pyytänyt olemassa olevaa avainta KMS:stä, suodata osoitteet kms.data.method=retrieve ja kms.data.type=KEY:

    Sinun pitäisi löytää seuraava merkintä:
    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Jos haluat tarkistaa, onko käyttäjä pyytänyt uuden KMS-avaimen luomista, suodata osoitteet kms.data.method=create ja kms.data.type=KEY_COLLECTION:

    Sinun pitäisi löytää seuraava merkintä:
    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Jos haluat tarkistaa, onko käyttäjä pyytänyt uuden KMS-resurssiobjektin (KRO) luomista, kun tila tai muu suojattu resurssi luodaan, suodata kms.data.method=create ja kms.data.type=RESOURCE_COLLECTION:

    Sinun pitäisi löytää seuraava merkintä: 
    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Hybriditietojen tietoturvan tilan seuranta

Partner Hubin tilaindikaattori näyttää, onko Multi-Tenant Hybrid Data Security -käyttöönotossa kaikki kunnossa. Jos haluat ennakoivampia hälytyksiä, tilaa sähköposti-ilmoitukset. Sinulle ilmoitetaan, kun palveluun vaikuttavia hälytyksiä tai ohjelmistopäivityksiä tulee.
1

Valitse Partner Hubissa vasemmalla puolella olevasta valikosta Palvelut .

2

Etsi Pilvipalvelut-osiosta Hybrid Data Security ja napsauta Muokkaa asetuksia.

Hybriditietojen suojausasetukset -sivu tulee näkyviin.
3

Kirjoita Sähköposti-ilmoitukset-osioon yksi tai useampi sähköpostiosoite pilkuilla erotettuna ja paina Enter.

Hallitse HDS-käyttöönottoa

Hallitse HDS:n käyttöönottoa

Käytä tässä kuvattuja tehtäviä Hybrid Data Security -käyttöönoton hallintaan.

Aseta klusterin päivitysaikataulu

Hybrid Data Securityn ohjelmistopäivitykset tehdään automaattisesti klusteritasolla, mikä varmistaa, että kaikissa solmuissa on aina sama ohjelmistoversio. Päivitykset tehdään klusterin päivitysaikataulun mukaisesti. Kun ohjelmistopäivitys tulee saataville, voit päivittää klusterin manuaalisesti ennen suunniteltua päivitysaikaa. Voit määrittää tietyn päivitysaikataulun tai käyttää oletusaikataulua 3:00 AM Daily United States: Amerikka/Los Angeles. Voit myös tarvittaessa lykätä tulevaa päivitystä.

Päivityksen aikataulun asettaminen:

1

Kirjaudu sisään Partner Hubiin.

2

Valitse näytön vasemmassa reunassa olevasta valikosta Palvelut.

3

Etsi Cloud Services -osiosta Hybrid Data Security ja napsauta Set up (Määritä).

4

Valitse klusteri Hybriditietoturvaresurssit-sivulla.

5

Napsauta Cluster Settings -välilehteä.

6

Valitse klusterin asetukset -sivun kohdassa Päivitysaikataulu päivitysaikataulun kellonaika ja aikavyöhyke.

Huomautus: Aikavyöhykkeen alla näkyy seuraava saatavilla oleva päivityspäivä ja -aika. Voit tarvittaessa siirtää päivityksen seuraavalle päivälle napsauttamalla Postpone by 24 hours.

Solmun kokoonpanon muuttaminen

Joskus sinun on ehkä muutettava Hybrid Data Security -solmun kokoonpanoa esimerkiksi seuraavista syistä:

  • x.509-varmenteiden muuttaminen vanhentumisen tai muiden syiden vuoksi.

    Emme tue varmenteen CN-verkkotunnuksen nimen muuttamista. Verkkotunnuksen on vastattava klusterin rekisteröinnissä käytettyä alkuperäistä verkkotunnusta.

  • Tietokanta-asetusten päivittäminen PostgreSQL- tai Microsoft SQL Server -tietokannan kopion vaihtamiseksi.

    Emme tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin tai päinvastoin. Jos haluat vaihtaa tietokantaympäristön, aloita uusi Hybrid Data Security -käyttöönotto.

  • Uuden kokoonpanon luominen uuden datakeskuksen valmistelemiseksi.

Hybrid Data Security käyttää turvallisuussyistä myös palvelutilien salasanoja, joiden käyttöikä on yhdeksän kuukautta. Kun HDS-asennustyökalu on luonut nämä salasanat, otat ne käyttöön kussakin HDS-solmussa ISO-määritystiedostossa. Kun organisaatiosi salasanojen voimassaolo lähestyy päättymistään, saat Webex-tiimiltä ilmoituksen, jossa pyydetään palauttamaan konetilisi salasana. (Sähköpostiviestissä on teksti: "Päivitä salasana konetilin API:n avulla."). Jos salasanasi eivät ole vielä vanhentuneet, työkalu antaa sinulle kaksi vaihtoehtoa:

  • Pehmeä nollaus- Vanha ja uusi salasana toimivat molemmat enintään 10 päivän ajan. Käytä tätä ajanjaksoa ISO-tiedoston korvaamiseen solmuissa vähitellen.

  • Hard reset- Vanhat salasanat lakkaavat toimimasta välittömästi.

Jos salasanasi vanhenevat ilman nollausta, se vaikuttaa HDS-palveluun ja edellyttää välitöntä kovaa nollausta ja ISO-tiedoston vaihtamista kaikissa solmuissa.

Tämän menettelyn avulla voit luoda uuden ISO-konfiguraatiotiedoston ja soveltaa sitä klusteriin.

Ennen kuin aloitat

  • HDS Setup -työkalu toimii Docker-säiliönä paikallisella koneella. Voit käyttää sitä suorittamalla Dockerin kyseisellä koneella. Asennusprosessi edellyttää Partner Hub -tilin tunnistetietoja, joilla on kumppanin täydet järjestelmänvalvojan oikeudet .

    Jos sinulla ei ole Docker Desktop -lisenssiä, voit käyttää Podman Desktop -työkalua HDS-asennustyökalun suorittamiseen alla olevan menettelyn vaiheissa 1.a-1.e. Katso lisätietoja osoitteesta Run HDS Setup tool using Podman Desktop .

    Jos HDS Setup -työkalu toimii ympäristössäsi välityspalvelimen takana, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien avulla, kun käynnistät Docker-säiliön osoitteessa 1.e. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:

    Kuvaus

    Muuttuja

    HTTP-välityspalvelin ilman todennusta

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-välityspalvelin ilman todennusta

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-välityspalvelin todennuksen kanssa

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-välityspalvelin todennuksen kanssa

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Tarvitset kopion nykyisestä kokoonpanon ISO-tiedostosta, jotta voit luoda uuden kokoonpanon. ISO-tietokanta sisältää pääavaimen, jolla PostgreSQL- tai Microsoft SQL Server -tietokanta salataan. Tarvitset ISO-tietoa, kun teet määritysmuutoksia, kuten tietokannan valtuustiedot, varmenteen päivitykset tai valtuutuskäytännön muutokset.

1

Suorita HDS-asennustyökalu Dockerin avulla paikallisella koneella.

  1. Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

    Tavallisissa ympäristöissä:

    docker rmi ciscocitg/hds-setup:stable

    FedRAMP-ympäristöissä:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Tämä vaihe puhdistaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

  2. Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti:

    docker login -u hdscustomersro

  3. Kirjoita salasanakehotteeseen tämä hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Lataa uusin vakaa imago ympäristöllesi:

    Tavallisissa ympäristöissä:

    docker pull ciscocitg/hds-setup:stable

    FedRAMP-ympäristöissä:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Varmista, että otat käyttöön uusimman asennustyökalun tätä toimenpidettä varten. Ennen 22. helmikuuta 2018 luoduissa työkalun versioissa ei ole salasanan palautusnäyttöjä.

  5. Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:

    • Tavallisissa ympäristöissä ilman välityspalvelinta:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • FedRAMP-ympäristöissä ilman välityspalvelinta:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080".

  6. Ota selaimella yhteys osoitteeseen localhost, http://127.0.0.1:8080.

    Setup-työkalu ei tue yhteyden muodostamista localhostiin http://localhost:8080 kautta. Käytä http://127.0.0.1:8080 muodostaaksesi yhteyden localhostiin.

  7. Anna pyydettäessä Partner Hub -asiakkaan kirjautumistiedot ja jatka sitten klikkaamalla Accept .

  8. Tuo nykyinen kokoonpano ISO-tiedosto.

  9. Suorita työkalu loppuun ja lataa päivitetty tiedosto noudattamalla ohjeita.

    Voit sammuttaa Setup-työkalun kirjoittamalla CTRL+C.

  10. Luo varmuuskopio päivitetystä tiedostosta toiseen datakeskukseen.

2

Jos sinulla on vain yksi HDS-solmu, jossa on käytössä, luo uusi Hybrid Data Security -solmun VM ja rekisteröi se käyttämällä uutta konfigurointi-ISO-tiedostoa. Tarkempia ohjeita on osoitteessa Create and register more nodes.

  1. Asenna HDS-isännän OVA.

  2. Määritä HDS VM.

  3. Kiinnitä päivitetty kokoonpanotiedosto.

  4. Rekisteröi uusi solmu Partner Hubissa.

3

Asenna ISO-tiedosto olemassa oleviin HDS-solmuihin, joissa on käytössä vanhempi kokoonpanotiedosto. Suorita seuraavat toimenpiteet jokaiselle solmulle vuorotellen ja päivitä jokainen solmu ennen seuraavan solmun sammuttamista:

  1. Sammuta virtuaalikone.

  2. Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia.

  3. Napsauta CD/DVD Drive 1, valitse vaihtoehto mount from an ISO file ja selaa paikkaan, josta latasit uuden kokoonpanon ISO-tiedoston.

  4. Tarkista Kytke virta päälle.

  5. Tallenna muutokset ja käynnistä virtuaalikone.

4

Toista vaihe 3 korvataksesi kokoonpano jokaisessa jäljellä olevassa solmussa, jossa on käytössä vanha kokoonpano.

Sammuta estetty ulkoinen DNS-resoluutiotila

Kun rekisteröit solmun tai tarkistat solmun välityspalvelinkokoonpanon, prosessi testaa DNS-haun ja yhteyden Cisco Webex -pilveen. Jos solmun DNS-palvelin ei pysty ratkaisemaan julkisia DNS-nimiä, solmu siirtyy automaattisesti estetty ulkoinen DNS-resoluutio -tilaan.

Jos solmut pystyvät ratkaisemaan julkiset DNS-nimet sisäisten DNS-palvelimien kautta, voit poistaa tämän tilan käytöstä suorittamalla välityspalvelinyhteystestin uudelleen kussakin solmussa.

Ennen kuin aloitat

Varmista, että sisäiset DNS-palvelimesi pystyvät ratkaisemaan julkisia DNS-nimiä ja että solmusi voivat kommunikoida niiden kanssa.
1

Avaa verkkoselaimessa Hybrid Data Security -solmun käyttöliittymä (esimerkiksi IP-osoite/asetukset, https://192.0.2.0/setup), , syötä solmulle määrittämäsi järjestelmänvalvojan tunnukset ja napsauta sitten Kirjaudu sisään.

2

Siirry osoitteeseen Overview (oletussivu).

Kun se on käytössä, Estetty ulkoinen DNS-resoluutio on asetettu Kyllä.

3

Siirry Trust Store & Proxy -sivulle.

4

Napsauta Tarkista välityspalvelinyhteys.

Jos näet viestin, jonka mukaan ulkoinen DNS-resoluutio ei onnistunut, solmu ei saanut yhteyttä DNS-palvelimeen, ja se pysyy tässä tilassa. Muussa tapauksessa, kun olet käynnistänyt solmun uudelleen ja palannut sivulle Overview , Blocked External DNS Resolution (estetty ulkoinen DNS-resoluutio) -asetuksen pitäisi olla ei.

Mitä tehdä seuraavaksi

Toista välityspalvelinyhteyden testaus Hybrid Data Security -klusterin jokaisessa solmussa.

Poista solmu

Tällä menettelyllä voit poistaa Hybrid Data Security -solmun Webex-pilvestä. Kun olet poistanut solmun klusterista, poista virtuaalikone, jotta suojaustietoihin ei pääse enää käsiksi.
1

Kirjaudu tietokoneen VMware vSphere -asiakasohjelmalla ESXi-virtuaali-isäntäkoneeseen ja sammuta virtuaalikone.

2

Poista solmu:

  1. Kirjaudu sisään Partner Hubiin ja valitse sitten Palvelut.

  2. Valitse Hybriditietoturva-kortissa Näytä kaikki , jolloin Hybriditietoturvaresurssit-sivu tulee näkyviin.

  3. Valitse klusteri näyttääksesi sen yleiskatsauspaneelin.

  4. Napsauta solmua, jonka haluat poistaa.

  5. Napsauta oikealle avautuvassa paneelissa Deregister this node .

  6. Voit myös poistaa solmun rekisteröinnin napsauttamalla ... solmun oikealla puolella ja valitsemalla Poista tämä solmu.

3

Poista VM vSphere-asiakasohjelmassa. (Napsauta hiiren kakkospainikkeella VM:ää vasemmassa navigointipaneelissa ja valitse Poista.)

Jos et poista VM:ää, muista poistaa konfigurointi-ISO-tiedosto. Ilman ISO-tiedostoa et voi käyttää VM:ää turvatietojen käyttämiseen.

Katastrofista palautuminen varalla olevan datakeskuksen avulla

Hybriditietoturvaklusterin tarjoama kriittisin palvelu on avainten luominen ja tallentaminen, joita käytetään viestien ja muun Webex-pilveen tallennetun sisällön salaamiseen. Jokaisen organisaatiossa olevan käyttäjän, joka on määritetty Hybrid Data Security -palveluun, uudet avainten luontipyynnöt ohjataan klusteriin. Klusteri on myös vastuussa luomiensa avainten palauttamisesta kaikille käyttäjille, joilla on oikeus hakea niitä, esimerkiksi keskusteluavaruuden jäsenille.

Koska klusterin kriittisenä tehtävänä on tarjota nämä avaimet, on ehdottoman tärkeää, että klusteri pysyy toiminnassa ja että asianmukaisia varmuuskopioita ylläpidetään. Hybriditietoturvatietokannan tai skeemassa käytetyn konfigurointi-ISO-tietokannan menetys johtaa asiakassisällön KORJAAMATTOMAAN HÄVIÖÖN. Seuraavat käytännöt ovat pakollisia tällaisten menetysten estämiseksi:

Jos katastrofi aiheuttaa sen, että ensisijaisen tietokeskuksen HDS-käyttöönotto ei ole käytettävissä, siirry manuaalisesti varakeskukseen vikasietoisesti tämän ohjeen mukaisesti.

Ennen kuin aloitat

Poista kaikkien solmujen rekisteröinti Partner Hubista, kuten kohdassa Remove a Node on mainittu. Käytä uusinta ISO-tiedostoa, joka on määritetty aiemmin aktiivisena olleen klusterin solmuja varten, suorittaaksesi alla mainitun vikasietoisen siirtomenettelyn.
1

Käynnistä HDS Setup -työkalu ja noudata kohdassa Create a Configuration ISO for the HDS Hosts mainittuja ohjeita.

2

Suorita konfigurointiprosessi loppuun ja tallenna ISO-tiedosto paikkaan, josta se on helppo löytää.

3

Tee ISO-tiedostosta varmuuskopio paikalliseen järjestelmään. Pidä varmuuskopio turvassa. Tämä tiedosto sisältää tietokannan sisällön pääsalausavaimen. Rajoita käyttöoikeus vain niille Hybrid Data Securityn järjestelmänvalvojille, joiden pitäisi tehdä määritysmuutoksia.

4

Napsauta VMware vSphere -asiakkaan vasemmassa navigointipaneelissa VM:ää hiiren kakkospainikkeella ja valitse Muokkaa asetuksia.

5

Napsauta Muokkaa asetuksia >CD/DVD-asema 1 ja valitse Datastore ISO File.

Varmista, että Connected ja Connect at power on on valittuna, jotta päivitetyt konfiguraatiomuutokset tulevat voimaan solmujen käynnistämisen jälkeen.

6

Kytke HDS-solmuun virta ja varmista, ettei hälytyksiä ole kuulunut vähintään 15 minuuttiin.

7

Rekisteröi solmu Partner-keskukseen. Katso Rekisteröi klusterin ensimmäinen solmu.

8

Toista prosessi jokaiselle valmiustietokeskuksen solmulle.

Mitä tehdä seuraavaksi

Jos ensisijainen datakeskus aktivoituu uudelleen vikatilanteen jälkeen, poista varalla olevan datakeskuksen solmujen rekisteröinti ja toista ISO:n määrittäminen ja ensisijaisen datakeskuksen solmujen rekisteröinti edellä mainitulla tavalla.

(Valinnainen) Irrota ISO-levy HDS-konfiguraation jälkeen

HDS:n vakiokokoonpanossa ISO-levy on asennettuna. Jotkut asiakkaat eivät kuitenkaan halua jättää ISO-tiedostoja jatkuvasti asennettuna. Voit poistaa ISO-tiedoston liitännän, kun kaikki HDS-solmut ovat ottaneet uuden kokoonpanon käyttöön.

Käytät edelleen ISO-tiedostoja kokoonpanomuutosten tekemiseen. Kun luot uuden ISO-tietolevyn tai päivität ISO-tietolevyn asetustyökalun avulla, päivitetty ISO-tietolevy on asennettava kaikkiin HDS-solmuihin. Kun kaikki solmusi ovat ottaneet kokoonpanomuutokset käyttöön, voit poistaa ISO-levyn kiinnityksen uudelleen tällä tavalla.

Ennen kuin aloitat

Päivitä kaikki HDS-solmut versioon 2021.01.22.4720 tai uudempaan.

1

Sammuta yksi HDS-solmuistasi.

2

Valitse vCenter Server Appliance -laitteessa HDS-solmu.

3

Valitse Muokkaa asetuksia > CD/DVD-asema ja poista valinta Datastore ISO File.

4

Kytke HDS-solmuun virta ja varmista, että hälytyksiä ei ole tullut vähintään 20 minuuttiin.

5

Toista tämä vuorotellen jokaiselle HDS-solmulle.

Vianmääritys hybridi tietoturva

Näytä hälytykset ja vianmääritys

Hybriditietoturvakäytön katsotaan olevan käyttökelvoton, jos kaikki klusterin solmut eivät ole tavoitettavissa tai klusteri toimii niin hitaasti, että pyynnöt keskeytyvät. Jos käyttäjät eivät pääse Hybrid Data Security -klusteriin, he kokevat seuraavia oireita:

  • Uusia tiloja ei voida luoda (uusia avaimia ei voida luoda).

  • Viestien ja tilojen otsikot eivät onnistu salauksen purkamisessa:

    • Tilaan on lisätty uusia käyttäjiä (ei pysty hakemaan avaimia).

    • Tilan nykyiset käyttäjät käyttävät uutta asiakasta (eivät pysty hakemaan avaimia).

  • Tilan nykyiset käyttäjät jatkavat menestyksekkäästi toimintaansa niin kauan kuin heidän asiakkaillaan on salausavainten välimuisti.

On tärkeää, että valvot hybriditietoturvaklusteriasi asianmukaisesti ja käsittelet kaikki hälytykset nopeasti, jotta vältät palvelukatkokset.

Hälytykset

Jos hybriditietoturva-asetuksissa on ongelmia, Partner Hub näyttää hälytyksiä organisaation ylläpitäjälle ja lähettää sähköpostiviestejä määritettyyn sähköpostiosoitteeseen. Hälytykset kattavat monia yleisiä skenaarioita.

Taulukko 1. Yleiset ongelmat ja niiden ratkaisemiseen tarvittavat vaiheet

Hälytys

Toiminta

Paikallisen tietokannan käyttöhäiriö.

Tarkista tietokantavirheet tai lähiverkko-ongelmat.

Paikallisen tietokantayhteyden epäonnistuminen.

Tarkista, että tietokantapalvelin on käytettävissä ja että solmun määrityksessä käytettiin oikeaa palvelutilin tunnistetietoja.

Pilvipalvelun käyttöhäiriö.

Tarkista, että solmut voivat käyttää Webex-palvelimia osoitteessa Ulkoiset yhteysvaatimukset määritellyllä tavalla.

Pilvipalvelun rekisteröinnin uusiminen.

Pilvipalveluihin rekisteröityminen lopetettiin. Rekisteröinnin uusiminen on käynnissä.

Pilvipalvelun rekisteröinti lopetettu.

Rekisteröinti pilvipalveluihin lopetettu. Palvelu suljetaan.

Palvelua ei ole vielä aktivoitu.

Aktivoi HDS Partner Hubissa.

Määritetty verkkotunnus ei vastaa palvelimen varmennetta.

Varmista, että palvelimen varmenne vastaa määritettyä palvelun aktivointialuetta.

Todennäköisin syy on se, että varmenteen CN-nimike on äskettäin vaihdettu ja se on nyt eri kuin alkuperäisen asennuksen aikana käytetty CN-nimike.

Pilvipalveluiden todennus epäonnistui.

Tarkista palvelutilin tunnusten oikeellisuus ja mahdollinen vanhentuminen.

Paikallista avainsäilytystiedostoa ei onnistuttu avaamaan.

Tarkista paikallisen avainsäilytystiedoston eheys ja salasanan oikeellisuus.

Paikallisen palvelimen varmenne on virheellinen.

Tarkista palvelimen varmenteen voimassaoloaika ja varmista, että sen on myöntänyt luotettava varmentaja.

Ei pysty lähettämään mittareita.

Tarkista paikallisverkon pääsy ulkoisiin pilvipalveluihin.

/media/configdrive/hds-hakemistoa ei ole olemassa.

Tarkista virtuaalisen isäntäkoneen ISO-kiinnityskonfiguraatio. Tarkista, että ISO-tiedosto on olemassa, että se on määritetty liitettäväksi uudelleenkäynnistyksen yhteydessä ja että se liitetään onnistuneesti.

Vuokralaisen organisaation asetuksia ei ole saatu valmiiksi lisättyjen organisaatioiden osalta.

Viimeistele asennus luomalla CMK:t äskettäin lisätyille vuokralaisorganisaatioille HDS Setup Tool -työkalun avulla.

Vuokralaisen organisaation asetuksia ei ole saatu valmiiksi poistettujen organisaatioiden osalta.

Viimeistele asennus peruuttamalla HDS Setup Tool -työkalulla poistettujen vuokralaisorganisaatioiden CMK-tunnukset.

Vianmääritys hybridi tietoturva

Käytä seuraavia yleisiä ohjeita, kun ratkaiset Hybrid Data Securityn ongelmia.
1

Tarkista Partner Hubista mahdolliset hälytykset ja korjaa kaikki sieltä löytyvät kohteet. Katso viitteeksi alla oleva kuva.

2

Tarkista syslog-palvelimen tulosteet Hybrid Data Security -käyttöönoton toiminnan osalta. Suodata sanoja kuten "Varoitus" ja "Virhe" vianmäärityksen helpottamiseksi.

3

Ota yhteyttä osoitteeseen Ciscon tuki.

Muut huomautukset

Hybriditietoturvan tunnetut ongelmat

  • Jos sammutat Hybrid Data Security -klusterin (poistamalla sen Partner Hubissa tai sammuttamalla kaikki solmut), menetät määritys-ISO-tiedoston tai menetät pääsyn avainsäilytystietokantaan, asiakasorganisaatioiden Webex App -käyttäjät eivät voi enää käyttää henkilöluettelossaan olevia tiloja, jotka on luotu KMS-avaimilla. Meillä ei ole tällä hetkellä ratkaisua tai korjausta tähän ongelmaan, ja kehotamme sinua olemaan sammuttamatta HDS-palveluja, kun ne käsittelevät aktiivisia käyttäjätilejä.

  • Asiakas, jolla on olemassa oleva ECDH-yhteys KMS-järjestelmään, säilyttää yhteyden tietyn ajan (todennäköisesti tunnin).

Suorita HDS-asennustyökalu Podman Desktopin avulla

Podman on ilmainen ja avoimen lähdekoodin konttien hallintatyökalu, joka tarjoaa tavan ajaa, hallita ja luoda kontteja. Podman Desktop on ladattavissa osoitteesta https://podman-desktop.io/downloads.

  • HDS Setup -työkalu toimii Docker-säiliönä paikallisella koneella. Pääset siihen käsiksi lataamalla ja käynnistämällä Podmanin kyseisellä koneella. Asennusprosessi edellyttää Control Hub -tilin tunnistetietoja, joilla on organisaatiosi täydet järjestelmänvalvojan oikeudet.

    Jos HDS Setup -työkalu toimii ympäristössäsi välityspalvelimen takana, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien avulla, kun käynnistät Docker-säiliön vaiheessa 5. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:

    Kuvaus

    Muuttuja

    HTTP-välityspalvelin ilman todennusta

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-välityspalvelin ilman todennusta

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-välityspalvelin todennuksen kanssa

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-välityspalvelin todennuksen kanssa

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Luomasi konfigurointi-ISO-tiedosto sisältää pääavaimen, jolla PostgreSQL- tai Microsoft SQL Server -tietokanta salataan. Tarvitset uusimman kopion tästä tiedostosta aina, kun teet määritysmuutoksia, kuten näitä:

    • Tietokannan tunnistetiedot

    • Todistuksen päivitykset

    • Muutokset valtuutuskäytäntöön

  • Jos aiot salata tietokantayhteyksiä, määritä PostgreSQL- tai SQL Server -käyttöönotto TLS:ää varten.

Hybrid Data Security -asennusprosessi luo ISO-tiedoston. Tämän jälkeen voit määrittää Hybrid Data Security -isäntäsovelluksen ISO-version avulla.

1

Kirjoita koneesi komentoriville ympäristöllesi sopiva komento:

Tavallisissa ympäristöissä:

podman rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

podman rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe puhdistaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheilmoituksen, jonka voit jättää huomiotta.

2

Voit kirjautua sisään Docker-kuvausrekisteriin seuraavasti:

podman login docker.io -u hdscustomersro
3

Kirjoita salasanakehotteeseen tämä hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Lataa uusin vakaa imago ympäristöllesi:

Tavallisissa ympäristöissä:

podman pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

podman pull ciscocitg/hds-setup-fedramp:stable
5

Kun veto on valmis, kirjoita ympäristöllesi sopiva komento:

  • Tavallisissa ympäristöissä ilman välityspalvelinta:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • FedRAMP-ympäristöissä ilman välityspalvelinta:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun kontti on käynnissä, näet "Express-palvelin kuuntelee porttia 8080".

Mitä tehdä seuraavaksi

Noudata kohdan Create a Configuration ISO for the HDS Hosts tai Change the Node Configuration jäljellä olevia vaiheita luodaksesi tai muuttaaksesi ISO-kokoonpanoa.

Käytä OpenSSL:ää PKCS12-tiedoston luomiseen

Ennen kuin aloitat

  • OpenSSL on yksi työkalu, jota voidaan käyttää PKCS12-tiedoston saattamiseen oikeaan muotoon HDS-asennustyökalun lataamista varten. On muitakin tapoja tehdä tämä, emmekä me tue tai suosittele yhtä tapaa toisen sijaan.

  • Jos päätät käyttää OpenSSL:ää, annamme tämän ohjeen, jonka avulla voit luoda tiedoston, joka täyttää X.509-varmenteen vaatimukset osoitteessa X.509 Certificate Requirements. Ymmärrä nämä vaatimukset ennen kuin jatkat.

  • Asenna OpenSSL tuettuun ympäristöön. Katso ohjelmisto ja dokumentaatio osoitteesta https://www.openssl.org .

  • Luo yksityinen avain.

  • Aloita tämä toimenpide, kun saat palvelinvarmenteen varmentajalta.

1

Kun saat palvelinvarmenteen varmentajalta, tallenna se osoitteeseen hdsnode.pem.

2

Näytä varmenne tekstinä ja tarkista tiedot.

openssl x509 -text -noout -in hdsnode.pem

3

Luo tekstieditorilla varmennepakettitiedosto nimeltä hdsnode-bundle.pem. Pakettitiedoston on sisällettävä palvelinvarmenne, mahdolliset välivarmentajan varmenteet ja päävarmentajan varmenteet alla olevassa muodossa:

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

Luo .p12-tiedosto, jonka nimi on kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Tarkista palvelimen varmenteen tiedot.

  1. openssl pkcs12 -in hdsnode.p12

  2. Kirjoita kehotteeseen salasana salataksesi yksityisen avaimen niin, että se näkyy tulosteessa. Tarkista sitten, että yksityinen avain ja ensimmäinen varmenne sisältävät rivit friendlyName: kms-private-key.

    Esimerkki:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: 
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----

-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

Mitä tehdä seuraavaksi

Palaa osoitteeseen Suorita Hybriditietoturvan edellytykset. Käytät hdsnode.p12 -tiedostoa ja sille asettamaasi salasanaa kohdassa Luo konfigurointi-ISO HDS-isäntäkoneille.

Voit käyttää näitä tiedostoja uudelleen uuden varmenteen pyytämiseen, kun alkuperäinen varmenne vanhenee.

HDS-solmujen ja pilvipalvelun välinen liikenne

Lähtevien mittareiden keräysliikenne

Hybriditietoturvasolmut lähettävät tiettyjä mittareita Webex-pilveen. Näihin kuuluvat järjestelmän metriikat, jotka koskevat kasan enimmäismäärää, käytettyä kasaa, suorittimen kuormitusta ja säikeiden lukumäärää, synkronisten ja asynkronisten säikeiden metriikat, salausyhteyksien kynnysarvoa, viiveaikaa tai pyyntöjonon pituutta koskevien hälytysten metriikat, tietovaraston metriikat ja salausyhteyksien metriikat. Solmut lähettävät salatun avainmateriaalin kaistan ulkopuolisella (pyynnöstä erillisellä) kanavalla.

Saapuva liikenne

Hybriditietoturvasolmut vastaanottavat Webex-pilvestä seuraavanlaista saapuvaa liikennettä:

  • Asiakkaiden salauspyynnöt, jotka salauspalvelu ohjaa eteenpäin.

  • Solmuohjelmiston päivitykset

Määritä Squid-välityspalvelimet hybridi-dataturvallisuutta varten

Websocket ei voi muodostaa yhteyttä Squid-proxyn kautta

HTTPS-liikennettä tarkastavat Squid-välityspalvelimet voivat häiritä Hybrid Data Securityn vaatimien websocket-yhteyksien (wss:) muodostamista. Näissä osioissa annetaan ohjeita siitä, miten Squidin eri versiot määritetään jättämään wss: -liikenne huomiotta, jotta palvelut toimisivat moitteettomasti.

Kalmarit 4 ja 5

Lisää on_unsupported_protocol -direktiivi osoitteeseen squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

Testasimme menestyksekkäästi hybriditietoturvaa seuraavien osoitteeseen squid.conf lisättyjen sääntöjen avulla. Nämä säännöt voivat muuttua, kun kehitämme ominaisuuksia ja päivitämme Webex-pilveä.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Uudet ja muuttuneet tiedot

Uudet ja muuttuneet tiedot

Tämä taulukko kattaa uudet ominaisuudet tai toiminnot, muutokset olemassa olevaan sisältöön ja kaikki merkittävät virheet, jotka korjattiin Usean vuokralaisen hybriditietoturvan käyttöönotto-oppaassa.

Päiväys

Tehdyt muutokset

8. toukokuuta 2025
4. maaliskuuta 2025

30. tammikuuta 2025

SQL Server -versio 2022 lisätty tuettujen SQL-palvelimien luetteloon kohdassa Tietokantapalvelimen vaatimukset.

15. tammikuuta 2025

Lisätty Usean vuokralaisen hybriditietoturvan rajoitukset.

8. tammikuuta 2025

Lisätty kohtaan Suorita alkuasetukset ja lataa asennustiedostot huomautus, jossa todetaan, että HDS-kortin Asenna -painikkeen napsauttaminen Partner Hubissa on tärkeä vaihe asennusprosessissa.

7. tammikuuta 2025

Päivitettyjä Virtuaalikoneen vaatimuksia, Hybrid Data Securityn käyttöönottotehtäväkulkuaja HDS Host OVA:n asentamista on havainnollistettu ESXi 7.0:n uusien vaatimusten näyttämiseksi.

13. joulukuuta 2024

Ensimmäinen julkaisu.

Usean vuokralaisen hybriditietoturvan poistaminen käytöstä

Usean vuokralaisen HDS:n deaktivoinnin tehtäväkulku

Noudata näitä ohjeita poistaaksesi Multi-Tenant HDS:n kokonaan käytöstä.

Ennen kuin aloitat

Tämän tehtävän saa suorittaa vain kumppanin täysivaltainen järjestelmänvalvoja.
1

Poista kaikki asiakkaat kaikista klustereistasi, kuten kohdassa Poista vuokraajaorganisaatioton mainittu.

2

Peruuta kaikkien asiakkaiden CMK-oikeudet, kuten kohdassa Peruuta HDS:stä poistettujen vuokraajien CMK-oikeudeton mainittu.

3

Poista kaikki solmut kaikista klustereistasi, kuten kohdassa Solmun poistaminenmainitaan.

4

Poista kaikki klusterisi Partner Hubista jommallakummalla seuraavista kahdesta menetelmästä.

  • Napsauta poistettavaa klusteria ja valitse Poista tämä klusteri yleiskatsaussivun oikeasta yläkulmasta.
  • Napsauta Resurssit-sivulla klusterin oikealla puolella olevaa …-painiketta ja valitse Poista klusteri.
5

Napsauta Hybrid Data Securityn yleiskatsaussivulla olevaa Asetukset -välilehteä ja napsauta HDS-tilakortissa Poista HDS käytöstä.

Aloita monivuokralaisen hybriditietoturvan käyttö

Usean vuokralaisen hybridijärjestelmän tietoturvan yleiskatsaus

Tietoturva on ollut Webex-sovelluksen suunnittelun ensisijainen painopiste alusta alkaen. Tämän tietoturvan kulmakivi on sisällön päästä päähän -salaus, jonka Webex-sovelluksen asiakkaat käyttävät vuorovaikutuksessa avaintenhallintapalvelun (KMS) kanssa. KMS vastaa sellaisten kryptografisten avainten luomisesta ja hallinnasta, joita asiakkaat käyttävät viestien ja tiedostojen dynaamiseen salaamiseen ja salauksen purkamiseen.

Oletusarvoisesti kaikki Webex App -asiakkaat saavat päästä päähän -salauksen dynaamisilla avaimilla, jotka on tallennettu pilvipohjaiseen KMS:ään Ciscon tietoturva-alueella. Hybrid Data Security siirtää avaintenhallinnan (KMS) ja muut tietoturvaan liittyvät toiminnot yrityksesi datakeskukseen, joten kenelläkään muulla kuin sinulla ei ole avaimia salattuun sisältöösi.

Usean vuokralaisen hybriditietoturva antaa organisaatioille mahdollisuuden hyödyntää HDS:ää luotettavan paikallisen kumppanin kautta, joka voi toimia palveluntarjoajana ja hallita paikallista salausta ja muita tietoturvapalveluita. Tämä määritys antaa kumppaniorganisaatiolle täyden hallinnan salausavainten käyttöönotosta ja hallinnasta ja varmistaa, että asiakasorganisaatioiden käyttäjätiedot ovat turvassa ulkoiselta käytöltä. Kumppaniorganisaatiot perustavat HDS-instansseja ja luovat HDS-klustereita tarpeen mukaan. Jokainen instanssi voi tukea useita asiakasorganisaatioita toisin kuin tavallinen HDS-käyttöönotto, joka on rajoitettu yhteen organisaatioon.

Vaikka kumppaniorganisaatioilla on määräysvalta käyttöönottoon ja hallintaan, niillä ei ole pääsyä asiakkaiden tuottamaan dataan ja sisältöön. Tämä käyttöoikeus on rajoitettu asiakasorganisaatioille ja niiden käyttäjille.

Tämä antaa myös pienemmille organisaatioille mahdollisuuden hyödyntää HDS:ää, koska avaintenhallintapalvelut ja tietoturvainfrastruktuuri, kuten datakeskukset, omistaa luotettava paikallinen kumppani.

Kuinka monivuokralainen hybriditietoturva tarjoaa datasuvereniteetin ja -hallinnan

  • Käyttäjien luoma sisältö on suojattu ulkopuoliselta käytöltä, kuten pilvipalveluntarjoajilta.
  • Paikalliset luotettavat kumppanit hallinnoivat niiden asiakkaiden salausavaimia, joiden kanssa heillä on jo vakiintunut suhde.
  • Mahdollisuus paikalliseen tekniseen tukeen, jos kumppani tarjoaa sellaisen.
  • Tukee kokouksia, viestejä ja puheluita.

Tämän asiakirjan tarkoituksena on auttaa kumppaniorganisaatioita ottamaan käyttöön ja hallitsemaan asiakkaita usean vuokralaisen hybriditietoturvajärjestelmässä.

Usean vuokralaisen hybriditietoturvan rajoitukset

  • Kumppaniorganisaatioilla ei saa olla olemassa olevaa HDS-käyttöönottoa aktiivisena Control Hubissa.
  • Vuokralais- tai asiakasorganisaatioilla, jotka haluavat kumppanin hallinnoivan niitä, ei saa olla olemassa olevaa HDS-käyttöönottoa Control Hubissa.
  • Kun kumppani on ottanut käyttöön Multi-Tenant HDS:n, kaikki asiakasorganisaatioiden käyttäjät sekä kumppaniorganisaation käyttäjät alkavat hyödyntää Multi-Tenant HDS:ää salauspalveluissaan.

    Kumppaniorganisaatio ja heidän hallinnoimansa asiakasorganisaatiot ovat samassa Multi-Tenant HDS -käyttöönotossa.

    Kumppaniorganisaatio ei enää käytä pilvipohjaista KMS:ää Multi-Tenant HDS:n käyttöönoton jälkeen.

  • Avainten siirtämiseen takaisin Cloud KMS:ään HDS-käyttöönoton jälkeen ei ole mekanismia.
  • Tällä hetkellä jokaisella monivuokralaisen HDS-käyttöönotolla voi olla vain yksi klusteri, jonka alla voi olla useita solmuja.
  • Järjestelmänvalvojan rooleilla on tiettyjä rajoituksia; katso lisätietoja alla olevasta osiosta.

Roolit usean vuokralaisen hybriditietoturvassa

  • Kumppanin täysi järjestelmänvalvoja - Voi hallita kaikkien kumppanin hallinnoimien asiakkaiden asetuksia. Voi myös määrittää järjestelmänvalvojan rooleja organisaation olemassa oleville käyttäjille ja määrittää tiettyjä asiakkaita kumppanijärjestelmänvalvojien hallinnoitavaksi.
  • Kumppanin ylläpitäjä - Voi hallita asetuksia asiakkaille, jotka ylläpitäjä on määrittänyt tai jotka on määritetty käyttäjälle.
  • Täysi järjestelmänvalvoja - Kumppaniorganisaation järjestelmänvalvoja, jolla on valtuudet suorittaa tehtäviä, kuten muokata organisaation asetuksia, hallita lisenssejä ja määrittää rooleja.
  • Kokonaisvaltainen usean vuokralaisen HDS-asennus ja kaikkien asiakasorganisaatioiden hallinta - Kumppanille vaaditaan täysi järjestelmänvalvojan oikeudet ja täydet järjestelmänvalvojan oikeudet.
  • Määritettyjen vuokralaisorganisaatioiden hallinta - Edellyttää kumppanijärjestelmänvalvojan oikeuksia ja täydet järjestelmänvalvojan oikeudet.

Turvallisuusalueen arkkitehtuuri

Webex-pilviarkkitehtuuri erottelee erityyppiset palvelut erillisiin alueisiin eli luottamusalueisiin, kuten alla on kuvattu.

Erillisyyden valtakunnat (ilman hybriditietoturvaa)

Ymmärtääksemme hybriditietoturvaa paremmin tarkastellaan ensin tätä puhdasta pilvitapausta, jossa Cisco tarjoaa kaikki toiminnot pilvialueillaan. Identiteettipalvelu, ainoa paikka, jossa käyttäjien henkilötiedot, kuten sähköpostiosoite, voidaan yhdistää suoraan, on loogisesti ja fyysisesti erillään tietoturva-alueesta datakeskuksessa B. Molemmat ovat puolestaan erillään alueesta, jossa salattua sisältöä lopulta säilytetään, datakeskuksessa C.

Tässä kaaviossa asiakas on käyttäjän kannettavalla tietokoneella toimiva Webex-sovellus, joka on todennettu tunnistuspalvelulla. Kun käyttäjä kirjoittaa viestin lähetettäväksi tilaan, tapahtuu seuraavaa:

  1. Asiakasohjelma muodostaa suojatun yhteyden avaintenhallintapalveluun (KMS) ja pyytää sitten avainta viestin salaamiseksi. Suojattu yhteys käyttää ECDH:ta, ja KMS salaa avaimen AES-256-pääavaimella.

  2. Viesti salataan ennen kuin se lähtee asiakkaalta. Asiakas lähettää sen indeksointipalvelulle, joka luo salattuja hakuindeksejä sisällön tulevien hakujen helpottamiseksi.

  3. Salattu viesti lähetetään vaatimustenmukaisuuspalvelulle vaatimustenmukaisuustarkistuksia varten.

  4. Salattu viesti tallennetaan tallennusalueelle.

Kun otat käyttöön hybriditietoturvan, siirrät tietoturvatoiminnot (KMS, indeksointi ja vaatimustenmukaisuus) paikalliseen konesaliisi. Muut Webexin muodostavat pilvipalvelut (mukaan lukien identiteetin ja sisällön tallennus) pysyvät Ciscon toimialueilla.

Yhteistyö muiden organisaatioiden kanssa

Organisaatiosi käyttäjät saattavat käyttää Webex-sovellusta säännöllisesti yhteistyöhön muiden organisaatioiden ulkopuolisten osallistujien kanssa. Kun joku käyttäjistäsi pyytää avainta organisaatiosi omistamaan tilaan (koska joku käyttäjistäsi on sen luonut), KMS lähettää avaimen asiakkaalle ECDH-suojatun kanavan kautta. Kun tilan avain on toisella organisaatiolla, KMS-järjestelmäsi reitittää pyynnön Webex-pilveen erillisen ECDH-kanavan kautta saadakseen avaimen asianmukaiselta KMS-järjestelmältä ja palauttaa sitten avaimen käyttäjällesi alkuperäisen kanavan kautta.

Organisaatiossa A toimiva KMS-palvelu validoi yhteydet muiden organisaatioiden KMS-järjestelmiin käyttämällä x.509 PKI -varmenteita. Katso lisätietoja x.509-sertifikaatin luomisesta monivuokralaisen hybriditietoturvan käyttöönottoa varten kohdasta Ympäristön valmistelu.

Odotukset hybriditietoturvan käyttöönotolle

Hybriditietoturvan käyttöönotto vaatii merkittävää sitoutumista ja tietoisuutta salausavainten omistamiseen liittyvistä riskeistä.

Hybriditietoturvan käyttöönottoa varten sinun on toimitettava seuraavat tiedot:

  • Suojattu datakeskus maassa, jota Cisco Webex Teams -tilauksettukevat.

  • Laitteet, ohjelmistot ja verkkoyhteydet, jotka on kuvattu kohdassa Ympäristön valmistelu.

Hybrid Data Securitylle luomasi määritys-ISO-tiedoston tai antamasi tietokannan täydellinen menetys johtaa avainten menetykseen. Avaimen menetys estää käyttäjiä purkamasta avaruussisällön ja muiden salattujen tietojen salausta Webex-sovelluksessa. Jos näin käy, voit rakentaa uuden käyttöönoton, mutta vain uusi sisältö on näkyvissä. Jotta vältät pääsyn tietoihin, sinun on:

  • Hallitse tietokannan ja kokoonpanon ISO-tiedoston varmuuskopiointia ja palautusta.

  • Ole valmiina suorittamaan nopea palautus katastrofin sattuessa, kuten tietokantalevyn vikaantumisen tai konesalion katastrofin.

Avainten siirtämiseen takaisin pilveen HDS-käyttöönoton jälkeen ei ole mekanismia.

Korkean tason asennusprosessi

Tämä asiakirja käsittelee usean vuokralaisen hybriditietoturvan käyttöönoton määrittämistä ja hallintaa:

  • Hybriditietoturvan määrittäminen— Tämä sisältää tarvittavan infrastruktuurin valmistelun ja Hybriditietoturvaohjelmiston asentamisen, HDS-klusterin rakentamisen, vuokralaisorganisaatioiden lisäämisen klusteriin ja heidän asiakaspääavaintensa (CMK) hallinnan. Tämä mahdollistaa sen, että kaikki asiakasorganisaatioidesi käyttäjät voivat käyttää Hybrid Data Security -klusteriasi tietoturvatoimintoihin.

    Asennus-, aktivointi- ja hallintavaiheita käsitellään yksityiskohtaisesti seuraavissa kolmessa luvussa.

  • Ylläpidä hybriditietoturvan käyttöönottoa— Webex-pilvipalvelu tarjoaa automaattisesti jatkuvia päivityksiä. IT-osastosi voi tarjota tälle käyttöönottoon ensisijaisen tason tukea ja ottaa tarvittaessa yhteyttä Ciscon tukeen. Voit käyttää näyttöilmoituksia ja määrittää sähköpostipohjaisia hälytyksiä Partner Hubissa.

  • Ymmärrä yleisiä hälytyksiä, vianmääritysvaiheita ja tunnettuja ongelmia— Jos kohtaat ongelmia hybriditietoturvan käyttöönotossa tai käytössä, tämän oppaan viimeinen luku ja Tunnetut ongelmat -liite voivat auttaa sinua määrittämään ja korjaamaan ongelman.

Hybridi tietoturvan käyttöönottomalli

Yritystietokeskuksessa Hybrid Data Security otetaan käyttöön yhtenä klusterina, joka koostuu erillisistä virtuaalipalvelimista. Solmut kommunikoivat Webex-pilven kanssa suojattujen websockettien ja suojatun HTTP-yhteyden kautta.

Asennusprosessin aikana toimitamme sinulle OVA-tiedoston, jolla voit määrittää virtuaalilaitteen toimittamillesi virtuaalikoneille. HDS Setup Toolin avulla voit luoda mukautetun klusterimääritys-ISO-tiedoston, jonka liität jokaiseen solmuun. Hybrid Data Security -klusteri käyttää toimittamaasi Syslogd-palvelinta ja PostgreSQL- tai Microsoft SQL Server -tietokantaa. (Syslogd- ja tietokantayhteyden tiedot määritetään HDS Setup Toolissa.)

Hybridi tietoturvan käyttöönottomalli

Klusterissa voi olla vähintään kaksi solmua. Suosittelemme vähintään kolmea klusteria kohden. Useiden solmujen käyttö varmistaa, että palvelu ei keskeydy ohjelmistopäivityksen tai muun solmun ylläpitotoimen aikana. (Webex-pilvi päivittää vain yhden solmun kerrallaan.)

Kaikki klusterin solmut käyttävät samaa avaintietovarastoa ja kirjaavat toiminnan samaan lokipalvelimeen. Solmut itsessään ovat tilattomia ja käsittelevät avainpyyntöjä round-robin-periaatteella pilven ohjeiden mukaisesti.

Solmut aktivoituvat, kun rekisteröit ne Partner Hubiin. Voit poistaa yksittäisen solmun käytöstä poistamalla sen rekisteröinnin ja rekisteröimällä sen myöhemmin uudelleen tarvittaessa.

Varadatakeskus katastrofien palautumista varten

Käyttöönoton aikana määrität turvallisen varadatakeskuksen. Tietokeskuksen katastrofin sattuessa voit siirtää käyttöönoton manuaalisesti varatietokeskukseen.

Ennen vikasietoisuutta konesalissa A on aktiivisia HDS-solmuja ja ensisijainen PostgreSQL- tai Microsoft SQL Server -tietokanta, kun taas konesalissa B on kopio ISO-tiedostosta, jossa on lisämäärityksiä, organisaatioon rekisteröidyt virtuaalikoneet ja varatietokanta. Vikasietoisuuden jälkeen konesalissa B on aktiiviset HDS-solmut ja ensisijainen tietokanta, kun taas konesalissa A on rekisteröimättömiä virtuaalikoneita ja kopio ISO-tiedostosta, ja tietokanta on valmiustilassa.
Manuaalinen vikasietotila varadatakeskukseen

Aktiivisen ja varadatakeskuksen tietokannat ovat synkronoituja keskenään, mikä minimoi vikasietoisuuden suorittamiseen kuluvan ajan.

Aktiivisten Hybrid Data Security -solmujen on aina oltava samassa konesalissa kuin aktiivinen tietokantapalvelin.

Välityspalvelintuki

Hybrid Data Security tukee eksplisiittisiä, läpinäkyviä tarkastavia ja ei-tarkastavia välityspalvelimia. Voit sitoa nämä välityspalvelimet käyttöönottoosi, jotta voit suojata ja valvoa liikennettä yrityksestä pilveen. Voit käyttää solmujen alustan hallintakäyttöliittymää varmenteiden hallintaan ja yleisen yhteystilan tarkistamiseen sen jälkeen, kun olet määrittänyt välityspalvelimen solmuille.

Hybrid Data Security -solmut tukevat seuraavia välityspalvelinasetuksia:

  • Ei välityspalvelinta— Oletusarvo, jos et käytä HDS-solmun asetusten luotettua säilöä & Välityspalvelimen määritys välityspalvelimen integroimiseksi. Sertifikaatin päivitystä ei vaadita.

  • Läpinäkyvä ei-tarkastava välityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen ei-tarkastavan välityspalvelimen kanssa. Sertifikaatin päivitystä ei vaadita.

  • Läpinäkyvä tunnelointi tai välityspalvelimen tarkastus— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. Solmujen HTTP- tai HTTPS-määritysten muutoksia ei tarvita. Solmut tarvitsevat kuitenkin juurisertifikaatin, jotta ne luottavat välityspalvelimeen. IT-osastot käyttävät tyypillisesti tarkastusvälityspalvelimia valvoakseen käytäntöjä, jotka koskevat sitä, millä verkkosivustoilla voi vierailla ja minkä tyyppistä sisältöä ei sallita. Tämän tyyppinen välityspalvelin purkaa kaiken liikenteesi salauksen (myös HTTPS:n).

  • Eksplisiittinen välityspalvelin— Eksplisiittisellä välityspalvelimella kerrot HDS-solmuille, mitä välityspalvelinta ja todennusmenetelmää niiden tulee käyttää. Jos haluat määrittää eksplisiittisen välityspalvelimen, sinun on annettava seuraavat tiedot jokaiselle solmulle:

    1. Välityspalvelin IP/FQDN—Osoite, jota voidaan käyttää välityspalvelimeen yhteyden muodostamiseen.

    2. Välityspalvelimen portti— Portin numero, jota välityspalvelin käyttää välityspalvelimen liikenteen kuuntelemiseen.

    3. Välityspalvelinprotokolla— Valitse seuraavista protokollista välityspalvelimesi tuen mukaan:

      • HTTP – Näyttää ja hallitsee kaikkia asiakkaan lähettämiä pyyntöjä.

      • HTTPS – Tarjoaa kanavan palvelimelle. Asiakas vastaanottaa ja vahvistaa palvelimen varmenteen.

    4. Todennustyyppi— Valitse seuraavista todennustyypeistä:

      • Ei mitään— Lisätodennusta ei vaadita.

        Käytettävissä, jos valitset välityspalvelimeksi joko HTTP:n tai HTTPS:n.

      • Perus— Käytetään HTTP-käyttäjäagentin käyttäjätunnuksen ja salasanan antamiseen pyyntöä tehtäessä. Käyttää Base64-koodausta.

        Käytettävissä, jos valitset välityspalvelimeksi joko HTTP:n tai HTTPS:n.

        Edellyttää käyttäjätunnuksen ja salasanan syöttämistä jokaisella solmulla.

      • Tiivistelmä— Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Käyttää hajautusfunktiota käyttäjätunnukselle ja salasanalle ennen niiden lähettämistä verkon kautta.

        Käytettävissä vain, jos valitset välityspalvelimeksi HTTPS:n.

        Edellyttää käyttäjätunnuksen ja salasanan syöttämistä jokaisella solmulla.

Esimerkki hybriditietoturvasolmuista ja välityspalvelimesta

Tämä kaavio näyttää esimerkkiyhteyden Hybrid Data Securityn, verkon ja välityspalvelimen välillä. Läpinäkyvän tarkastuksen ja HTTPS-eksplisiittisen tarkastuksen välityspalvelimen vaihtoehtoja varten saman päävarmenteen on oltava asennettuna välityspalvelimelle ja Hybrid Data Security -solmuille.

Estetty ulkoinen DNS-selvitystila (epäselvät välityspalvelimen kokoonpanot)

Kun rekisteröit solmun tai tarkistat solmun välityspalvelimen määritykset, prosessi testaa DNS-haun ja yhteyden Cisco Webex -pilveen. Käyttöönotoissa, joissa on eksplisiittiset välityspalvelinasetukset, jotka eivät salli ulkoista DNS-selvitystä sisäisille asiakkaille, solmu siirtyy automaattisesti Estetty ulkoinen DNS-selvitys -tilaan, jos se ei pysty tekemään kyselyjä DNS-palvelimille. Tässä tilassa solmun rekisteröinti ja muut välityspalvelimen yhteystestit voivat jatkua.

Ympäristön valmistelu

Usean vuokralaisen hybridijärjestelmän tietoturvan vaatimukset

Cisco Webex -lisenssivaatimukset

Usean vuokralaisen hybriditietoturvan käyttöönotto:

  • Yhteistyökumppaniorganisaatiot: Ota yhteyttä Cisco-kumppaniisi tai asiakkuuspäällikköösi ja varmista, että usean käyttäjän ominaisuus on käytössä.

  • Vuokralaisjärjestöt: Sinulla on oltava Pro Pack Cisco Webex Control Hubia varten. (Katso https://www.cisco.com/go/pro-pack.)

Docker-työpöytävaatimukset

Ennen HDS-noodien asentamista tarvitset Docker Desktopin asennusohjelman suorittamiseen. Docker päivitti hiljattain lisensointimallinsa. Organisaatiosi saattaa vaatia maksullisen Docker Desktop -tilauksen. Lisätietoja on Dockerin blogikirjoituksessa " Docker päivittää ja laajentaa tuotetilauksiamme".

Asiakkaat, joilla ei ole Docker Desktop -lisenssiä, voivat käyttää avoimen lähdekoodin säilönhallintatyökalua, kuten Podman Desktopia, säilöjen suorittamiseen, hallintaan ja luomiseen. Katso lisätietoja kohdasta Suorita HDS Setup -työkalu Podman Desktopilla.

X.509-sertifikaattivaatimukset

Varmenneketjun on täytettävä seuraavat vaatimukset:

Taulukko 1. X.509-sertifikaattivaatimukset hybriditietoturvan käyttöönottoa varten

Vaatimus

Tiedot

  • Luotettavan varmenneviranomaisen (CA) allekirjoittama

Oletusarvoisesti luotamme Mozillan luettelossa oleviin varmentajiin (WoSignia ja StartComia lukuun ottamatta) osoitteessa https://wiki.mozilla.org/CA:IncludedCAs.

  • Sisältää Common Name (CN) -verkkotunnusnimen, joka yksilöi Hybrid Data Security -käyttöönottosi

  • Ei ole jokerimerkkivarmenne

CN:n ei tarvitse olla tavoitettavissa tai live-isäntä. Suosittelemme, että käytät organisaatiotasi vastaavaa nimeä, esimerkiksi hds.company.com.

CN-numero ei saa sisältää * (jokerimerkki).

CN:ää käytetään hybriditietoturvasolmujen varmentamiseen Webex-sovellusasiakkaille. Kaikki klusterisi hybriditietoturvasolmut käyttävät samaa varmennetta. KMS-järjestelmäsi tunnistaa itsensä CN-verkkotunnuksen avulla, ei minkään x.509v3 SAN -kentissä määritetyn verkkotunnuksen avulla.

Kun olet rekisteröinyt solmun tällä varmenteella, emme tue CN-verkkotunnusnimen muuttamista.

  • Ei-SHA1-allekirjoitus

KMS-ohjelmisto ei tue SHA1-allekirjoituksia muiden organisaatioiden KMS-järjestelmiin muodostamien yhteyksien validoinnissa.

  • Muotoiltu salasanalla suojatuksi PKCS:ksi #12 tiedosto

  • Käytä ystävällistä nimeä kms-private-key merkitäksesi varmenteen, yksityisen avaimen ja mahdolliset ladattavat välivarmenteet.

Voit muuttaa varmenteen muotoa muunninohjelmalla, kuten OpenSSL:llä.

Sinun on annettava salasana, kun suoritat HDS Setup Toolin.

KMS-ohjelmisto ei pakota avainten käyttöä tai laajennettuja avainten käyttörajoituksia. Jotkin varmentajat vaativat, että jokaiseen varmenteeseen sovelletaan laajennettuja avaimen käyttörajoituksia, kuten palvelimen todennusta. Palvelimen todennuksen tai muiden asetusten käyttö on sallittua.

Virtuaalipalvelimen vaatimukset

Klusteriisi hybriditietoturvasolmuiksi määritettävillä virtuaalipalvelimilla on seuraavat vaatimukset:

  • Vähintään kaksi erillistä isäntää (suositellaan kolmea) samassa suojatussa datakeskuksessa

  • VMware ESXi 7.0 tai 8.0 asennettuna ja käynnissä.

    Sinun on päivitettävä, jos sinulla on vanhempi ESXi-versio.

  • Vähintään 4 virtuaaliprosessoria, 8 Gt keskusmuistia, 30 Gt paikallista kiintolevytilaa palvelinta kohden

Tietokantapalvelimen vaatimukset

Luo uusi tietokanta avainten tallentamista varten. Älä käytä oletustietokantaa. HDS-sovellukset luovat asennettaessa tietokantakaavan.

Tietokantapalvelimelle on kaksi vaihtoehtoa. Kunkin vaatimukset ovat seuraavat:

Taulukko 2. Tietokantapalvelimen vaatimukset tietokannan tyypin mukaan

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14, 15 tai 16 asennettuna ja käynnissä.

  • SQL Server 2016, 2017, 2019 tai 2022 (Enterprise tai Standard) asennettuna.

    SQL Server 2016 vaatii Service Pack 2:n ja kumulatiivisen päivityksen 2 tai uudemman.

Vähintään 8 virtuaaliprosessoria, 16 Gt keskusmuistia, riittävästi kiintolevytilaa ja valvonta sen varmistamiseksi, ettei sitä ylitetä (2 Tt suositellaan, jos haluat käyttää tietokantaa pitkään ilman, että tallennustilaa tarvitsee lisätä)

Vähintään 8 virtuaaliprosessoria, 16 Gt keskusmuistia, riittävästi kiintolevytilaa ja valvonta sen varmistamiseksi, ettei sitä ylitetä (2 Tt suositellaan, jos haluat käyttää tietokantaa pitkään ilman, että tallennustilaa tarvitsee lisätä)

HDS-ohjelmisto asentaa tällä hetkellä seuraavat ajuriversiot tietokantapalvelimen kanssa tapahtuvaa tiedonsiirtoa varten:

PostgreSQL

Microsoft SQL Server

Postgres JDBC -ajuri 42.2.5

SQL Server JDBC -ajuri 4.6

Tämä ohjainversio tukee SQL Server Always On -toimintoa ( Always On -viansietoklusterin instanssit ja Always On -käytettävyysryhmät).

Lisävaatimukset Windows-todennukselle Microsoft SQL Serveriä vastaan

Jos haluat HDS-solmujen käyttävän Windows-todennusta päästäkseen Microsoft SQL Server -avainsäilötietokantaan, tarvitset ympäristössäsi seuraavan määrityksen:

  • HDS-solmut, Active Directory -infrastruktuuri ja MS SQL Server on kaikki synkronoitava NTP:n kanssa.

  • HDS-solmuille antamasi Windows-tilin on oltava read/write pääsy tietokantaan.

  • HDS-solmuille antamiesi DNS-palvelimien on kyettävä selvittämään avaintenjakelukeskuksesi (KDC).

  • Voit rekisteröidä HDS-tietokannan instanssin Microsoft SQL Serverilläsi palvelun päänimenä (SPN) Active Directoryssa. Katso Palvelun päänimen rekisteröiminen Kerberos-yhteyksille.

    HDS-asennustyökalun, HDS-käynnistysohjelman ja paikallisen KMS:n on kaikki käytettävä Windows-todennusta avainsäilötietokannan käyttämiseen. He käyttävät ISO-kokoonpanosi tietoja SPN:n muodostamiseen pyydettäessä pääsyä Kerberos-todennuksella.

Ulkoisen liitännän vaatimukset

Määritä palomuurisi sallimaan seuraavat yhteydet HDS-sovelluksille:

Sovellus

Protokolla

Portti

Ohje sovelluksesta

Kohde

Hybriditietoturvasolmut

TCP

443

Lähtevä HTTPS ja WSS

  • Webex-palvelimet:

    • *.wbx2.com

    • *.ciscospark.com

  • Kaikki Common Identity -isännät

  • Muita Hybrid Data Securityn URL-osoitteita on lueteltu taulukossa Webex Hybrid Servicesin lisä-URL-osoitteet kohdassa Webex-palveluiden verkkovaatimukset

HDS-asennustyökalu

TCP

443

Lähtevä HTTPS

  • *.wbx2.com

  • Kaikki Common Identity -isännät

  • hub.docker.com

Hybrid Data Security -solmut toimivat verkkoyhteyden muuntamisen (NAT) kanssa tai palomuurin takana, kunhan NAT tai palomuuri sallii vaaditut lähtevät yhteydet edellisessä taulukossa mainittuihin toimialuekohteisiin. Hybrid Data Security -solmuihin tulevien yhteyksien osalta Internetistä ei pitäisi näkyä portteja. Tietokeskuksessasi asiakkaiden on päästävä käyttämään Hybrid Data Security -solmuja TCP-porttien 443 ja 22 kautta hallinnollisiin tarkoituksiin.

Common Identity (CI) -isäntien URL-osoitteet ovat aluekohtaisia. Nämä ovat nykyiset CI-isännät:

Alue

Yhteisten identiteettien isäntäURL-osoitteet

Amerikat

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Euroopan unioni

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Arabiemiirikunnat

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Välityspalvelimen vaatimukset

  • Tuemme virallisesti seuraavia välityspalvelinratkaisuja, jotka voidaan integroida Hybrid Data Security -solmuihisi.

    • Läpinäkyvä välityspalvelin – Cisco Web Security Appliance (WSA).

    • Eksplisiittinen välityspalvelin – Kalmari.

      HTTPS-liikennettä tarkastavat Squid-välityspalvelimet voivat häiritä websocketin muodostamista (wss:) yhteydet. Voit kiertää tämän ongelman artikkelissa Squid-välityspalvelimien määrittäminen hybriditietoturvaa varten.

  • Tuemme seuraavia todennustyyppien yhdistelmiä eksplisiittisille välityspalvelimille:

    • Ei todennusta HTTP:n tai HTTPS:n kautta

    • Perustodennus HTTP:n tai HTTPS:n avulla

    • Digest-todennus vain HTTPS:n kautta

  • Läpinäkyvää tarkastavaa välityspalvelinta tai eksplisiittistä HTTPS-välityspalvelinta varten sinulla on oltava kopio välityspalvelimen juurisertifikaatista. Tämän oppaan käyttöönotto-ohjeet kertovat, miten kopio ladataan Hybrid Data Security -solmujen luottamussäilöihin.

  • HDS-solmuja isännöivä verkko on konfiguroitava pakottamaan lähtevän TCP-liikenteen portin 443 kautta reitittämään välityspalvelimen kautta.

  • Verkkoliikennettä tarkastavat välityspalvelimet voivat häiritä verkkosocket-yhteyksiä. Jos tämä ongelma ilmenee, wbx2.com - ja ciscospark.com -osoitteisiin suuntautuvan liikenteen ohittaminen (ei tarkastaminen) ratkaisee ongelman.

Täytä hybriditietoturvan edellytykset

Käytä tätä tarkistuslistaa varmistaaksesi, että olet valmis asentamaan ja määrittämään Hybrid Data Security -klusterisi.
1

Varmista, että kumppaniorganisaatiollasi on käytössä Multi-Tenant HDS -ominaisuus, ja hanki sellaisen tilin tunnistetiedot, jolla on kumppanin täydet järjestelmänvalvojan oikeudet ja täydet järjestelmänvalvojan oikeudet. Varmista, että Webex-asiakasorganisaatiollasi on käytössä Pro Pack for Cisco Webex Control Hub. Ota yhteyttä Cisco-kumppaniisi tai asiakkuuspäällikköösi saadaksesi apua tässä prosessissa.

Asiakasorganisaatioilla ei tulisi olla olemassa olevaa HDS-käyttöönottoa.

2

Valitse HDS-käyttöönotolle verkkotunnus (esimerkiksi hds.company.com) ja hanki varmenneketju, joka sisältää X.509-varmenteen, yksityisen avaimen ja mahdolliset välivarmenteet. Varmenneketjun on täytettävä X.509-varmennevaatimustenvaatimukset.

3

Valmistele identtiset virtuaalikoneet, jotka määrität klusterisi hybriditietoturvasolmuiksi. Tarvitset vähintään kaksi erillistä isäntäkonetta (suositellaan kolmea) samassa suojatussa datakeskuksessa ja täyttämään Virtuaalipalvelinten vaatimukset-kohdassa mainitut vaatimukset.

4

Valmistele klusterin avaintietovarastona toimiva tietokantapalvelin Tietokantapalvelinvaatimustenmukaisesti. Tietokantapalvelimen on sijaittava samassa suojatussa datakeskuksessa virtuaalipalvelinten kanssa.

  1. Luo tietokanta avainten tallentamista varten. (Sinun on luotava tämä tietokanta – älä käytä oletustietokantaa. HDS-sovellukset luovat asennettaessa tietokantarakenteen.

  2. Kerää tiedot, joita solmut käyttävät kommunikoidakseen tietokantapalvelimen kanssa:

    • isäntänimi tai IP-osoite (isäntä) ja portti

    • avainten tallennukseen käytettävän tietokannan nimi (dbname)

    • avainten tallennustietokannan kaikkien käyttöoikeuksien omaavan käyttäjän käyttäjätunnus ja salasana

5

Nopeaa katastrofipalautusta varten luo varmuuskopioympäristö eri konesaliin. Varmuuskopiointiympäristö peilaa virtuaalikoneiden ja varmuuskopiotietokantapalvelimen tuotantoympäristöä. Jos esimerkiksi tuotannossa on kolme virtuaalikonetta, joissa on HDS-solmuja, varmuuskopioympäristössä tulisi olla kolme virtuaalikonetta.

6

Määritä lokitiedostojen keräämiseen klusterin solmuilta tarkoitettu lokitiedostojen isäntä. Kerää sen verkko-osoite ja syslog-portti (oletusarvo on UDP 514).

7

Luo suojattu varmuuskopiointikäytäntö Hybrid Data Security -solmuille, tietokantapalvelimelle ja syslog-isännälle. Jotta vältytään peruuttamattomalta tietojen menetykseltä, sinun on vähintään varmuuskopioitava tietokanta ja Hybrid Data Security -solmuille luotu määritys-ISO-tiedosto.

Koska hybriditietoturvasolmut tallentavat sisällön salauksessa ja salauksen purkamisessa käytettävät avaimet, operatiivisen käyttöönoton ylläpitämättä jättäminen johtaa kyseisen sisällön PALAUTTAMATTOMEEN MENETYKSEEN.

Webex-sovelluksen asiakkaat tallentavat avaimensa välimuistiin, joten käyttökatkos ei välttämättä ole heti havaittavissa, mutta se tulee ilmeiseksi ajan myötä. Vaikka tilapäisiä katkoksia on mahdotonta estää, ne ovat korjattavissa. Tietokannan tai määritys-ISO-tiedoston täydellinen menetys (varmuuskopioita ei ole saatavilla) johtaa kuitenkin siihen, että asiakastietoja ei voida palauttaa. Hybrid Data Security -solmujen operaattoreiden odotetaan ylläpitävän usein varmuuskopioita tietokannasta ja määritys-ISO-tiedostosta ja olevan valmiita rakentamaan Hybrid Data Security -tietokeskus uudelleen, jos tapahtuu katastrofaalinen vika.

8

Varmista, että palomuurisi kokoonpano sallii yhteydet Hybrid Data Security -solmuillesi, kuten on kuvattu kohdassa Ulkoiset yhteysvaatimukset.

9

Asenna Docker ( https://www.docker.com) mille tahansa paikalliselle koneelle, jossa on tuettu käyttöjärjestelmä (Microsoft Windows 10 Professional tai Enterprise 64-bittinen tai Mac OSX Yosemite 10.10.3 tai uudempi) ja verkkoselain, joka voi käyttää sitä osoitteessa http://127.0.0.1:8080.

Docker-instanssin avulla voit ladata ja suorittaa HDS Setup Toolin, joka muodostaa paikalliset määritystiedot kaikille Hybrid Data Security -solmuille. Saatat tarvita Docker Desktop -lisenssin. Lisätietoja on kohdassa Docker Desktopin vaatimukset.

HDS Setup Toolin asentamiseksi ja suorittamiseksi paikallisessa koneessa on oltava kohdassa Ulkoisen liitännän vaatimuksetkuvattu yhteys.

10

Jos integroit välityspalvelimen Hybrid Data Securityn kanssa, varmista, että se täyttää Välityspalvelimen vaatimukset.

Hybriditietoturvaklusterin määrittäminen

Hybriditietoturvan käyttöönoton tehtäväkulku

Ennen kuin aloitat

1

Suorita alkuasetukset ja lataa asennustiedostot

Lataa OVA-tiedosto paikalliselle koneellesi myöhempää käyttöä varten.

2

Luo konfiguraatio-ISO HDS-isännille

Luo ISO-määritystiedosto Hybrid Data Security -solmuille HDS Setup Toolin avulla.

3

Asenna HDS-isännän OVA

Luo virtuaalikone OVA-tiedostosta ja suorita alkumääritykset, kuten verkkoasetukset.

Verkkoasetusten määrittämismahdollisuutta OVA-käyttöönoton aikana on testattu ESXi 7.0:lla ja 8.0:lla. Vaihtoehto ei välttämättä ole käytettävissä aiemmissa versioissa.

4

Hybrid Data Security -virtuaalikoneen asentaminen

Kirjaudu sisään virtuaalikoneen konsoliin ja määritä kirjautumistiedot. Määritä solmun verkkoasetukset, jos et määrittänyt niitä OVA:n käyttöönoton yhteydessä.

5

Lataa ja asenna HDS-konfiguraatio-ISO

Määritä virtuaalikone HDS Setup Toolilla luodusta ISO-määritystiedostosta.

6

HDS-solmun määrittäminen välityspalvelimen integrointia varten

Jos verkkoympäristö vaatii välityspalvelimen määrittämistä, määritä solmulle käytettävän välityspalvelimen tyyppi ja lisää tarvittaessa välityspalvelimen varmenne luottamussäilöön.

7

Rekisteröi klusterin ensimmäinen solmu

Rekisteröi virtuaalikone Cisco Webex -pilvipalveluun Hybrid Data Security -solmuna.

8

Luo ja rekisteröi lisää solmuja

Viimeistele klusterin määritys.

9

Aktivoi Multi-Tenant HDS Partner Hubissa.

Aktivoi HDS ja hallinnoi vuokralaisorganisaatioita Partner Hubissa.

Suorita alkuasetukset ja lataa asennustiedostot

Tässä tehtävässä lataat OVA-tiedoston koneellesi (et palvelimille, jotka olet määrittänyt hybriditietoturvasolmuiksi). Käytät tätä tiedostoa myöhemmin asennusprosessissa.

1

Kirjaudu sisään Partner Hubiin ja napsauta sitten Palvelut.

2

Etsi Pilvipalvelut-osiosta Hybrid Data Security -kortti ja napsauta sitten Määritä.

Määritä -painikkeen napsauttaminen Partner Hubissa on ratkaisevan tärkeää käyttöönottoprosessille. Älä jatka asennusta suorittamatta tätä vaihetta.

3

Napsauta Lisää resurssi ja napsauta sitten Lataa .OVA-tiedostoAsenna ja määritä ohjelmisto -kortilla.

Ohjelmistopaketin (OVA) vanhemmat versiot eivät ole yhteensopivia uusimpien Hybrid Data Security -päivitysten kanssa. Tämä voi aiheuttaa ongelmia sovelluksen päivityksen aikana. Varmista, että lataat OVA-tiedoston uusimman version.

Voit ladata OVA:n milloin tahansa Ohje -osiosta. Valitse Asetukset > Ohje > Lataa hybriditietoturvaohjelmisto.

OVA-tiedoston lataus alkaa automaattisesti. Tallenna tiedosto koneellasi olevaan sijaintiin.
4

Voit halutessasi napsauttaa Katso hybriditietoturvan käyttöönotto-opas tarkistaaksesi, onko tästä oppaasta saatavilla uudempi versio.

Luo konfiguraatio-ISO HDS-isännille

Hybrid Data Securityn asennusprosessi luo ISO-tiedoston. Sitten käytät ISO-tiedostoa Hybrid Data Security -isännän määrittämiseen.

Ennen kuin aloitat
1

Kirjoita koneesi komentoriville ympäristöösi sopiva komento:

Normaaleissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe siivoaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheen, jonka voit jättää huomiotta.

2

Kirjaudu sisään Docker-kuvarekisteriin antamalla seuraavat tiedot:

docker login -u hdscustomersro
3

Kirjoita salasanakehotteeseen tämä tiiviste:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Lataa uusin vakaa levykuva ympäristöösi:

Normaaleissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kun pull-komento on valmis, anna ympäristöllesi sopiva komento:

  • Tavallisissa ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • FedRAMP-ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun säilö on käynnissä, näet viestin "Express-palvelin kuuntelee porttia 8080".

6

Asennustyökalu ei tue yhteyden muodostamista localhostiin -protokollan kautta http://localhost:8080. Käytä http://127.0.0.1:8080 -merkkiä muodostaaksesi yhteyden localhostiin.

Siirry verkkoselaimella paikalliseen isäntään http://127.0.0.1:8080ja kirjoita kehotteeseen Partner Hubin järjestelmänvalvojan käyttäjätunnus.

Työkalu käyttää tätä käyttäjätunnuksen ensimmäistä syöttöä asettaakseen oikean ympäristön kyseiselle tilille. Työkalu näyttää sitten normaalin kirjautumiskehotteen.

7

Anna pyydettäessä Partner Hub -järjestelmänvalvojan kirjautumistiedot ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn Hybrid Data Securityn tarvittaviin palveluihin.

8

Napsauta Asennustyökalun yleiskatsaussivulla Aloita.

9

ISO-tuonti -sivulla on seuraavat vaihtoehdot:

  • Ei—Jos luot ensimmäistä HDS-solmuasi, sinulla ei ole ladattavaa ISO-tiedostoa.
  • Kyllä—Jos olet jo luonut HDS-solmut, valitse ISO-tiedostosi selaamalla ja lataa se.
10

Tarkista, että X.509-varmenteesi täyttää X.509-varmennevaatimukset-kohdassa mainitut vaatimukset.

  • Jos et ole koskaan aiemmin ladannut varmennetta, lataa X.509-varmenne, anna salasana ja napsauta Jatka.
  • Jos varmenne on OK, napsauta Jatka.
  • Jos varmenteesi on vanhentunut tai haluat vaihtaa sen, valitse Ei kohdassa Jatketaanko HDS-varmenneketjun ja edellisen ISO-varmenteen yksityisen avaimen käyttöä?. Lataa uusi X.509-varmenne, anna salasana ja napsauta Jatka.
11

Anna tietokannan osoite ja tili, jotta HDS voi käyttää avaintietovarastoasi:

  1. Valitse Tietokannan tyyppi (PostgreSQL tai Microsoft SQL Server).

    Jos valitset Microsoft SQL Server, näyttöön tulee Todennustyyppi-kenttä.

  2. (vain Microsoft SQL Server ) Valitse todennustyyppisi:

    • Perustunnistus: Tarvitset paikallisen SQL Server -tilin nimen Käyttäjätunnus -kenttään.

    • Windows-todennus: Tarvitset Windows-tilin muodossa username@DOMAINKäyttäjätunnus -kentässä.

  3. Syötä tietokantapalvelimen osoite muodossa : tai :.

    Esimerkki:
    dbhost.example.org:1433 tai 198.51.100.17:1433

    Voit käyttää IP-osoitetta perus-todennukseen, jos solmut eivät pysty selvittämään isäntänimeä DNS:n avulla.

    Jos käytät Windows-todennusta, sinun on annettava täysin hyväksytty verkkotunnusnimi muodossa dbhost.example.org:1433

  4. Syötä Tietokannan nimi.

  5. Anna sellaisen käyttäjän käyttäjätunnus ja salasana, jolla on kaikki oikeudet avainten tallennustietokantaan.

12

Valitse TLS-tietokannan yhteystila:

Tila

Kuvaus

Suosi TLS: ää (oletusasetus)

HDS-solmut eivät vaadi TLS:ää yhteyden muodostamiseen tietokantapalvelimeen. Jos otat TLS:n käyttöön tietokantapalvelimella, solmut yrittävät salattua yhteyttä.

Vaadi TLS

HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin pystyy neuvottelemaan TLS:n.

Vaadi TLS ja tarkista varmenteen allekirjoittaja

Tämä tila ei ole käytettävissä SQL Server -tietokannoissa.

  • HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin pystyy neuvottelemaan TLS:n.

  • TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimelta saadun varmenteen allekirjoittajaa Tietokannan juurivarmenteenvarmenteen myöntäjään. Jos ne eivät täsmää, solmu katkaisee yhteyden.

Lataa tämän vaihtoehdon päävarmenne käyttämällä avattavan valikon alla olevaa Tietokannan juurivarmenne -ohjausobjektia.

Vaadi TLS ja tarkista varmenteen allekirjoittaja ja isäntänimi

  • HDS-solmut muodostavat yhteyden vain, jos tietokantapalvelin pystyy neuvottelemaan TLS:n.

  • TLS-yhteyden muodostamisen jälkeen solmu vertaa tietokantapalvelimelta saadun varmenteen allekirjoittajaa Tietokannan juurivarmenteenvarmenteen myöntäjään. Jos ne eivät täsmää, solmu katkaisee yhteyden.

  • Solmut tarkistavat myös, että palvelinvarmenteen isäntänimi vastaa Tietokannan isäntä ja portti -kentän isäntänimeä. Nimien on oltava täsmälleen samat, tai solmu katkaisee yhteyden.

Lataa tämän vaihtoehdon päävarmenne käyttämällä avattavan valikon alla olevaa Tietokannan juurivarmenne -ohjausobjektia.

Kun lataat juurivarmenteen (tarvittaessa) ja napsautat Jatka, HDS Setup Tool testaa TLS-yhteyden tietokantapalvelimeen. Työkalu tarkistaa myös varmenteen allekirjoittajan ja isäntänimen, jos sellainen on. Jos testi epäonnistuu, työkalu näyttää virheilmoituksen, joka kuvaa ongelman. Voit valita, haluatko ohittaa virheen ja jatkaa asennusta. (Yhteyserojen vuoksi HDS-solmut saattavat pystyä muodostamaan TLS-yhteyden, vaikka HDS Setup Tool -kone ei pystyisi testaamaan sitä onnistuneesti.)

13

Määritä Syslogd-palvelimesi Järjestelmälokit-sivulla:

  1. Anna lokipalvelimen URL-osoite.

    Jos palvelin ei ole DNS-selitettävissä HDS-klusterisi solmuista, käytä URL-osoitteessa IP-osoitetta.

    Esimerkki:
    udp://10.92.43.23:514 ilmaisee kirjautumisen Syslogd-isäntään 10.92.43.23 UDP-portin 514 kautta.

  2. Jos olet määrittänyt palvelimesi käyttämään TLS-salausta, tarkista Onko syslog-palvelimesi määritetty SSL-salausta varten?.

    Jos valitset tämän valintaruudun, varmista, että annat TCP-URL-osoitteen, kuten tcp://10.92.43.23:514.

  3. Valitse ISO-tiedostollesi sopiva asetus avattavasta Valitse syslog-tietueen lopetus -valikosta: Valitse tai rivinvaihto käytetään Graylog- ja Rsyslog TCP -tapahtumissa

    • Null tavu -- \x00

    • Rivinvaihto -- \n—Valitse tämä vaihtoehto Graylog- ja Rsyslog TCP -protokollille.

  4. Napsauta Jatka.

14

(Valinnainen) Voit muuttaa joidenkin tietokantayhteysparametrien oletusarvoa kohdassa Lisäasetukset. Yleensä tämä parametri on ainoa, jota haluat ehkä muuttaa:

app_datasource_connection_pool_maxSize: 10
15

Napsauta Jatka -painiketta Palvelutilien salasanan nollaaminen -näytössä.

Palvelutilin salasanoilla on yhdeksän kuukauden voimassaoloaika. Käytä tätä näyttöä, kun salasanasi ovat vanhenemassa tai haluat nollata ne mitätöidäksesi aiemmat ISO-tiedostot.

16

Napsauta Lataa ISO-tiedosto. Tallenna tiedosto helposti löydettävään sijaintiin.

17

Tee varmuuskopio ISO-tiedostosta paikalliseen järjestelmääsi.

Pidä varmuuskopio turvallisesti. Tämä tiedosto sisältää tietokannan sisällön pääsalausavaimen. Rajoita käyttöoikeudet vain niille hybriditietoturvan järjestelmänvalvojille, joiden tulisi tehdä määritysmuutoksia.

18

Sulje asennustyökalu kirjoittamalla CTRL+C.

Mitä tehdä seuraavaksi

Varmuuskopioi määritys-ISO-tiedosto. Tarvitset sitä luodaksesi lisää solmuja palautusta varten tai tehdäksesi muutoksia kokoonpanoon. Jos kadotat kaikki ISO-tiedoston kopiot, olet kadottanut myös pääavaimen. Avainten palauttaminen PostgreSQL- tai Microsoft SQL Server -tietokannasta ei ole mahdollista.

Meillä ei ole koskaan kopiota tästä avaimesta, emmekä voi auttaa, jos kadotat sen.

Asenna HDS-isännän OVA

Käytä tätä menetelmää luodaksesi virtuaalikoneen OVA-tiedostosta.
1

Kirjaudu ESXi-virtuaalipalvelimelle tietokoneellasi olevalla VMware vSphere -asiakasohjelmalla.

2

Valitse Tiedosto > Ota OVF-malli käyttöön.

3

Määritä ohjatussa toiminnossa aiemmin lataamasi OVA-tiedoston sijainti ja napsauta sitten Seuraava.

4

Kirjoita Valitse nimi ja kansio -sivulla solmun virtuaalikoneen nimi (esimerkiksi "HDS_Node_1"), valitse sijainti, jossa virtuaalikoneen solmun käyttöönotto voi sijaita, ja napsauta sitten Seuraava.

5

Valitse Valitse laskentaresurssi -sivulla kohdelaskentaresurssi ja napsauta sitten Seuraava.

Vahvistustarkistus suoritetaan. Kun se on valmis, mallin tiedot tulevat näkyviin.

6

Tarkista mallin tiedot ja napsauta sitten Seuraava.

7

Jos sinua pyydetään valitsemaan resurssin kokoonpano Kokoonpano -sivulla, napsauta 4 CPU ja sitten Seuraava.

8

Hyväksy oletusarvoinen levymuoto ja virtuaalikoneen tallennuskäytäntö napsauttamalla Valitse tallennustila -sivulla Seuraava -painiketta.

9

Valitse Valitse verkot -sivulla luettelosta verkkovaihtoehto, joka tarjoaa halutun yhteyden virtuaalikoneeseen.

10

Määritä Mukauta mallipohjaa -sivulla seuraavat verkkoasetukset:

  • Isäntänimi— Anna solmun FQDN (isäntänimi ja toimialue) tai yksisanainen isäntänimi.

    • Sinun ei tarvitse asettaa verkkotunnusta vastaamaan verkkotunnusta, jota käytit X.509-varmenteen hankkimiseen.

    • Jotta pilvipalveluun rekisteröityminen onnistuu, käytä solmulle määrittämässäsi FQDN-nimessä tai isäntänimessä vain pieniä kirjaimia. Isoja kirjaimia ei tueta tällä hetkellä.

    • FQDN-nimen kokonaispituus ei saa ylittää 64 merkkiä.

  • IP-osoite— Anna solmun sisäisen rajapinnan IP-osoite.

    Solmulla tulisi olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.

  • Peite— Anna aliverkon peitteen osoite piste-desimaalimuodossa. Esimerkiksi 255.255.255.0.
  • Yhdyskäytävä— Anna yhdyskäytävän IP-osoite. Yhdyskäytävä on verkkolaite, joka toimii tukiasemana toiseen verkkoon.
  • DNS-palvelimet— Anna pilkuilla erotettu luettelo DNS-palvelimista, jotka muuntavat verkkotunnukset numeerisiksi IP-osoitteiksi. (Jopa neljä DNS-merkintää sallitaan.)
  • NTP-palvelimet— Anna organisaatiosi NTP-palvelin tai jokin muu ulkoinen NTP-palvelin, jota organisaatiossasi voidaan käyttää. Oletus-NTP-palvelimet eivät välttämättä toimi kaikissa yrityksissä. Voit myös käyttää pilkulla erotettua luetteloa useiden NTP-palvelimien syöttämiseen.

  • Ota kaikki solmut käyttöön samassa aliverkossa tai VLANissa, jotta kaikki klusterin solmut ovat verkon asiakkaiden tavoitettavissa hallinnollisista syistä.

Voit halutessasi ohittaa verkkoasetusten määrittämisen ja seurata ohjeita kohdassa Hybrid Data Security VM:n määrittäminen määrittääksesi asetukset solmukonsolista.

Verkkoasetusten määrittämismahdollisuutta OVA-käyttöönoton aikana on testattu ESXi 7.0:lla ja 8.0:lla. Vaihtoehto ei välttämättä ole käytettävissä aiemmissa versioissa.

11

Napsauta hiiren kakkospainikkeella virtuaalikoneen solmua ja valitse sitten Virta > Virta päälle.

Hybrid Data Security -ohjelmisto asennetaan vieraskäyttäjänä virtuaalikoneeseen. Olet nyt valmis kirjautumaan konsoliin ja määrittämään solmun.

Vianmääritysvinkkejä

Solmukonttien ilmestymisessä saattaa olla muutaman minuutin viive. Siltapalmuun liittyvä viesti tulee konsoliin ensimmäisen käynnistyksen aikana, eikä sisäänkirjautuminen onnistu tänä aikana.

Hybrid Data Security -virtuaalikoneen määrittäminen

Kirjaudu sisään Hybrid Data Security -solmun virtuaalikoneen konsoliin ensimmäistä kertaa ja määritä kirjautumistiedot tämän toimenpiteen avulla. Voit myös käyttää konsolia solmun verkkoasetusten määrittämiseen, jos et määrittänyt niitä OVA:n käyttöönoton yhteydessä.

1

Valitse VMware vSphere -asiakasohjelmassa Hybrid Data Security -solmusi virtuaalikoneesi ja valitse Konsoli -välilehti.

Virtuaalikone käynnistyy ja kirjautumiskehote tulee näkyviin. Jos kirjautumisikkuna ei tule näkyviin, paina Enter.
2

Kirjaudu sisään ja muuta tunnistetietoja seuraavalla oletusarvoisella kirjautumistunnuksella ja salasanalla:

  1. Kirjaudu sisään: admin

  2. Salasana: cisco

Koska kirjaudut virtuaalikoneeseesi ensimmäistä kertaa, sinun on vaihdettava järjestelmänvalvojan salasana.

3

Jos olet jo määrittänyt verkkoasetukset kohdassa HDS-isännän OVA:n asennus, ohita tämän toimenpiteen loppuosa. Muussa tapauksessa valitse päävalikosta Muokkaa kokoonpanoa.

4

Määritä staattinen kokoonpano IP-osoitteella, peitteellä, yhdyskäytävällä ja DNS-tiedoilla. Solmulla tulisi olla sisäinen IP-osoite ja DNS-nimi. DHCP:tä ei tueta.

5

(Valinnainen) Muuta tarvittaessa isäntänimeä, toimialuetta tai NTP-palvelinta/palvelimia verkkokäytäntösi mukaiseksi.

Sinun ei tarvitse asettaa verkkotunnusta vastaamaan verkkotunnusta, jota käytit X.509-varmenteen hankkimiseen.

6

Tallenna verkkoasetukset ja käynnistä virtuaalikone uudelleen, jotta muutokset tulevat voimaan.

Lataa ja asenna HDS-konfiguraatio-ISO

Tämän toimenpiteen avulla voit määrittää virtuaalikoneen HDS Setup Toolilla luomastasi ISO-tiedostosta.

Ennen kuin aloitat

Koska ISO-tiedosto sisältää pääavaimen, se tulisi paljastaa vain "tarve tietää" -periaatteella Hybrid Data Security -virtuaalikoneille ja järjestelmänvalvojille, jotka saattavat joutua tekemään muutoksia. Varmista, että vain kyseiset järjestelmänvalvojat voivat käyttää tietovarastoa.

1

Lataa ISO-tiedosto tietokoneeltasi:

  1. Napsauta ESXi-palvelinta VMware vSphere -asiakasohjelman vasemmassa navigointipaneelissa.

  2. Napsauta Kokoonpano-välilehden Laitteisto-luettelossa Tallennustila.

  3. Napsauta virtuaalikoneesi tietovarastoa hiiren kakkospainikkeella Tietovarastot-luettelossa ja valitse Selaa tietovarastoa.

  4. Napsauta Lataa tiedosto -kuvaketta ja napsauta sitten Lataa tiedosto.

  5. Selaa sijaintiin, johon latasit ISO-tiedoston tietokoneellesi, ja napsauta Avaa.

  6. Hyväksy napsauttamalla Kyllä upload/download toimintavaroitus ja sulje tietovaraston valintaikkuna.

2

Liitä ISO-tiedosto:

  1. Napsauta virtuaalikoneen kuvaketta hiiren kakkospainikkeella VMware vSphere -asiakasohjelman vasemmassa navigointipaneelissa ja valitse Muokkaa asetuksia.

  2. Hyväksy rajoitettujen muokkausvaihtoehtojen varoitus napsauttamalla OK.

  3. Napsauta CD/DVD Drive 1, valitse vaihtoehto liittää tietovaraston ISO-tiedostosta ja selaa sijaintiin, johon latasit määritys-ISO-tiedoston.

  4. Valitse Yhdistetty ja Yhdistä virran kytkemisen yhteydessä.

  5. Tallenna muutokset ja käynnistä virtuaalikone uudelleen.

Mitä tehdä seuraavaksi

Jos IT-käytäntösi sitä vaatii, voit halutessasi irrottaa ISO-tiedoston sen jälkeen, kun kaikki solmut ovat ottaneet määritysmuutokset käyttöön. Katso lisätietoja kohdasta (Valinnainen) ISO-tiedoston irrottaminen HDS-konfiguraation jälkeen.

HDS-solmun määrittäminen välityspalvelimen integrointia varten

Jos verkkoympäristö vaatii välityspalvelimen, määritä tämän toimenpiteen avulla välityspalvelimen tyyppi, jonka haluat integroida Hybrid Data Securityyn. Jos valitset läpinäkyvän tarkastavan välityspalvelimen tai eksplisiittisen HTTPS-välityspalvelimen, voit käyttää solmun käyttöliittymää juurivarmenteen lataamiseen ja asentamiseen. Voit myös tarkistaa välityspalvelinyhteyden käyttöliittymästä ja vianmäärittää mahdolliset ongelmat.

Ennen kuin aloitat

1

Kirjoita HDS-solmun asennus-URL https://[HDS Node IP or FQDN]/setup verkkoselaimeen, anna solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.

2

Siirry Trust Storeen & Välityspalvelinja valitse sitten vaihtoehto:

  • Ei välityspalvelinta— Oletusasetus ennen välityspalvelimen integrointia. Sertifikaatin päivitystä ei vaadita.
  • Läpinäkyvä ei-tarkastava välityspalvelin— Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta, eikä niiden pitäisi vaatia muutoksia toimiakseen ei-tarkastavan välityspalvelimen kanssa. Sertifikaatin päivitystä ei vaadita.
  • Läpinäkyvä tarkastava välityspalvelin—Solmuja ei ole määritetty käyttämään tiettyä välityspalvelimen osoitetta. Hybrid Data Security -käyttöönotossa ei tarvita HTTPS-määritysmuutoksia, mutta HDS-solmut tarvitsevat päävarmenteen, jotta ne luottavat välityspalvelimeen. IT-osastot käyttävät tyypillisesti tarkastusvälityspalvelimia valvoakseen käytäntöjä, jotka koskevat sitä, millä verkkosivustoilla voi vierailla ja minkä tyyppistä sisältöä ei sallita. Tämän tyyppinen välityspalvelin purkaa kaiken liikenteesi salauksen (myös HTTPS:n).
  • Eksplisiittinen välityspalvelin— Eksplisiittisellä välityspalvelimella kerrot asiakkaalle (HDS-solmuille), mitä välityspalvelinta käytetään, ja tämä vaihtoehto tukee useita todennustyyppejä. Kun olet valinnut tämän vaihtoehdon, sinun on annettava seuraavat tiedot:

    1. Välityspalvelin IP/FQDN—Osoite, jota voidaan käyttää välityspalvelimeen yhteyden muodostamiseen.

    2. Välityspalvelimen portti— Portin numero, jota välityspalvelin käyttää välityspalvelimen liikenteen kuuntelemiseen.

    3. Välityspalvelinprotokolla— Valitse http (tarkastelee ja hallitsee kaikkia asiakkaalta vastaanotettuja pyyntöjä) tai https (tarjoaa kanavan palvelimelle, ja asiakas vastaanottaa ja vahvistaa palvelimen varmenteen). Valitse vaihtoehto sen perusteella, mitä välityspalvelimesi tukee.

    4. Todennustyyppi— Valitse seuraavista todennustyypeistä:

      • Ei mitään— Lisätodennusta ei vaadita.

        Saatavilla HTTP- tai HTTPS-välityspalvelimille.

      • Perus— Käytetään HTTP-käyttäjäagentin käyttäjätunnuksen ja salasanan antamiseen pyyntöä tehtäessä. Käyttää Base64-koodausta.

        Saatavilla HTTP- tai HTTPS-välityspalvelimille.

        Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjätunnus ja salasana.

      • Tiivistelmä— Käytetään tilin vahvistamiseen ennen arkaluonteisten tietojen lähettämistä. Käyttää hajautusfunktiota käyttäjätunnukselle ja salasanalle ennen niiden lähettämistä verkon kautta.

        Saatavilla vain HTTPS-välityspalvelimille.

        Jos valitset tämän vaihtoehdon, sinun on annettava myös käyttäjätunnus ja salasana.

Noudata seuraavia ohjeita läpinäkyvän tarkastavan välityspalvelimen, HTTP-eksplisiittisen välityspalvelimen ja perustodennuksen tai HTTPS-eksplisiittisen välityspalvelimen osalta.

3

Napsauta Lähetä juurivarmenne tai pääteyksikön varmenneja siirry sitten valitsemaan välityspalvelimen juurivarmenne.

Varmenne on ladattu, mutta sitä ei ole vielä asennettu, koska sinun on käynnistettävä solmu uudelleen varmenteen asentamiseksi. Napsauta varmenteen myöntäjän nimen vieressä olevaa nuolta saadaksesi lisätietoja tai napsauta Poista, jos teit virheen ja haluat ladata tiedoston uudelleen.

4

Napsauta Tarkista välityspalvelimen yhteys testataksesi solmun ja välityspalvelimen välisen verkkoyhteyden.

Jos yhteystesti epäonnistuu, näet virheilmoituksen, joka kertoo syyn ja kuinka voit korjata ongelman.

Jos näet viestin, jossa ilmoitetaan, että ulkoinen DNS-selvitys ei onnistunut, solmu ei pystynyt tavoittamaan DNS-palvelinta. Tämä ehto on odotettavissa monissa eksplisiittisessä välityspalvelinkokoonpanossa. Voit jatkaa asennusta, ja solmu toimii Estetty ulkoinen DNS-selvitys -tilassa. Jos epäilet tämän olevan virhe, suorita nämä vaiheet ja katso sitten kohtaa Poista käytöstä estetty ulkoinen DNS-selvitystila.

5

Kun yhteystesti on läpäissyt, jos eksplisiittinen välityspalvelimen asetus on vain https, käännä kytkin asentoon Reititä kaikki portit 443/444 https-pyynnöt tästä solmusta eksplisiittisen välityspalvelimenkautta. Tämän asetuksen voimaantulo kestää 15 sekuntia.

6

Napsauta Asenna kaikki varmenteet luotettuun säilöön (näkyy HTTPS-eksplisiittisen välityspalvelimen tai läpinäkyvän tarkastavan välityspalvelimen tapauksessa) tai Käynnistä uudelleen (näkyy HTTP-eksplisiittisen välityspalvelimen tapauksessa), lue kehote ja napsauta sitten Asenna, jos olet valmis.

Solmu käynnistyy uudelleen muutamassa minuutissa.

7

Kun solmu on käynnistynyt uudelleen, kirjaudu sisään tarvittaessa uudelleen ja avaa sitten Yleiskatsaus -sivu tarkistaaksesi yhteystarkistukset ja varmistaaksesi, että ne kaikki ovat vihreitä.

Välityspalvelinyhteyden tarkistus testaa vain webex.com-sivuston aliverkkotunnusta. Jos yhteysongelmia ilmenee, yleinen ongelma on, että jotkin asennusohjeissa luetelluista pilviverkkotunnuksista estetään välityspalvelimella.

Rekisteröi klusterin ensimmäinen solmu

Tämä tehtävä ottaa Hybrid Data Security VM:n määrittäminen-kohdassa luomasi yleisen solmun, rekisteröi solmun Webex-pilvipalveluun ja muuttaa sen Hybrid Data Security -solmuksi.

Kun rekisteröit ensimmäisen solmun, luot klusterin, johon solmu liitetään. Klusteri sisältää yhden tai useamman solmun, jotka on otettu käyttöön redundanssin tarjoamiseksi.

Ennen kuin aloitat

  • Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.

  • Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että olet sallinut poikkeuksen osoitteelle admin.webex.com.

1

Kirjaudu sisään https://admin.webex.com-palveluun.

2

Valitse näytön vasemmalla puolella olevasta valikosta Palvelut.

3

Etsi Pilvipalvelut-osiosta Hybrid Data Security -kortti ja napsauta Määritä.

4

Napsauta avautuvalla sivulla Lisää resurssi.

5

Kirjoita Lisää solmu -kortin ensimmäiseen kenttään sen klusterin nimi, johon haluat liittää hybriditietoturvasolmun.

Suosittelemme, että nimeät klusterin sen perusteella, missä klusterin solmut sijaitsevat maantieteellisesti. Esimerkkejä: "San Francisco" tai "New York" tai "Dallas"

6

Kirjoita toiseen kenttään solmusi sisäinen IP-osoite tai täydellinen verkkotunnus (FQDN) ja napsauta näytön alareunassa olevaa Lisää -painiketta.

Tämän IP-osoitteen tai täydellisen verkkotunnuksen (FQDN) tulee vastata IP-osoitetta tai isäntänimeä ja toimialuetta, joita käytit kohdassa Hybrid Data Security VM:n asennus.

Näyttöön tulee viesti, joka ilmoittaa, että voit rekisteröidä solmusi Webexiin.
7

Napsauta Siirry solmuun.

Hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, näyttöön tulee Salli hybriditietoturvasolmun käyttö -sivu. Siellä vahvistat, että haluat antaa Webex-organisaatiollesi käyttöoikeudet solmuun.

8

Valitse Salli pääsy hybriditietoturvasolmuun -valintaruutu ja napsauta sitten Jatka.

Tilisi on vahvistettu ja viesti ”Rekisteröinti valmis” osoittaa, että solmusi on nyt rekisteröity Webex-pilvipalveluun.
9

Palaa Partner Hubin hybriditietoturvasivulle napsauttamalla linkkiä tai sulkemalla välilehti.

Rekisteröimäsi solmun sisältävä uusi klusteri näkyy Hybrid Data Security -sivulla Resurssit -välilehdellä. Solmu lataa automaattisesti uusimman ohjelmiston pilvestä.

Luo ja rekisteröi lisää solmuja

Jos haluat lisätä klusteriisi lisää solmuja, luo vain lisää virtuaalikoneita ja asenna sama määritys-ISO-tiedosto ja rekisteröi sitten solmu. Suosittelemme, että sinulla on vähintään 3 solmua.

Ennen kuin aloitat

  • Kun aloitat solmun rekisteröinnin, sinun on suoritettava se 60 minuutin kuluessa tai sinun on aloitettava alusta.

  • Varmista, että selaimesi ponnahdusikkunoiden esto on poistettu käytöstä tai että olet sallinut poikkeuksen osoitteelle admin.webex.com.

1

Luo uusi virtuaalikone OVA:sta toistamalla vaiheet kohdassa HDS-isännän OVA:n asentaminen.

2

Määritä uuden virtuaalikoneen alkuasetukset toistamalla vaiheet kohdassa Hybrid Data Security -virtuaalikoneen määrittäminen.

3

Toista uudella virtuaalikoneella vaiheet kohdassa HDS-kokoonpanon ISO-tiedoston lataaminen ja liittäminen.

4

Jos olet määrittämässä välityspalvelinta käyttöönottoa varten, toista kohdan Määritä HDS-solmu välityspalvelimen integrointia varten vaiheet tarpeen mukaan uudelle solmulle.

5

Rekisteröi solmu.

  1. Valitse kohdassa https://admin.webex.com] Palvelut näytön vasemmalla puolella olevasta valikosta.

  2. Etsi Pilvipalvelut-osiosta Hybrid Data Security -kortti ja napsauta Näytä kaikki.

    Hybriditietoturvaresurssien sivu tulee näkyviin.

  3. Äskettäin luotu klusteri näkyy Resurssit -sivulla.

  4. Napsauta klusteria nähdäksesi klusteriin liitetyt solmut.

  5. Napsauta näytön oikealla puolella olevaa Lisää solmu -painiketta.

  6. Anna solmusi sisäinen IP-osoite tai täydellinen verkkotunnusnimi (FQDN) ja napsauta Lisää.

    Sivu avautuu ja siinä on viesti, joka ilmoittaa, että voit rekisteröidä solmusi Webex-pilveen. Hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, näyttöön tulee Salli hybriditietoturvasolmun käyttö -sivu. Siellä vahvistat, että haluat antaa organisaatiollesi oikeudet käyttää solmuasi.

  7. Valitse Salli pääsy hybriditietoturvasolmuun -valintaruutu ja napsauta sitten Jatka.

    Tilisi on vahvistettu ja viesti ”Rekisteröinti valmis” osoittaa, että solmusi on nyt rekisteröity Webex-pilvipalveluun.

  8. Palaa Partner Hubin hybriditietoturvasivulle napsauttamalla linkkiä tai sulkemalla välilehti.

    Solmu lisätty -ponnahdusikkuna näkyy myös Partner Hubin näytön alareunassa.

    Solmusi on rekisteröity.

Hallitse vuokralaisorganisaatioita usean vuokralaisen hybriditietoturvassa

Aktivoi monivuokralainen HDS Partner Hubissa

Tämä tehtävä varmistaa, että kaikki asiakasorganisaatioiden käyttäjät voivat alkaa hyödyntää HDS:ää paikallisissa salausavaimissa ja muissa tietoturvapalveluissa.

Ennen kuin aloitat

Varmista, että olet määrittänyt monivuokralaisen HDS-klusterin tarvittavalla määrällä solmuja.

1

Kirjaudu sisään https://admin.webex.com-palveluun.

2

Valitse näytön vasemmalla puolella olevasta valikosta Palvelut.

3

Etsi Pilvipalvelut-osiosta Hybrid Data Security ja napsauta Muokkaa asetuksia.

4

Napsauta Aktivoi HDS -painiketta HDS-tila -kortissa.

Lisää vuokralaisorganisaatioita Partner Hubissa

Tässä tehtävässä määrität asiakasorganisaatioita hybriditietoturvaklusteriisi.

1

Kirjaudu sisään https://admin.webex.com-palveluun.

2

Valitse näytön vasemmalla puolella olevasta valikosta Palvelut.

3

Etsi Pilvipalvelut-osiosta Hybrid Data Security ja napsauta Näytä kaikki.

4

Napsauta klusteria, johon haluat määrittää asiakkaan.

5

Siirry Määritetyt asiakkaat -välilehdelle.

6

Klikkaa Lisää asiakkaita.

7

Valitse alasvetovalikosta asiakas, jonka haluat lisätä.

8

Napsauta Lisää, niin asiakas lisätään klusteriin.

9

Toista vaiheet 6–8 lisätäksesi useita asiakkaita klusteriisi.

10

Kun olet lisännyt asiakkaat, napsauta näytön alareunassa olevaa Valmis -painiketta .

Mitä tehdä seuraavaksi

Suorita HDS-asennustyökalu kohdan Asiakkaan pääavainten (CMK) luominen HDS-asennustyökalulla mukaisesti asennuksen loppuun saattamiseksi.

Luo asiakkaan pääavaimet (CMK) HDS-asennustyökalulla

Ennen kuin aloitat

Määritä asiakkaat asianmukaiseen klusteriin kohdan Lisää vuokralaisorganisaatioita kumppanikeskuksessamukaisesti. Suorita HDS-asennustyökalu viimeistelläksesi juuri lisättyjen asiakasorganisaatioiden asennusprosessin.

  • HDS Setup -työkalu toimii Docker-konttina paikallisessa koneessa. Päästäksesi siihen, suorita Docker kyseisellä koneella. Asennusprosessi edellyttää Partner Hub -tilin tunnistetietoja, joilla on organisaatiosi täydet järjestelmänvalvojan oikeudet.

    Jos HDS-asennustyökalu toimii välityspalvelimen takana ympäristössäsi, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien kautta, kun avaat Docker-säilön vaiheessa 5. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:

    Kuvaus

    Muuttuja

    HTTP-välityspalvelin ilman todennusta

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-välityspalvelin ilman todennusta

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-välityspalvelin todennuksella

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-välityspalvelin todennuksella

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Luomasi määritys-ISO-tiedosto sisältää PostgreSQL- tai Microsoft SQL Server -tietokannan salaavan pääavaimen. Tarvitset tämän tiedoston uusimman kopion aina, kun teet määritysmuutoksia, kuten seuraavat:

    • Tietokannan tunnistetiedot

    • Varmenteiden päivitykset

    • Muutokset valtuutuskäytäntöön

  • Jos aiot salata tietokantayhteydet, määritä PostgreSQL- tai SQL Server -käyttöönottosi käyttämään TLS-salausta.

Hybrid Data Securityn asennusprosessi luo ISO-tiedoston. Sitten käytät ISO-tiedostoa Hybrid Data Security -isännän määrittämiseen.

1

Kirjoita koneesi komentoriville ympäristöösi sopiva komento:

Normaaleissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe siivoaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheen, jonka voit jättää huomiotta.

2

Kirjaudu sisään Docker-kuvarekisteriin antamalla seuraavat tiedot:

docker login -u hdscustomersro
3

Kirjoita salasanakehotteeseen tämä tiiviste:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Lataa uusin vakaa levykuva ympäristöösi:

Normaaleissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kun pull-komento on valmis, anna ympäristöllesi sopiva komento:

  • Tavallisissa ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • FedRAMP-ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun säilö on käynnissä, näet viestin "Express-palvelin kuuntelee porttia 8080".

6

Asennustyökalu ei tue yhteyden muodostamista localhostiin -protokollan kautta http://localhost:8080. Käytä http://127.0.0.1:8080 -merkkiä muodostaaksesi yhteyden localhostiin.

Siirry verkkoselaimella paikalliseen isäntään http://127.0.0.1:8080ja kirjoita kehotteeseen Partner Hubin järjestelmänvalvojan käyttäjätunnus.

Työkalu käyttää tätä käyttäjätunnuksen ensimmäistä syöttöä asettaakseen oikean ympäristön kyseiselle tilille. Työkalu näyttää sitten normaalin kirjautumiskehotteen.

7

Anna pyydettäessä Partner Hub -järjestelmänvalvojan kirjautumistiedot ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn Hybrid Data Securityn tarvittaviin palveluihin.

8

Napsauta Asennustyökalun yleiskatsaussivulla Aloita.

9

Napsauta ISO-tuonti -sivulla Kyllä.

10

Valitse ISO-tiedostosi selaimessa ja lataa se.

Varmista yhteys tietokantaasi CMK-hallinnan suorittamiseksi.
11

Siirry Vuokralaisen CMK-hallinta -välilehdelle, josta löydät seuraavat kolme tapaa hallita vuokralaisen CMK-tilejä.

  • Luo CMK kaikille organisaatioille tai Luo CMK - Napsauta tätä painiketta näytön yläreunassa olevassa bannerissa luodaksesi CMK:t kaikille äskettäin lisätyille organisaatioille.
  • Napsauta näytön oikealla puolella olevaa Hallitse CMK-valintoja -painiketta ja luo CMK-valintoja kaikille äskettäin lisätyille organisaatioille napsauttamalla Luo CMK-valintoja.
  • Napsauta … tietyn organisaation CMK-hallinnan odotustilan lähellä taulukossa ja napsauta Luo CMK luodaksesi CMK:n kyseiselle organisaatiolle.
12

Kun CMK:n luonti onnistuu, taulukon tila muuttuu tilasta CMK-hallinta odottaa tilaan CMK hallittu.

13

Jos CMK:n luominen epäonnistuu, näkyviin tulee virheilmoitus.

Poista vuokralaisorganisaatiot

Ennen kuin aloitat

Kun HDS on poistettu, asiakasorganisaatioiden käyttäjät eivät voi hyödyntää sitä salaustarpeisiinsa ja menettävät kaikki olemassa olevat tilat. Ennen asiakasorganisaatioiden poistamista ota yhteyttä Cisco-kumppaniisi tai asiakkuuspäällikköösi.

1

Kirjaudu sisään https://admin.webex.com-palveluun.

2

Valitse näytön vasemmalla puolella olevasta valikosta Palvelut.

3

Etsi Pilvipalvelut-osiosta Hybrid Data Security ja napsauta Näytä kaikki.

4

Napsauta Resurssit -välilehdellä klusteria, josta haluat poistaa asiakasorganisaatioita.

5

Napsauta avautuvalla sivulla Määritetyt asiakkaat.

6

Napsauta näytettävien asiakasorganisaatioiden luettelosta poistettavan asiakasorganisaation oikealla puolella olevaa ... -painiketta ja napsauta sitten Poista klusterista-painiketta.

Mitä tehdä seuraavaksi

Suorita poistoprosessi loppuun peruuttamalla asiakasorganisaatioiden CMK-oikeudet kohdan HDS:stä poistettujen vuokraajien CMK-oikeuksien peruuttaminenmukaisesti.

Peruuta HDS:stä poistettujen vuokralaisten CMK:t.

Ennen kuin aloitat

Poista asiakkaat asianmukaisesta klusterista kohdan Poista vuokraajaorganisaatiotmukaisesti. Suorita HDS-asennustyökalu poistaaksesi poistetut asiakasorganisaatiot.

  • HDS Setup -työkalu toimii Docker-konttina paikallisessa koneessa. Päästäksesi siihen, suorita Docker kyseisellä koneella. Asennusprosessi edellyttää Partner Hub -tilin tunnistetietoja, joilla on organisaatiosi täydet järjestelmänvalvojan oikeudet.

    Jos HDS-asennustyökalu toimii välityspalvelimen takana ympäristössäsi, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien kautta, kun avaat Docker-säilön vaiheessa 5. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:

    Kuvaus

    Muuttuja

    HTTP-välityspalvelin ilman todennusta

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-välityspalvelin ilman todennusta

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-välityspalvelin todennuksella

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-välityspalvelin todennuksella

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Luomasi määritys-ISO-tiedosto sisältää PostgreSQL- tai Microsoft SQL Server -tietokannan salaavan pääavaimen. Tarvitset tämän tiedoston uusimman kopion aina, kun teet määritysmuutoksia, kuten seuraavat:

    • Tietokannan tunnistetiedot

    • Varmenteiden päivitykset

    • Muutokset valtuutuskäytäntöön

  • Jos aiot salata tietokantayhteydet, määritä PostgreSQL- tai SQL Server -käyttöönottosi käyttämään TLS-salausta.

Hybrid Data Securityn asennusprosessi luo ISO-tiedoston. Sitten käytät ISO-tiedostoa Hybrid Data Security -isännän määrittämiseen.

1

Kirjoita koneesi komentoriville ympäristöösi sopiva komento:

Normaaleissa ympäristöissä:

docker rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe siivoaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheen, jonka voit jättää huomiotta.

2

Kirjaudu sisään Docker-kuvarekisteriin antamalla seuraavat tiedot:

docker login -u hdscustomersro
3

Kirjoita salasanakehotteeseen tämä tiiviste:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Lataa uusin vakaa levykuva ympäristöösi:

Normaaleissa ympäristöissä:

docker pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Kun pull-komento on valmis, anna ympäristöllesi sopiva komento:

  • Tavallisissa ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • FedRAMP-ympäristöissä ilman välityspalvelinta:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun säilö on käynnissä, näet viestin "Express-palvelin kuuntelee porttia 8080".

6

Asennustyökalu ei tue yhteyden muodostamista localhostiin -protokollan kautta http://localhost:8080. Käytä http://127.0.0.1:8080 -merkkiä muodostaaksesi yhteyden localhostiin.

Siirry verkkoselaimella paikalliseen isäntään http://127.0.0.1:8080ja kirjoita kehotteeseen Partner Hubin järjestelmänvalvojan käyttäjätunnus.

Työkalu käyttää tätä käyttäjätunnuksen ensimmäistä syöttöä asettaakseen oikean ympäristön kyseiselle tilille. Työkalu näyttää sitten normaalin kirjautumiskehotteen.

7

Anna pyydettäessä Partner Hub -järjestelmänvalvojan kirjautumistiedot ja napsauta sitten Kirjaudu sisään salliaksesi pääsyn Hybrid Data Securityn tarvittaviin palveluihin.

8

Napsauta Asennustyökalun yleiskatsaussivulla Aloita.

9

Napsauta ISO-tuonti -sivulla Kyllä.

10

Valitse ISO-tiedostosi selaimessa ja lataa se.

11

Siirry Vuokralaisen CMK-hallinta -välilehdelle, josta löydät seuraavat kolme tapaa hallita vuokralaisen CMK-tilejä.

  • Peruuta kaikkien organisaatioiden CMK tai Peruuta CMK - Napsauta tätä painiketta näytön yläreunassa olevassa bannerissa peruuttaaksesi kaikkien poistettujen organisaatioiden CMK:t.
  • Napsauta näytön oikealla puolella olevaa Hallinnoi CMK-valtuuksia -painiketta ja napsauta sitten Peruuta CMK-valtuutukset peruuttaaksesi kaikkien poistettujen organisaatioiden CMK-valtuutukset.
  • Napsauta taulukossa tietyn organisaation CMK-peruutustilanlähellä olevaa -painiketta ja napsauta Peruuta CMK peruuttaaksesi CMK:n kyseiseltä organisaatiolta.
12

Kun CMK-peruutus on onnistunut, asiakasorganisaatiota ei enää näy taulukossa.

13

Jos CMK-peruutus epäonnistuu, näkyviin tulee virheilmoitus.

Testaa hybriditietoturvan käyttöönottoa

Testaa hybriditietoturvan käyttöönottoasi

Tämän menettelyn avulla voit testata usean vuokralaisen hybriditietoturvan salausskenaarioita.

Ennen kuin aloitat

  • Määritä usean vuokralaisen hybriditietoturvan käyttöönotto.

  • Varmista, että sinulla on pääsy lokitiedostoon varmistaaksesi, että avainpyynnöt välittyvät Multi-Tenant Hybrid Data Security -ympäristöösi.

1

Tietyn tilan avaimet asettaa tilan luoja. Kirjaudu Webex-sovellukseen yhtenä asiakasorganisaation käyttäjistä ja luo sitten tila.

Jos poistat Hybrid Data Security -käyttöönoton käytöstä, käyttäjien luomien tilojen sisältö ei ole enää käytettävissä, kun asiakkaan välimuistissa olevat salausavainten kopiot on korvattu.

2

Lähetä viestejä uuteen tilaan.

3

Tarkista lokitiedostosta, että avainpyynnöt välittyvät Hybrid Data Security -käyttöönotoosi.

Jos äskettäin lisätyn asiakasorganisaation käyttäjä suorittaa jonkin toiminnon, organisaation organisaatiotunnus näkyy lokeissa, ja tätä voidaan käyttää sen varmistamiseen, että organisaatio hyödyntää Multi-Tenant HDS:ää. Tarkista kms.data.orgId -arvo lokitiedoissa.

  1. Tarkistaaksesi, muodostaako käyttäjä ensin suojatun kanavan KMS:ään, suodata kms.data.method=create ja kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Sinun pitäisi löytää seuraavanlainen merkintä (tunnisteet lyhennettynä luettavuuden parantamiseksi):
    2025-04-10 04:38:20.208 (+0000) INFO  KMS [pool-19-thread-13] - [KMS:REQUEST] received, deviceId: 
https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5 ecdheKid: kms://collabdemoorg.cisco.com/statickeys/8[~]3 
clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]6,
 kms.data.method=create, kms.merc.id=d[~]7, kms.merc.sync=false, kms.data.uriHost=collabdemoorg.cisco.com, 
kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=1[~]f, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/ecdhe, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  2. Tarkistaaksesi käyttäjän pyytävän olemassa olevaa avainta KMS:ltä, suodata kms.data.method=retrieve ja kms.data.type=KEY:

    Sinun pitäisi löytää merkintä, kuten:
    2025-04-10 04:38:24.144 (+0000) INFO  KMS [pool-19-thread-26] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558)
 WEBEX_TRACKINGID=webex-web-client_0[~]0, kms.data.method=retrieve, kms.merc.id=5[~]3, kms.merc.sync=false,
 kms.data.uriHost=collabdemoorg.cisco.com, kms.data.type=KEY, kms.data.requestId=4[~]7, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/keys/2[~]e, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  3. Tarkistaaksesi käyttäjän pyytävän uuden KMS-avaimen luomista, suodata kms.data.method=create ja kms.data.type=KEY_COLLECTION:

    Sinun pitäisi löytää merkintä, kuten:
    2025-04-10 04:42:22.739 (+0000) INFO  KMS [pool-19-thread-29] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::7 orgId: 2[~]b
 (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]3, kms.data.method=create, 
kms.merc.id=6[~]4, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, 
kms.data.orgId=2[~]b, kms.data.uri=/keys, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  4. Jos haluat tarkistaa, pyytääkö käyttäjä uuden KMS-resurssiobjektin (KRO) luomista, kun tila tai muu suojattu resurssi luodaan, suodata kms.data.method=create ja kms.data.type=RESOURCE_COLLECTIONperusteella. :

    Sinun pitäisi löytää merkintä, kuten: 
    2025-04-10 04:42:23.690 (+0000) INFO  KMS [pool-19-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/3[~]6 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 
clusterConnection: prodachm::1 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]2,
 kms.data.method=create, kms.merc.id=3[~]0, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=5[~]8, kms.data.orgId=2[~]b, kms.data.uri=/resources, kms.data.userId=1[~]f, kms.data.httpUserAgent=conversation

Hybriditietojen tietoturvan kunnon valvonta

Partner Hubin tilailmaisin näyttää, onko monivuokralaisen hybriditietoturvan käyttöönotto kunnossa. Saat ennakoivampia ilmoituksia tilaamalla sähköposti-ilmoitukset. Saat ilmoituksen, kun palveluun vaikuttavia hälytyksiä tai ohjelmistopäivityksiä on tulossa.
1

Valitse Kumppanikeskuksessanäytön vasemmalla puolella olevasta valikosta Palvelut.

2

Etsi Pilvipalvelut-osiosta Hybrid Data Security ja napsauta Muokkaa asetuksia.

Hybriditietojen suojausasetusten sivu tulee näkyviin.
3

Kirjoita Sähköposti-ilmoitukset-osioon yksi tai useampi sähköpostiosoite pilkuilla erotettuna ja paina Enter.

Hallitse HDS-käyttöönottoasi

Hallitse HDS-käyttöönottoa

Käytä tässä kuvattuja tehtäviä hybriditietoturvan käyttöönoton hallintaan.

Aseta klusterin päivitysaikataulu

Hybrid Data Securityn ohjelmistopäivitykset tehdään automaattisesti klusteritasolla, mikä varmistaa, että kaikissa solmuissa on aina sama ohjelmistoversio. Päivitykset tehdään klusterin päivitysaikataulun mukaisesti. Kun ohjelmistopäivitys tulee saataville, voit päivittää klusterin manuaalisesti ennen aikataulun mukaista päivitysaikaa. Voit asettaa tietyn päivitysaikataulun tai käyttää oletusaikataulua 3:00 AM Daily Yhdysvallat: America/Los Angelesissa. Voit myös tarvittaessa lykätä tulevaa päivitystä.

Päivitysaikataulun asettaminen:

1

Kirjaudu sisään Partner Hubiin.

2

Valitse näytön vasemmalla puolella olevasta valikosta Palvelut.

3

Etsi Pilvipalvelut-osiosta Hybrid Data Security ja napsauta Määritä

4

Valitse klusteri Hybrid Data Security Resources -sivulla.

5

Napsauta Klusteriasetukset -välilehteä.

6

Valitse Klusteriasetukset-sivun Päivitysaikataulu-kohdasta päivitysaikataulun aika ja aikavyöhyke.

Huomautus: Aikavyöhykkeen alla näkyy seuraava saatavilla oleva päivityspäivämäärä ja -aika. Voit tarvittaessa siirtää päivitystä seuraavaan päivään napsauttamalla Siirrä 24 tunnilla.

Muuta solmun kokoonpanoa

Joskus saatat joutua muuttamaan Hybrid Data Security -solmun kokoonpanoa esimerkiksi seuraavista syistä:

  • x.509-varmenteiden muuttaminen vanhenemisen tai muiden syiden vuoksi.

    Emme tue varmenteen CN-verkkotunnusnimen muuttamista. Verkkotunnuksen on vastattava klusterin rekisteröinnissä käytettyä alkuperäistä verkkotunnusta.

  • Tietokannan asetusten päivittäminen PostgreSQL- tai Microsoft SQL Server -tietokannan replikan käyttämiseksi.

    Emme tue tietojen siirtämistä PostgreSQL:stä Microsoft SQL Serveriin tai päinvastoin. Voit vaihtaa tietokantaympäristöä aloittamalla uuden Hybrid Data Securityn käyttöönoton.

  • Uuden kokoonpanon luominen uuden datakeskuksen valmistelua varten.

Lisäksi Hybrid Data Security käyttää turvallisuussyistä palvelutilien salasanoja, joiden voimassaoloaika on yhdeksän kuukautta. Kun HDS-asennustyökalu on luonut nämä salasanat, otat ne käyttöön jokaisessa HDS-solmusi ISO-määritystiedostossa. Kun organisaatiosi salasanat ovat vanhenemassa, saat Webex-tiimiltä ilmoituksen, jossa pyydetään palauttamaan konetilisi salasana. (Sähköpostissa on teksti "Päivitä salasana konetilin API:n avulla.") Jos salasanasi eivät ole vielä vanhentuneet, työkalu tarjoaa kaksi vaihtoehtoa:

  • Pehmeä nollaus— Vanha ja uusi salasana toimivat molemmat jopa 10 päivää. Käytä tätä ajanjaksoa ISO-tiedoston korvaamiseen solmuilla vähitellen.

  • Laitekäynnistys—Vanhat salasanat lakkaavat toimimasta välittömästi.

Jos salasanasi vanhenevat ilman nollausta, se vaikuttaa HDS-palveluusi ja vaatii välittömän laitteistokäynnistyksen ja ISO-tiedoston korvaamisen kaikilla solmuilla.

Tämän menettelyn avulla voit luoda uuden määritys-ISO-tiedoston ja ottaa sen käyttöön klusterissasi.

Ennen kuin aloitat

  • HDS Setup -työkalu toimii Docker-konttina paikallisessa koneessa. Päästäksesi siihen, suorita Docker kyseisellä koneella. Asennusprosessi vaatii Partner Hub -tilin tunnistetiedot, joilla on kumppanin täydet järjestelmänvalvojan oikeudet.

    Jos sinulla ei ole Docker Desktop -lisenssiä, voit käyttää Podman Desktopia HDS Setup -työkalun suorittamiseen alla olevan toimenpiteen vaiheissa 1.a–1.e. Katso lisätietoja kohdasta Suorita HDS Setup -työkalu Podman Desktopilla.

    Jos HDS Setup -työkalu toimii välityspalvelimen takana ympäristössäsi, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien kautta, kun avaat Docker-säilön kohdassa 1.e. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:

    Kuvaus

    Muuttuja

    HTTP-välityspalvelin ilman todennusta

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-välityspalvelin ilman todennusta

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-välityspalvelin todennuksella

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-välityspalvelin todennuksella

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Tarvitset kopion nykyisestä kokoonpanon ISO-tiedostosta luodaksesi uuden kokoonpanon. ISO sisältää pääavaimen, joka salaa PostgreSQL- tai Microsoft SQL Server -tietokannan. Tarvitset ISO-tiedoston, kun teet kokoonpanomuutoksia, mukaan lukien tietokannan tunnistetiedot, varmenteiden päivitykset tai muutokset valtuutuskäytäntöön.

1

Käytä Dockeria paikallisella koneella ja suorita HDS Setup Tool.

  1. Kirjoita koneesi komentoriville ympäristöösi sopiva komento:

    Normaaleissa ympäristöissä:

    docker rmi ciscocitg/hds-setup:stable

    FedRAMP-ympäristöissä:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Tämä vaihe siivoaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheen, jonka voit jättää huomiotta.

  2. Kirjaudu sisään Docker-kuvarekisteriin antamalla seuraavat tiedot:

    docker login -u hdscustomersro

  3. Kirjoita salasanakehotteeseen tämä tiiviste:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Lataa uusin vakaa levykuva ympäristöösi:

    Normaaleissa ympäristöissä:

    docker pull ciscocitg/hds-setup:stable

    FedRAMP-ympäristöissä:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Varmista, että käytät tätä toimenpidettä varten uusinta asennustyökalua. Työkalun ennen 22. helmikuuta 2018 luoduissa versioissa ei ole salasanan palautusnäyttöjä.

  5. Kun pull-komento on valmis, anna ympäristöllesi sopiva komento:

    • Tavallisissa ympäristöissä ilman välityspalvelinta:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • Tavallisissa ympäristöissä, joissa on HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • FedRAMP-ympäristöissä ilman välityspalvelinta:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kun säilö on käynnissä, näet viestin "Express-palvelin kuuntelee porttia 8080".

  6. Käytä selainta muodostaaksesi yhteyden paikalliseen isäntään http://127.0.0.1:8080.

    Asennustyökalu ei tue yhteyden muodostamista localhostiin -protokollan kautta http://localhost:8080. Käytä http://127.0.0.1:8080 -merkkiä muodostaaksesi yhteyden localhostiin.

  7. Anna pyydettäessä Partner Hub -asiakkaan kirjautumistietosi ja jatka napsauttamalla Hyväksy.

  8. Tuo nykyinen määritys-ISO-tiedosto.

  9. Suorita työkalu loppuun ja lataa päivitetty tiedosto noudattamalla ohjeita.

    Sulje asennustyökalu kirjoittamalla CTRL+C.

  10. Luo päivitetystä tiedostosta varmuuskopio toiseen konesaliin.

2

Jos sinulla on käynnissä vain yksi HDS-solmu, luo uusi Hybrid Data Security -solmun virtuaalikone ja rekisteröi se käyttämällä uutta ISO-määritystiedostoa. Tarkempia ohjeita on kohdassa Luo ja rekisteröi lisää solmuja.

  1. Asenna HDS-isäntä OVA.

  2. Asenna HDS-virtuaalikone.

  3. Asenna päivitetty määritystiedosto.

  4. Rekisteröi uusi solmu Partner Hubiin.

3

Jos käytössä on HDS-solmuja, jotka käyttävät vanhempaa määritystiedostoa, liitä ISO-tiedosto. Suorita seuraava toimenpide jokaiselle solmulle vuorollaan ja päivitä jokainen solmu ennen seuraavan solmun sammuttamista:

  1. Sammuta virtuaalikone.

  2. Napsauta virtuaalikoneen kuvaketta hiiren kakkospainikkeella VMware vSphere -asiakasohjelman vasemmassa navigointipaneelissa ja valitse Muokkaa asetuksia.

  3. Napsauta CD/DVD Drive 1, valitse ISO-tiedostosta liittämisen vaihtoehto ja selaa sijaintiin, johon latasit uuden ISO-määritystiedoston.

  4. Valitse Yhdistä virran kytkemisen yhteydessä.

  5. Tallenna muutokset ja käynnistä virtuaalikone.

4

Toista vaihe 3 korvataksesi kokoonpanon jokaisessa jäljellä olevassa solmussa, joka suorittaa vanhaa kokoonpanoa.

Poista käytöstä estetty ulkoinen DNS-selvitystila

Kun rekisteröit solmun tai tarkistat solmun välityspalvelimen määritykset, prosessi testaa DNS-haun ja yhteyden Cisco Webex -pilveen. Jos solmun DNS-palvelin ei pysty selvittämään julkisia DNS-nimiä, solmu siirtyy automaattisesti Estetty ulkoinen DNS-selvitys -tilaan.

Jos solmusi pystyvät selvittämään julkiset DNS-nimet sisäisten DNS-palvelimien kautta, voit poistaa tämän tilan käytöstä suorittamalla välityspalvelinyhteystestin uudelleen jokaisella solmulla.

Ennen kuin aloitat

Varmista, että sisäiset DNS-palvelimesi pystyvät selvittämään julkiset DNS-nimet ja että solmut voivat kommunikoida niiden kanssa.
1

Avaa verkkoselaimessa Hybrid Data Security -solmun käyttöliittymä (IP address/setup, esimerkiksi https://192.0.2.0/setup), anna solmulle määrittämäsi järjestelmänvalvojan tunnistetiedot ja napsauta sitten Kirjaudu sisään.

2

Siirry kohtaan Yleiskatsaus (oletussivu).

Kun Estetty ulkoinen DNS-selvitys on käytössä, sen arvoksi asetetaan Kyllä.

3

Siirry Trust Storeen & Välityspalvelin -sivu.

4

Napsauta Tarkista välityspalvelimen yhteys.

Jos näet viestin, jossa ilmoitetaan, että ulkoinen DNS-selvitys ei onnistunut, solmu ei pystynyt tavoittamaan DNS-palvelinta ja pysyy tässä tilassa. Muussa tapauksessa, kun olet käynnistänyt solmun uudelleen ja palannut Yleiskatsaus -sivulle, Estetty ulkoinen DNS-ratkaisu -asetuksen pitäisi olla ei.

Mitä tehdä seuraavaksi

Toista välityspalvelimen yhteystesti jokaisella Hybrid Data Security -klusterin solmulla.

Poista solmu

Tämän toimenpiteen avulla voit poistaa Hybrid Data Security -solmun Webex-pilvestä. Kun olet poistanut solmun klusterista, poista virtuaalikone estääksesi jatkossa pääsyn suojaustietoihisi.
1

Kirjaudu ESXi-virtuaalikoneeseen tietokoneellasi olevalla VMware vSphere -asiakasohjelmalla ja sammuta virtuaalikone.

2

Poista solmu:

  1. Kirjaudu sisään Partner Hubiin ja valitse sitten Palvelut.

  2. Napsauta Hybriditietoturva-kortissa Näytä kaikki, niin Hybriditietoturvaresurssit -sivu tulee näkyviin.

  3. Valitse klusterisi nähdäksesi sen yleiskatsauspaneelin.

  4. Napsauta poistettavaa solmua.

  5. Napsauta Poista tämän solmun rekisteröinti oikealle avautuvassa paneelissa.

  6. Voit myös poistaa solmun rekisteröinnin napsauttamalla … solmun oikealla puolella ja valitsemalla Poista tämä solmu.

3

Poista virtuaalikone vSphere-asiakasohjelmassa. (Napsauta virtuaalikoneen kuvaketta vasemmassa navigointiruudussa hiiren kakkospainikkeella ja valitse Poista.)

Jos et poista virtuaalikonetta, muista irrottaa määritys-ISO-tiedosto. Ilman ISO-tiedostoa et voi käyttää virtuaalikonetta suojaustietojesi käyttämiseen.

Katastrofien palautus Standby Data Centerin avulla

Hybrid Data Security -klusterisi tärkein palvelu on Webex-pilvessä tallennetun viestien ja muun sisällön salaamiseen käytettyjen avainten luominen ja tallentaminen. Jokaiselle organisaation käyttäjälle, joka on määritetty hybriditietoturvaan, uudet avaimen luontipyynnöt reititetään klusteriin. Klusteri vastaa myös luomiensa avainten palauttamisesta kaikille käyttäjille, joilla on valtuudet noutaa ne, esimerkiksi keskustelutilan jäsenille.

Koska klusteri suorittaa kriittisen tehtävän, eli tarjoaa nämä avaimet, on välttämätöntä, että klusteri pysyy käynnissä ja että asianmukaiset varmuuskopiot ylläpidetään. Hybrid Data Security -tietokannan tai skeemassa käytetyn konfiguraatio-ISO:n menetys johtaa asiakassisällön PALAUTTAMATTOMEEN MENETYKSEEN. Seuraavat käytännöt ovat pakollisia tällaisen menetyksen estämiseksi:

Jos katastrofin vuoksi HDS-käyttöönotto ensisijaisessa konesalissa ei ole käytettävissä, siirry manuaalisesti varakonesaliin noudattamalla tätä menettelyä.

Ennen kuin aloitat

Poista kaikkien solmujen rekisteröinti Partner Hubista, kuten kohdassa Poista solmuon mainittu. Käytä alla kuvatun vikasietomenettelyn suorittamiseen uusinta ISO-tiedostoa, joka on määritetty aiemmin aktiivisena olleen klusterin solmuille.
1

Käynnistä HDS Setup -työkalu ja noudata ohjeita, jotka on mainittu kohdassa Luo konfiguraatio-ISO HDS-isännille.

2

Suorita määritysprosessi loppuun ja tallenna ISO-tiedosto helposti löydettävään sijaintiin.

3

Tee varmuuskopio ISO-tiedostosta paikalliseen järjestelmääsi. Pidä varmuuskopio turvallisesti. Tämä tiedosto sisältää tietokannan sisällön pääsalausavaimen. Rajoita käyttöoikeudet vain niille hybriditietoturvan järjestelmänvalvojille, joiden tulisi tehdä määritysmuutoksia.

4

Napsauta virtuaalikoneen kuvaketta hiiren kakkospainikkeella VMware vSphere -asiakasohjelman vasemmassa navigointipaneelissa ja valitse Muokkaa asetuksia.

5

Napsauta Muokkaa asetuksia >CD/DVD Asema 1 ja valitse Datastoren ISO-tiedosto.

Varmista, että Yhdistetty ja Yhdistä virran kytkemisen yhteydessä ovat valittuna, jotta päivitetyt kokoonpanomuutokset tulevat voimaan solmujen käynnistyksen jälkeen.

6

Käynnistä HDS-solmu ja varmista, ettei hälytyksiä ole ollut vähintään 15 minuuttiin.

7

Rekisteröi solmu Partner Hubissa. Katso Rekisteröi klusterin ensimmäinen solmu.

8

Toista prosessi jokaiselle valmiustilassa olevan datakeskuksen solmulle.

Mitä tehdä seuraavaksi

Jos ensisijainen datakeskus aktivoituu uudelleen vikasietotilan jälkeen, poista varadatakeskuksen solmujen rekisteröinti ja toista ISO-konfigurointiprosessi ja ensisijaisen datakeskuksen solmujen rekisteröinti edellä mainitulla tavalla.

(Valinnainen) Irrota ISO HDS-konfiguroinnin jälkeen

HDS:n vakiokokoonpano toimii ISO-kiinnityksellä. Jotkut asiakkaat eivät kuitenkaan halua jättää ISO-tiedostoja jatkuvasti asennettuina. Voit irrottaa ISO-tiedoston sen jälkeen, kun kaikki HDS-solmut ovat ottaneet uuden kokoonpanon käyttöön.

Käytät edelleen ISO-tiedostoja määritysmuutosten tekemiseen. Kun luot uuden ISO-tiedoston tai päivität ISO-tiedoston asennustyökalun avulla, sinun on asennettava päivitetty ISO-tiedosto kaikkiin HDS-noodeihisi. Kun kaikki solmut ovat ottaneet määritysmuutokset käyttöön, voit irrottaa ISO-tiedoston uudelleen tällä toimenpiteellä.

Ennen kuin aloitat

Päivitä kaikki HDS-solmusi versioon 2021.01.22.4720 tai uudempaan.

1

Sammuta yksi HDS-solmuistasi.

2

Valitse vCenter Server Appliancessa HDS-solmu.

3

Valitse Muokkaa asetuksia > CD/DVD asema ja poista valinta Datastoren ISO-tiedostosta.

4

Käynnistä HDS-solmu ja varmista, ettei hälytyksiä ole ollut vähintään 20 minuuttiin.

5

Toista vuorotellen jokaiselle HDS-solmulle.

Hybriditietoturvan vianmääritys

Näytä hälytykset ja vianmääritys

Hybriditietoturvan käyttöönottoa pidetään ei-käytettävissä, jos kaikki klusterin solmut ovat tavoittamattomissa tai klusteri toimii niin hitaasti, että pyynnöt aikakatkaistaan. Jos käyttäjät eivät pääse Hybrid Data Security -klusteriisi, he kohtaavat seuraavat oireet:

  • Uusia välilyöntejä ei voida luoda (uusia avaimia ei voida luoda)

  • Viestien ja tilojen otsikoiden salauksen purkaminen epäonnistuu seuraavissa kohteissa:

    • Uusia käyttäjiä lisätty tilaan (avainten nouto ei onnistu)

    • Tilassa olevat käyttäjät käyttävät uutta asiakasohjelmaa (avainten nouto ei onnistu)

  • Tilan nykyiset käyttäjät voivat jatkaa toimintaansa onnistuneesti niin kauan kuin heidän asiakkaillaan on salausavainten välimuisti.

On tärkeää, että valvot Hybrid Data Security -klusteriasi asianmukaisesti ja käsittelet kaikki hälytykset viipymättä palvelun keskeytysten välttämiseksi.

Hälytykset

Jos hybriditietoturvan asetuksissa on ongelma, Partner Hub näyttää hälytyksiä organisaation järjestelmänvalvojalle ja lähettää sähköposteja määritettyyn sähköpostiosoitteeseen. Hälytykset kattavat monia yleisiä tilanteita.

Taulukko 1. Yleisiä ongelmia ja niiden ratkaisemisen vaiheet

Hälytys

Toiminta

Paikallisen tietokannan käyttövirhe.

Tarkista tietokantavirheet tai paikallisverkon ongelmat.

Paikallisen tietokannan yhteysvirhe.

Tarkista, että tietokantapalvelin on käytettävissä ja että solmun määrityksessä käytettiin oikeita palvelutilin tunnistetietoja.

Pilvipalvelun käyttövirhe.

Tarkista, että solmut voivat käyttää Webex-palvelimia kohdassa Ulkoisen yhteyden vaatimuksetmääritellyllä tavalla.

Pilvipalvelun rekisteröinnin uusiminen.

Rekisteröinti pilvipalveluihin on keskeytetty. Rekisteröinnin uusiminen on käynnissä.

Pilvipalvelun rekisteröinti katkesi.

Rekisteröinti pilvipalveluihin päättyi. Palvelu on sulkeutumassa.

Palvelua ei ole vielä aktivoitu.

Aktivoi HDS Partner Hubissa.

Määritetty verkkotunnus ei vastaa palvelimen varmennetta.

Varmista, että palvelinvarmenne vastaa määritettyä palvelun aktivointitoimialuetta.

Todennäköisin syy on, että varmenteen CN-numeroa on äskettäin muutettu ja se on nyt eri kuin alkuasennuksen aikana käytetty CN.

Pilvipalveluihin todennus epäonnistui.

Tarkista palvelutilin tunnistetietojen oikeellisuus ja mahdollinen vanheneminen.

Paikallisen avainsäilötiedoston avaaminen epäonnistui.

Tarkista paikallisen avainsäilötiedoston eheys ja salasanan oikeellisuus.

Paikallisen palvelimen varmenne on virheellinen.

Tarkista palvelinvarmenteen voimassaolopäivä ja varmista, että sen on myöntänyt luotettava varmenteiden myöntäjä.

Mittareita ei voida julkaista.

Tarkista paikallisen verkon käyttöoikeudet ulkoisiin pilvipalveluihin.

/media/configdrive/hds hakemistoa ei ole olemassa.

Tarkista ISO-kiinnityksen kokoonpano virtuaalipalvelimella. Varmista, että ISO-tiedosto on olemassa, että se on määritetty asennettavaksi uudelleenkäynnistyksen yhteydessä ja että se asennetaan onnistuneesti.

Vuokralaisen organisaation määritys ei ole valmis lisätyille organisaatioille

Viimeistele asennus luomalla CMK:t uusille vuokralaisorganisaatioille HDS Setup Toolin avulla.

Vuokralaisen organisaation määritys ei ole valmis poistetuille organisaatioille

Viimeistele asennus peruuttamalla HDS Setup Toolilla poistettujen vuokraajaorganisaatioiden CMK-tunnukset.

Hybriditietoturvan vianmääritys

Käytä seuraavia yleisiä ohjeita Hybrid Data Securityn ongelmien vianmäärityksessä.
1

Tarkista Partner Hubista mahdolliset hälytykset ja korjaa löytämäsi ongelmat. Katso alla oleva kuva viitteeksi.

2

Tarkista lokipalvelimen tulosteesta Hybrid Data Security -käyttöönoton aktiviteetit. Suodata sanojen, kuten "Varoitus" ja "Virhe", mukaan vianmäärityksen helpottamiseksi.

3

Ota yhteyttä Ciscon tukeen.

Muita muistiinpanoja

Tunnetut ongelmat hybriditietoturvassa

  • Jos suljet Hybrid Data Security -klusterisi (poistamalla sen Partner Hubissa tai sulkemalla kaikki solmut), menetät määritys-ISO-tiedostosi tai menetät pääsyn avainsäilötietokantaan, asiakasorganisaatioiden Webex App -käyttäjät eivät voi enää käyttää henkilöluettelossaan olevia tiloja, jotka on luotu KMS-avaimillasi. Meillä ei tällä hetkellä ole tähän ongelmaan kiertotietä tai korjausta, ja kehotamme sinua olemaan sulkematta HDS-palveluitasi, kun ne käsittelevät aktiivisia käyttäjätilejä.

  • Asiakas, jolla on olemassa oleva ECDH-yhteys KMS:ään, ylläpitää tätä yhteyttä tietyn ajan (todennäköisesti tunnin).

Suorita HDS Setup -työkalu Podman Desktopilla

Podman on ilmainen ja avoimen lähdekoodin kontinhallintatyökalu, joka tarjoaa tavan suorittaa, hallita ja luoda kontteja. Podman Desktopin voi ladata osoitteesta https://podman-desktop.io/downloads.

  • HDS Setup -työkalu toimii Docker-konttina paikallisessa koneessa. Päästäksesi siihen, lataa ja suorita Podman kyseisellä koneella. Asennusprosessi vaatii Control Hub -tilin tunnistetiedot, joilla on organisaatiosi täydet järjestelmänvalvojan oikeudet.

    Jos HDS-asennustyökalu toimii välityspalvelimen takana ympäristössäsi, anna välityspalvelimen asetukset (palvelin, portti, tunnistetiedot) Docker-ympäristömuuttujien kautta, kun avaat Docker-säilön vaiheessa 5. Tässä taulukossa on joitakin mahdollisia ympäristömuuttujia:

    Kuvaus

    Muuttuja

    HTTP-välityspalvelin ilman todennusta

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-välityspalvelin ilman todennusta

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-välityspalvelin todennuksella

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-välityspalvelin todennuksella

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Luomasi määritys-ISO-tiedosto sisältää PostgreSQL- tai Microsoft SQL Server -tietokannan salaavan pääavaimen. Tarvitset tämän tiedoston uusimman kopion aina, kun teet määritysmuutoksia, kuten seuraavat:

    • Tietokannan tunnistetiedot

    • Varmenteiden päivitykset

    • Muutokset valtuutuskäytäntöön

  • Jos aiot salata tietokantayhteydet, määritä PostgreSQL- tai SQL Server -käyttöönottosi käyttämään TLS-salausta.

Hybrid Data Securityn asennusprosessi luo ISO-tiedoston. Sitten käytät ISO-tiedostoa Hybrid Data Security -isännän määrittämiseen.

1

Kirjoita koneesi komentoriville ympäristöösi sopiva komento:

Normaaleissa ympäristöissä:

podman rmi ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

podman rmi ciscocitg/hds-setup-fedramp:stable

Tämä vaihe siivoaa aiemmat HDS-asennustyökalun kuvat. Jos aiempia kuvia ei ole, se palauttaa virheen, jonka voit jättää huomiotta.

2

Kirjaudu sisään Docker-kuvarekisteriin antamalla seuraavat tiedot:

podman login docker.io -u hdscustomersro
3

Kirjoita salasanakehotteeseen tämä tiiviste:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Lataa uusin vakaa levykuva ympäristöösi:

Normaaleissa ympäristöissä:

podman pull ciscocitg/hds-setup:stable

FedRAMP-ympäristöissä:

podman pull ciscocitg/hds-setup-fedramp:stable
5

Kun pull-komento on valmis, anna ympäristöllesi sopiva komento:

  • Tavallisissa ympäristöissä ilman välityspalvelinta:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTP-välityspalvelin:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Tavallisissa ympäristöissä, joissa on HTTPS-välityspalvelin:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • FedRAMP-ympäristöissä ilman välityspalvelinta:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTP-välityspalvelin:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • FedRAMP-ympäristöissä, joissa on HTTPS-välityspalvelin:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kun säilö on käynnissä, näet viestin "Express-palvelin kuuntelee porttia 8080".

Mitä tehdä seuraavaksi

Luo tai muuta ISO-kokoonpano noudattamalla kohdan Luo konfiguraatio-ISO HDS-isännille tai Muuta solmun kokoonpanoa jäljellä olevia vaiheita.

Siirrä kumppaniorganisaation olemassa oleva yhden vuokralaisen HDS-käyttöönotto Control Hubissa usean vuokralaisen HDS-kokoonpanoon Partner Hubissa

Muuntaminen Control Hubissa hallinnoidusta kumppaniorganisaation yhden vuokralaisen HDS-käyttöönotosta Partner Hubissa hallinnoiduksi usean vuokralaisen HDS-käyttöönotoksi sisältää ensisijaisesti HDS-palvelun deaktivoinnin Control Hubissa, solmujen rekisteröinnin poistamisen ja klusterin poistamisen. Voit sitten kirjautua Partner Hubiin, rekisteröidä solmut, aktivoida Multi-Tenant HDS:n ja lisätä asiakkaita klusteriisi.

Termi "yksittäinen vuokralainen" viittaa yksinkertaisesti olemassa olevaan HDS-käyttöönottoon Control Hubissa.

Deaktivoi HDS, poista solmujen rekisteröinti ja poista klusteri Control Hubissa

1

Kirjaudu Control Hubiin. Napsauta vasemmanpuoleisessa ruudussa Hybridi. Napsauta Hybrid Data Security -kortissa Muokkaa asetuksia.

2

Vieritä asetussivulla alas Deaktivoi-osioon ja napsauta Deaktivoi.

3

Deaktivoinnin jälkeen napsauta Resurssit -välilehteä.

4

Resurssit -sivulla luetellaan HDS-käyttöönottosi klusterit. Napsauta klusteria, niin avautuu sivu, jossa näkyvät kaikki kyseisen klusterin alla olevat solmut.

5

Napsauta oikealla puolella ... ja napsauta sitten Poista solmun rekisteröinti. Toista prosessi kaikille klusterin solmuille.

6

Jos käyttöönotossasi on useita klustereita, toista vaiheet 4 ja 5, kunnes kaikkien solmujen rekisteröinti on poistettu.

7

Napsauta Klusteriasetukset > Poista.

8

Poista klusterin rekisteröinti napsauttamalla Vahvista poisto.

9

Toista prosessi kaikille HDS-käyttöönottosi klustereille.

HDS:n deaktivoinnin, solmujen rekisteröinnin poistamisen ja klusterien poistamisen jälkeen Control Hubin Hybrid Data Service -kortin alareunassa näkyy teksti Asennus ei valmis.

Aktivoi kumppaniorganisaatiolle Multi-Tenant HDS Partner Hubissa ja lisää asiakkaita

Ennen kuin aloitat

Kaikki Usean vuokralaisen hybridijärjestelmän tietoturvavaatimukset -kohdassa mainitut edellytykset soveltuvat tähän. Varmista lisäksi, että samaa tietokantaa ja varmenteita käytetään siirryttäessä Multi-Tenant HDS:ään.

1

Kirjaudu sisään Partner Hubiin. Napsauta vasemmanpuoleisessa ruudussa Palvelut.

Käytä samaa ISO-tiedostoa kuin edellisessä HDS-käyttöönotossasi solmujen konfigurointiin. Tämä varmistaa, että käyttäjien aiemmassa HDS-käyttöönotossa luomat viestit ja sisältö ovat edelleen käytettävissä uudessa monivuokralaisympäristössä.

2

Etsi Pilvipalvelut-osiosta Hybrid Data Security -kortti ja napsauta Määritä.

3

Napsauta avautuvalla sivulla Lisää resurssi.

4

Kirjoita Lisää solmu -kortin ensimmäiseen kenttään sen klusterin nimi, johon haluat liittää hybriditietoturvasolmun.

Suosittelemme, että nimeät klusterin sen perusteella, missä klusterin solmut sijaitsevat maantieteellisesti. Esimerkkejä: "San Francisco" tai "New York" tai "Dallas"

5

Kirjoita toiseen kenttään solmusi sisäinen IP-osoite tai täydellinen verkkotunnus (FQDN) ja napsauta näytön alareunassa olevaa Lisää -painiketta.

Tämän IP-osoitteen tai täydellisen verkkotunnuksen (FQDN) tulee vastata IP-osoitetta tai isäntänimeä ja toimialuetta, joita käytit kohdassa Hybrid Data Security VM:n asennus.

Näyttöön tulee viesti, joka ilmoittaa, että voit rekisteröidä solmusi Webexiin.
6

Napsauta Siirry solmuun.

Hetken kuluttua sinut ohjataan Webex-palveluiden solmuyhteystesteihin. Jos kaikki testit onnistuvat, näyttöön tulee Salli hybriditietoturvasolmun käyttö -sivu. Siellä vahvistat, että haluat antaa Webex-organisaatiollesi käyttöoikeudet solmuun.

7

Valitse Salli pääsy hybriditietoturvasolmuun -valintaruutu ja napsauta sitten Jatka.

Tilisi on vahvistettu ja viesti "Rekisteröinti valmis" osoittaa, että solmusi on nyt rekisteröity Webex-pilveen. Rekisteröimäsi solmun sisältävä uusi klusteri näkyy Hybrid Data Security -sivulla Resurssit -välilehdellä. Solmu lataa automaattisesti uusimman ohjelmiston pilvestä.
8

Siirry Asetukset -välilehdelle ja napsauta Aktivoi HDS-tilakortissa.

Aktivoitu HDS -viesti ilmestyy näytön alareunaan.
9

Napsauta Resurssit-kohdassa juuri luotua klusteria.

10

Napsauta avautuvalla sivulla Määritetyt asiakkaat -välilehteä.

11

Klikkaa Lisää asiakkaita.

12

Valitse alasvetovalikosta asiakas, jonka haluat lisätä.

13

Napsauta Lisää, niin asiakas lisätään klusteriin.

14

Toista vaiheet 11–13 lisätäksesi useita asiakkaita klusteriisi.

15

Kun olet lisännyt asiakkaat, napsauta näytön alareunassa olevaa Valmis -painiketta .

Mitä tehdä seuraavaksi

Suorita HDS-asennustyökalu kohdan Asiakkaan pääavainten (CMK) luominen HDS-asennustyökalulla mukaisesti asennuksen loppuun saattamiseksi.

Käytä OpenSSL:ää PKCS12-tiedoston luomiseen

Ennen kuin aloitat

  • OpenSSL on yksi työkalu, jolla PKCS12-tiedosto voidaan tehdä oikeaan muotoon ladattavaksi HDS Setup Toolissa. On muitakin tapoja tehdä tämä, emmekä tue tai edistä yhtä tapaa toisen kustannuksella.

  • Jos päätät käyttää OpenSSL:ää, tämä menettelytapa on ohjeellinen auttamaan sinua luomaan tiedoston, joka täyttää X.509-sertifikaattivaatimukset kohdassa X.509-sertifikaattivaatimukset. Ymmärrä nämä vaatimukset ennen kuin jatkat.

  • Asenna OpenSSL tuettuun ympäristöön. Katso ohjelmisto ja dokumentaatio osoitteesta https://www.openssl.org.

  • Luo yksityinen avain.

  • Aloita tämä toimenpide, kun saat palvelinsertifikaatin sertifikaatin myöntäjältäsi (CA).

1

Kun saat palvelinvarmenteen varmentajaltasi, tallenna se nimellä hdsnode.pem.

2

Näytä todistus tekstinä ja tarkista tiedot.

openssl x509 -text -noout -in hdsnode.pem

3

Luo tekstieditorilla varmennepakettitiedosto nimeltä hdsnode-bundle.pem. Pakettitiedoston on sisällettävä palvelinvarmenne, mahdolliset välivarmenteiden myöntäjän varmenteet ja juurivarmenteiden myöntäjän varmenteet alla olevassa muodossa:

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

Luo .p12-tiedosto käyttämällä käyttäjätunnusta kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Tarkista palvelimen varmenteen tiedot.

  1. openssl pkcs12 -in hdsnode.p12

  2. Kirjoita salasana kehotteeseen salataksesi yksityisen avaimen, jotta se näkyy tulosteessa. Varmista sitten, että yksityinen avain ja ensimmäinen varmenne sisältävät rivit friendlyName: kms-private-key.

    Esimerkki:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: 
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----

-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

Mitä tehdä seuraavaksi

Palaa kohtaan Täydennä hybriditietoturvan edellytykset. Käytät tiedostoa hdsnode.p12 ja sille asettamaasi salasanaa kohdassa Luo konfiguraatio-ISO HDS-isännille.

Voit käyttää näitä tiedostoja uudelleen pyytääksesi uutta varmennetta, kun alkuperäinen varmenne vanhenee.

Liikenne HDS-solmujen ja pilven välillä

Lähtevän mittarien keräämisen liikenne

Hybrid Data Security -solmut lähettävät tiettyjä mittareita Webex-pilveen. Näitä ovat järjestelmän mittarit keon maksimiarvolle, käytetylle keolle, suorittimen kuormitukselle ja säikeiden määrälle; mittarit synkronisille ja asynkronisille säikeille; mittarit hälytyksille, jotka liittyvät salausyhteyksien kynnysarvoon, viiveeseen tai pyyntöjonon pituuteen; mittarit tietovarastolle; ja salausyhteyksien mittarit. Solmut lähettävät salattua avainmateriaalia kaistan ulkopuolisen (pyynnöstä erillisen) kanavan kautta.

Saapuva liikenne

Hybrid Data Security -solmut vastaanottavat seuraavan tyyppistä saapuvaa liikennettä Webex-pilvestä:

  • Asiakkaiden salauspyynnöt, jotka salauspalvelu reitittää

  • Solmuohjelmiston päivitykset

Määritä Squid-välityspalvelimet hybriditietoturvaa varten

Websocket ei voi muodostaa yhteyttä Squid-välityspalvelimen kautta

HTTPS-liikennettä tarkastavat Squid-välityspalvelimet voivat häiritä Hybrid Data Securityn edellyttämien websocket (wss:) -yhteyksien muodostusta. Nämä osiot antavat ohjeita siitä, miten Squidin eri versiot määritetään jättämään wss: -liikenne huomiotta palveluiden oikean toiminnan varmistamiseksi.

Kalmarit 4 ja 5

Lisää on_unsupported_protocol -direktiivi squid.conf-merkkiin :

on_unsupported_protocol tunnel all

Kalmari 3.5.27

Testasimme hybriditietoturvaa onnistuneesti lisättynä seuraavilla säännöillä kohtaan squid.conf. Näitä sääntöjä voidaan muuttaa sitä mukaa, kun kehitämme ominaisuuksia ja päivitämme Webex-pilvipalvelua.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Oliko tästä artikkelista apua?
Oliko tästä artikkelista apua?
HinnoitteluWebex-sovellusMeetingsCallingViestitNäytön jakaminen
Webex SuiteCallingMeetingsViestitSlidoWebinarsEventsContact CenterCPaaSSuojausControl Hub
KuulokkeetKameratDesk-sarjaRoom-sarjaBoard-sarjaPuhelinsarjaTarvikkeet
KoulutusTerveydenhuoltoJulkishallintoRahoitusUrheilu ja viihdeEtulinjaYleishyödylliset yhteisötStartupitHybridityö
LatauksetLiity testineuvotteluunVerkkokurssitIntegraatiotSaavutettavuusOsallistaminenLive- ja on-demand-webinaaritWebex-yhteisöWebex-kehittäjätUutiset ja innovaatiot
CiscoOta yhteys tukeenOta yhteys myyntiinWebex BlogWebexin ajatusjohtajuusWebex Merch StoreTyöpaikat
  • X
  • LinkedIn
  • Facebook
  • Youtube
  • Instagram
EhdotTietosuojalausekeEvästeetTavaramerkkitiedot
©2025 Cisco ja/tai sen tytäryhtiöt. Kaikki oikeudet pidätetään.
EhdotTietosuojalausekeEvästeetTavaramerkkitiedot